Aikido

Comment Oncourse a obtenu une visibilité des applications en temps d'exécution lors d'une transformation numérique à l'échelle de l'entreprise

Une entreprise de services orientés client a remplacé les processus de sécurité manuels et les contrôles WAF statiques par une visibilité des applications en temps d'exécution, aidant ainsi les équipes de sécurité à prioriser les menaces réelles, à améliorer la vitesse de remédiation et à soutenir une transformation numérique à l'échelle de l'entreprise.

En un coup d'œil

  • Introduction de l'autoprotection des applications en temps d’exécution (RASP) avec Aikido Zen Firewall
  • Visibilité de la sécurité étendue de l'IDE au CI/CD et au runtime
  • Vitesse de remédiation améliorée grâce à la priorisation assistée par l'IA et aux recommandations de correction
  • Atteinte des objectifs SLA de remédiation lors d'une transformation numérique à grande échelle
  • Activation des rapports de sécurité pour les dirigeants et le conseil d'administration
  • Réduction du bruit de sécurité et focalisation des équipes sur les vulnérabilités les plus critiques
  • Sécurité intégrée directement dans les workflows des développeurs

Enjeu

Oncourse Home Solutions exploite des services numériques orientés client qui dépendent de plus en plus de l'infrastructure cloud, des applications modernes et des expériences numériques. Alors que l'entreprise accélérait une transformation numérique plus large, la complexité des applications augmentait rapidement. De nouveaux services cloud, des intégrations et des capacités orientées client ont accru à la fois les opportunités commerciales et la surface d'attaque de l'organisation.

Pour Joshy Alappat, Responsable de la sécurité des systèmes d'information, le défi était de s'assurer que la sécurité puisse évoluer au même rythme que l'entreprise.

“Nous traversions une transformation numérique où de nombreux services cloud, de nombreuses complexités que nous avions intégrées, et nous voyions notre profil de menace évoluer.”

L'équipe de sécurité disposait déjà d'outils, mais une grande partie du processus restait manuelle.

Différents outils généraient des résultats, les équipes examinaient les journaux, et les analystes de sécurité passaient un temps considérable à déterminer quels problèmes nécessitaient réellement une attention. Ce qui manquait, c'était une vue unique des risques et un moyen fiable de prioriser les efforts de sécurité.

“Nous avions des outils en place, mais c'était un processus manuel. Nous n'avions pas une vision unique et une méthode de priorisation claire.”

Parallèlement, l'architecture de sécurité de l'organisation reposait fortement sur les pare-feu applicatifs traditionnels et les contrôles réseau.

Bien qu'efficaces dans de nombreux scénarios, ces outils exigeaient un ajustement constant et une maintenance rigoureuse des règles. Comprendre ce qui était bloqué, pourquoi, et comment les changements impacteraient les applications en production générait souvent une charge opérationnelle supplémentaire.

“Le défi avec les WAF est de mettre à jour le jeu de règles et de comprendre ce qui est bloqué, sans interrompre l'application.”

L'équipe avait besoin d'une solution capable d'offrir une visibilité sur les applications en cours d'exécution tout en aidant les développeurs et les équipes de sécurité à travailler à partir d'une source unique de vérité.

Solution

Dans le cadre de son initiative de modernisation, Oncourse a évalué plusieurs plateformes de sécurité. Une exigence est rapidement devenue évidente : la sécurité devait s'étendre au-delà de l'analyse traditionnelle avant déploiement. L'équipe souhaitait une visibilité sur ce qui se passait réellement à l'intérieur des applications en cours d'exécution, et pas seulement ce que les analyses statiques pouvaient identifier avant la publication.

Aikido s'est démarqué en combinant la protection en temps d’exécution via Zen Firewall avec des capacités de sécurité des applications plus larges tout au long du cycle de vie du développement logiciel. Le déploiement a commencé avec Zen Firewall et s'est progressivement étendu aux flux de travail de développement et de déploiement.

