Zip atteint une couverture cloud complète avec l’outil d’analyse de la vulnérabilité d’Orca Security

INDUSTRIE

Financial Services

RÉGION

Global

CHAMPION

Peter Robinson ,
Directeur de la cybersécurité et de la technologie de l'information commerciale

ENVIRONNEMENT CLOUD
AWSMicrosoft Azure
Télécharger le PDF
Défis de la sécurité du cloud
  • L’expansion rapide de l’entreprise entraîne une croissance rapide du patrimoine du cloud
  • La nature éphémère de l’infrastructure rend difficile la recherche de vulnérabilités
  • Différents environnements sont gérés par plusieurs personnes dans plusieurs pays
Résultats de la sécurité du cloud
  • Couverture à 100 % des comptes cloud avec une visibilité complète, un inventaire des actifs et une résolution prioritaire, le tout sans impact sur les environnements de production
  • Dépendance réduite vis-à-vis du DevOps tout en obtenant leur soutien total pour les corrections prioritaires
  • Économies de coûts massives car il n’y a pas de coûts d’intégration, pas besoin de six ETP pour trouver et hiérarchiser les risques, et le modèle de licence de paiement à l’utilisation d’Orca ne s’applique qu’aux actifs réellement utilisés

« Nous sommes passés d'années de souffrance à une visibilité complète en un seul après-midi. Croyez-en un gars qui est dans les tranchées, c'est profond. »

Peter RobinsonDirecteur de la cybersécurité et de la technologie de l'information commerciale

Zip croit en l’innovation implacable

Zip Co est un acteur de premier plan dans la prochaine génération de l’industrie du financement et des paiements de vente au détail. La société propose des services de crédit au point de vente et de paiement numérique aux secteurs de la vente au détail, de la maison, de la santé, de l’automobile et du voyage. Fondée en 2013 et basée à Sydney, en Australie, Zip a connu une croissance rapide et est désormais présente en Australie, en Nouvelle-Zélande, en Afrique du Sud, au Royaume-Uni et aux États-Unis. Une nouvelle expansion est prévue en Amérique du Nord, en Europe et au Moyen-Orient.

La plateforme informatique de Zip est entièrement numérique et hébergée dans le cloud. La plateforme exploite les données volumineuses dans sa technologie de prévention de fraude et de décision de crédit pour fournir des réponses en temps réel. Reflétant la croissance de l’entreprise, le domaine du cloud se développe également rapidement. Il y a un an, il y avait six comptes AWS. Aujourd’hui, il existe vingt-deux comptes AWS et neuf comptes Azure, et d’autres sont en cours.

Peter Robinson est le directeur de la cybersécurité et de l’informatique d’entreprise, responsable des postures de cyberrisque et de sécurité de l’entreprise. « Zip est né dans le cloud et c’est un environnement difficile pour sécuriser nos actifs, car les outils de sécurité traditionnels ne fonctionnent pas bien ici » dit-il. Il a passé la majeure partie de ses deux années chez Zip à rechercher la bonne combinaison d’outils qui offrira une bonne visibilité sur les vulnérabilités et les risques auxquels Zip est confronté et les moyens de les atténuer.

De peu de visibilité à 100 % en un après-midi

La plateforme de Zip est à la pointe des technologies cloud. « Nous avons fortement évolué vers l’informatique sans serveur et l’infrastructure en tant que code » déclare Robinson. « La nature éphémère de notre environnement nous place dans une position où nous ne pouvons pas obtenir d’agents sur ces appareils avant qu’ils ne soient partis. Nous ne pouvons pas les analyser en réseau au sens traditionnel et il n’y a aucun moyen de se connecter à ces machines pour évaluer leur état de sécurité lorsqu’ils ne sont pas opérationnels. »

« Avant Orca, nous avions peut-être 18 % de couverture d’évaluation de vulnérabilité de l’ensemble de notre portée. Orca nous a fait parvenir à 100 % en moins d’une journée. »
Peter Robinson

Directeur de la cybersécurité et de la technologie de l’information commerciale

« Nous avons également le problème d’avoir de nombreux environnements gérés par différents groupes. Nous avons six équipes DevOps qui travaillent sur différentes morceaux d’infrastructure et d’autres choses. Il est presque impossible de leur faire déployer tout ce qui est nécessaire pour faire une évaluation des risques » explique Robinson. « Orca a immédiatement résolu ce problème pour nous. »

Robinson a découvert Orca Security grâce à des articles sur LinkedIn. « Nous étions sceptiques face aux prétentions d’Orca au début, mais nous avons essayé. Nous sommes passés d’années de souffrance à une visibilité complète en un seul après-midi. Croyez-en un gars qui est dans les tranchées, c’est profond. »

Orca surpasse de loin les outils concurrents

Robinson a passé deux ans à évaluer les outils d’analyse de vulnérabilité traditionnels et d’autres qui étaient spécifiques aux environnements de type conteneur. « Ils ont tous eu les mêmes problèmes. Premièrement, ils nécessitaient trop de ressources pour déployer des agents et des scanneurs. Deuxièmement, ils nécessitaient des informations d’identification pour s’authentifier vraiment, ce qui fait du modèle de licence un échec de notre point de vue. Et troisièmement, aucun des outils ne hiérarchisait et ne suivait automatiquement les corrections. »

« Nos équipes DevOps se concentrent sur notre produit, c’est ce qu’ils devraient faire. Je ne peux pas leur demander de détourner leur effort pour déployer des agents de point de terminaison partout et créer des informations d’identification de scanneur. »
Peter Robinson

Directeur de la cybersécurité et de la technologie de l’information commerciale

Le problème des licences est également un gros point négatif pour ces outils. « Avec ces autres fournisseurs, je devrais acheter une licence complète et infinie d’actifs. Dès qu’une licence est utilisée, bien qu’elle soit sur un actif éphémère, nous devons la payer. Un serveur n’a été en marche que pendant six heures et maintenant il a consommé une licence. Faire le travail avec ces outils me coûterait cinq fois plus cher. » Robinson rapporte qu’une licence traditionnelle lui aurait coûté un quart de million de dollars par mois.

Le principal problème de tous ces outils est qu’il n’y a pas de hiérarchisation des risques. Par exemple, Robinson dit qu’il peut y avoir 129 règles qui échouent, qu’elles concernent 2000 actifs et que l’outil affiche 6 ou 8 pages répertoriant les échecs. « Tant va la cruche à l’eau qu’à la fin elle se casse. Ce n’est pas exploitable. Même le SIEM a recensé de 55 000 échecs ces sept derniers jours. Vous ne pouvez même pas évaluer cela. »

Orca surmonte tous ces inconvénients. Le déploiement est sans intervention et ne nécessite que la création d’un rôle, ne prenant que quelques minutes. Aucun agent n’a besoin d’être installé. L’octroi de licences est beaucoup plus gérable et est basé sur les actifs réellement utilisés.

Cependant, là où Orca se démarque vraiment, c’est dans ses capacités de hiérarchisation. « Orca me dit que j’ai 28 choses sur lesquelles je dois me concentrer aujourd’hui. Sur 25 comptes cloud avec environ 840 actifs de calcul, VM et des milliers d’autres actifs, le risque véritable se restreint à 28 choses à prendre en charge aujourd’hui » explique Robinson. « C’est totalement gérable. »

L’équipe Zip de Robinson est petite, elle doit donc s’appuyer sur des outils pour l’aider à atteindre ses objectifs. « Avec Orca, toute l’automatisation, la hiérarchisation, la corrélation et le déploiement à impact zéro dans nos environnements de production sont tout simplement incroyables. C’est fantastique » dit-il.

« Orca identifie tous les actifs, hiérarchise les problèmes qu’elle trouve et formule des recommandations pour la correction. C’est extrêmement précieux. L’analyse de vulnérabilité traditionnelle ne peut pas vous donner cela. »
Peter Robinson

Directeur de la cybersécurité et de la technologie de l’information commerciale

Orca améliore la sécurité informatique et la coopération et la productivité du DevOps

Robinson affirme que les équipes DevOps agissent rapidement pour mettre leurs produits sur le marché. Il ne peut pas leur demander d’arrêter de créer un produit Zip pour déployer des agents et des scanneurs réseau. Orca enlève ce fardeau. En fait, les équipes DevOps sont celles qui l’ont le plus soutenu dans l’adoption de la plateforme Orca Security.

« La principale chose est que nos équipes DevOps n’ont rien à faire. Ils créent un rôle et c’est fait, et ils n’ont jamais besoin de faire quoi que ce soit à l’avenir. Il n’y a pas de déploiement, pas de règles du réseau, pas de groupes de sécurité qu’ils doivent changer, pas de déploiement d’application de point de terminaison ou d’agent, pas de certification, rien. Cela m’a changé la vie » déclare Robinson.

Les équipes de sécurité informatique et de DevOps travaillent désormais bien ensemble. « Je peux venir les voir avec des corrections prioritaires recommandées par Orca. Il y a des instructions très claires sur les problèmes qui sont super importants » explique Robinson. « Et ce n’est pas seulement une question d’actif de point de terminaison. Par exemple, imaginons que nous avons un problème avec le groupe de sécurité de ce réseau ACL, cet équilibreur de charge et ce point de terminaison. Orca fournit une carte. Nos employés disent : “Oh, Orca montre comment il est possible de contourner CloudFlare et les équilibreurs de charge internes. Cela montre le routage multi-chemins.” Nous savons que cela n’est pas censé se produire car cela signifie que quelqu’un contourne notre WAF. »

Robinson dit que ce type d’information est inaccessible à partir d’autres sources. « Orca fournit un aperçu approfondi de leurs mauvaises configurations. Ils peuvent le voir visuellement. Ils savent qu’ils doivent le modifier ou confirmer les groupes de sécurité afin que vous ne puissiez passer que par l’équilibreur de charge. Et l’équilibreur de charge ne prend qu’une entrée de CloudFlare, et vous ne pouvez pas toucher l’équilibreur de charge directement depuis Internet. Ce type d’informations est incroyablement utile pour réduire notre charge de travail » explique Robinson.