Aujourd'hui, la sécurité est intégrée directement dans les IDE, les pipelines CI/CD, les flux de travail Jira et les environnements d'exécution.

Plutôt que d'introduire un processus de sécurité distinct, Aikido s'est intégré à la manière dont les logiciels étaient déjà construits et livrés. L'adoption par les développeurs a joué un rôle important dans cette décision. Selon Joshy, les équipes d'ingénierie ont rapidement adopté la plateforme car elle fournissait des orientations exploitables au lieu de créer des frictions supplémentaires.

La combinaison de la visibilité en temps d'exécution et de la priorisation assistée par l'IA a également modifié l'approche de l'équipe de sécurité en matière de gestion des risques. Au lieu d'examiner manuellement de grands volumes d'alertes, les équipes pouvaient se concentrer sur les vulnérabilités qui représentaient un risque significatif pour les systèmes de production. La plateforme fournissait également des conseils de remédiation directs liés au code lui-même, permettant aux développeurs de passer de l'identification à la résolution beaucoup plus rapidement qu'auparavant.

Résultats

Le résultat le plus significatif a été l'efficacité. Plutôt que de passer du temps à enquêter manuellement sur les découvertes, à maintenir des règles statiques ou à déterminer quelles vulnérabilités méritent une attention, l'équipe de sécurité peut se concentrer directement sur les problèmes les plus importants.

“Aikido, c'est l'efficacité. Cela nous aide à prioriser ce que nous devons protéger et à ne pas perdre de temps sur des éléments non essentiels.”

La vitesse de remédiation s'est considérablement améliorée.

Auparavant, les équipes identifiaient les vulnérabilités, puis passaient du temps supplémentaire à localiser le code affecté, à comprendre l'impact et à déterminer la correction appropriée. Aujourd'hui, les développeurs reçoivent des conseils de remédiation clairs directement avec les découvertes.

“Le temps de remédiation a été un véritable tournant.”

La plateforme a également aidé l'organisation à atteindre systématiquement ses objectifs de SLA de remédiation pendant une période de changement rapide. À mesure que l'entreprise étendait son empreinte numérique, les engagements de sécurité qui semblaient autrefois ambitieux sont devenus réalisables. La sécurité est devenue plus facile à opérationnaliser et à mesurer. L'équipe pouvait suivre les progrès par rapport aux objectifs de transformation, démontrer la couverture des applications et communiquer les résultats à la direction exécutive et au conseil d'administration.

Selon Joshy, la capacité à tenir ces engagements est devenue l'un des plus grands succès du programme.

“Nous avions promis quelque chose, nous avons pu le concrétiser. Cela a été énorme.”

Plutôt que de s'appuyer uniquement sur des contrôles périmétriques et des jeux de règles statiques, Oncourse dispose désormais d'une visibilité continue sur l'ensemble du cycle de vie des applications, du développement à la production. Le résultat est un programme de sécurité qui soutient l'innovation sans la ralentir.

Comment Oncourse utilise Aikido aujourd'hui

Utilisation actuelle

  • Zen Firewall (protection des applications en temps d'exécution)
  • intégrations IDE
  • Analyse de sécurité CI/CD
  • Priorisation des vulnérabilités et conseils de remédiation
  • Intégrations de flux de travail Jira

Prochainement

  • Couverture applicative étendue à l'échelle de l'organisation
  • Intégrations supplémentaires aux flux de travail des développeurs
  • Rapports de sécurité améliorés pour les dirigeants et les conseils d'administration

Verdict final

“Aikido, c'est l'efficacité. Cela nous aide à prioriser ce que nous devons protéger et à ne pas perdre de temps sur des éléments non essentiels.”

Sécurisez votre environnement dès maintenant.

Sécurisez votre code, votre cloud et votre environnement d’exécution dans un système centralisé unique.
Détectez et corrigez les vulnérabilités rapidement et automatiquement.

Aucune carte de crédit requise | Résultats en 32 secondes.