Orca prend en charge des fonctionnalités de niveau entreprise telles que le contrôle d’accès basé sur les rôles. « Ce qui est vraiment bien, c’est que lorsque nous ajoutons des personnes, nous pouvons leur attribuer des comptes. Je peux faire en sorte que mes équipes Quadpay aux États-Unis ne puissent voir que les données Quadpay et ne travaillent que sur les comptes Quadpay, par opposition à voir l’ensemble de l’entreprise. Ils ne voient que ce qu’ils doivent voir » explique Robinson.

Si Zip n’utilisait pas Orca dans toute l’entreprise, Robinson estime qu’ils auraient besoin d’au moins une personne à temps plein dans chacune de ses six juridictions. « Nous aurions probablement besoin de six ETP supplémentaires pour parcourir une longue liste de vulnérabilités non hiérarchisées, déterminer sur quoi travailler, créer des tickets pour les corrections, tout en essayant de faire passer des agents sur des boîtes et tout le reste. Donc, c’est plus qu’une simple question de gestion des risques. Il y a également un problème de temps, de coût et d’effort » explique Robinson. « Orca fait d’une pierre deux coups : le risque est immédiatement pris en compte, du moins du point de vue de la visibilité, et les coûts sont pris en charge immédiatement. »

« Si un pair me posait des questions au sujet d’Orca, je dirais qu’elle effectue une analyse et une hiérarchisation de la vulnérabilité avec une couverture complète sans aucune intervention. Le cloud est un endroit compliqué et Orca est l’outil dont vous avez besoin pour être proactif sur la réduction des risques. »
Peter Robinson

Directeur de la cybersécurité et de la technologie de l’information commerciale

Orca s’intègre au processus de gestion des risques de Zip

Robinson a une méthode pour découvrir les problèmes : qu’il s’agisse d’un test d’intrusion, d’une analyse de vulnérabilité externe, d’une analyse interne, d’observations, d’incidents ou d’autres moyens et de les conduire à travers un processus de gestion des risques dans Jira. « Nous avons un tableau des risques dans Jira où nous évaluons les risques inhérents. Nous attribuons ensuite un sous-ticket ou une tâche au propriétaire responsable et évaluons la résolution nécessaire » dit Robinson. « L’intégration d’Orca à Jira est parfaite, donc cela fonctionne vraiment pour nous. »

Une caractéristique unique d’Orca est sa résolution automatique. Si elle identifie un problème et qu’il est résolu, Orca note qu’il a été résolu. « Auparavant, les gars devaient effectuer une évaluation manuelle et un test pour voir si cette question était réellement corrigée ou non. Alors qu’Orca dit simplement : “Ça a disparu. Merci.” Nous pouvons mettre notre risque résiduel à zéro et fermer le ticket » explique Robinson. « C’est un sacré gain de temps. »

Lorsque Zip a récemment acquis une entreprise, Robinson a été invité à mettre leurs actifs sous sa gestion. « Cela m’a pris littéralement quelques minutes et deux nouveaux comptes Amazon étaient entièrement sous mon champ d’application de la gestion des vulnérabilités, à 100 %. »

Orca remporte le retour sur investissement et l’analyse de rentabilisation

Zip dispose d’outils qui analysent leurs actifs de l’extérieur. « Nous lui lançons des noms de domaine, elle fait une découverte et utilise des techniques de prime aux bogues pour évaluer nos vulnérabilités externes » explique Robinson. « Mais les évaluations internes étaient plus difficiles à faire avant d’avoir Orca. Je me battais pour obtenir les analyses internes dont nous avions besoin. Nous avons retravaillé les budgets et essayé de mettre un coût sur l’effort, la main-d’œuvre et l’affaiblissement de notre produit Zip. J’ai écrit l’analyse de rentabilisation pour inclure ces éléments intangibles. J’ai dit à nos dirigeants combien de temps cela prenait de déranger les gens pour déployer des agents et configurer les choses au lieu qu’ils fassent leur travail habituel, et le temps qu’il fallait pour passer en revue les vulnérabilités, pour trouver celles qui sont importantes et faire toute cette corrélation manuelle. Cela prend beaucoup de temps. De plus, les coûts d’intégration sont énormes. »

Il déclare qu’avec Orca, le risque est considérablement réduit car la couverture est intégrale. Et le gain de temps est à peu près de 100 % par rapport à tout autre produit. « Le déploiement prend 20 minutes et il est intégré à Jira sur le backend » explique Robinson. « Du point de vue de l’administration du système, de l’infrastructure ou du DevOps, il n’y a rien d’autre à faire, pour toujours. L’analyse de rentabilisation pour Orca est solide. »

ZIP Étude de Cas

6 pages, 3.2MB

Télécharger le PDF
See Orca in action Voir Orca en action-> Regardez une démo de 10 minutes enregistrée ou inscrivez-vous à un parcours sur-mesure en tête-à-tête.