Greenlight Guru optimise sa conformité réglementaire sur AWS avec Lacework

S'appuyant sur Amazon Web Services (AWS), Greenlight Guru fournit des logiciels en tant que service (SaaS) de gestion de la qualité aux entreprises du secteur des dispositifs médicaux. Afin de maintenir des normes de sécurité élevées pour les données de ses clients et de suivre le rythme des réglementations en constante évolution dans le secteur des dispositifs médicaux, Greenlight Guru a fait appel à Lacework, partenaire AWS, une plateforme de sécurité axée sur le cloud et pilotée par les données qui automatise la sécurité à grande échelle.

Avec une petite équipe, un nouveau cycle de financement de démarrage et une clientèle en pleine expansion, Greenlight Guru devait s'assurer que son système interne de sécurité de l'information fonctionnait de manière optimale. Après avoir évalué ses systèmes existants de surveillance et de gestion de la sécurité et du réseau, l'entreprise a décidé qu'il était temps de trouver une meilleure solution. Ces systèmes se composaient principalement de moniteurs de réseau, d'observateurs de journaux et de l'assistance de certains partenaires extérieurs. Bien qu'efficaces, ils risquaient de devenir de plus en plus inefficaces et difficiles à maintenir et à surveiller.

En tant qu'entreprise active dans le secteur des dispositifs médicaux, des préoccupations supplémentaires sont apparues quant à l'afflux constant de nouvelles exigences émanant des organismes de normalisation et des agences de réglementation. Greenlight Guru a donc décidé de faire appel au partenaire AWS Lacework.

À la suite d'un déploiement fluide qui n'a nécessité aucune configuration, Greenlight Guru a réussi à remplacer ses solutions de sécurité multipoints par une plateforme unique de sécurité et de conformité du cloud pour les comptes, les charges de travail, les conteneurs et les environnements AWS. Greenlight Guru peut mieux gérer les risques liés aux vulnérabilités et aux erreurs de configuration tout en surveillant en permanence l'activité des comptes cloud et le comportement des charges de travail. Cette surveillance intensive s'étend de la conception à l'exécution, ce qui permet de répondre aux incidents, de les contenir et d'enquêter plus rapidement. Avec Lacework, Greenlight Guru dispose d'informations exploitables sur les menaces qui identifient les activités malveillantes et atténuent les risques dès leur apparition dans son environnement.

David Odmark, responsable de la sécurité chez Greenlight Guru, explique le processus de transition vers les services et solutions Lacework sur AWS : « Notre transition vers Lacework s'est très bien déroulée. Lacework promet une configuration zéro et nous avons constaté que c'était le cas. Chaque fois que nous avons rencontré une anomalie, nous avons reçu des informations instantanées sur le problème et sur la manière d'y remédier correctement. »

Lacework est devenu essentiel aux opérations de Greenlight Guru et à sa performance pour les clients. L'entreprise utilise également Amazon EventBridge et l'infrastructure en tant que services de code dans ses pipelines.

Lacework sur AWS a fourni à Greenlight Guru une approche de gestion de la sécurité et de la conformité qui est efficace, évolutive et qui s'intègre parfaitement aux flux de travail DevSecOps existants.

En raison de la nature de son secteur d'activité, Greenlight Guru est confrontée à de fréquents audits de sites et doit respecter les normes les plus strictes en matière de sécurité et de protection des données des clients. Grâce à son approche globale de la sécurité des données et de la prévention des violations, Lacework a renforcé la tranquillité d'esprit de l'équipe de Greenlight Guru et de ses clients. Avec Lacework, Greenlight Guru peut facilement présenter des journaux d'activité justificatifs à ses clients, ce qui leur permet d'apaiser rapidement les inquiétudes et de démontrer efficacement la présence active de mesures réglementaires et de protocoles de sécurité pour tous les actifs des clients.

Lacework facilite les audits en offrant en toute simplicité une vue complète de l'environnement de Greenlight Guru et en établissant une correspondance entre des contrôles spécifiques, comme la norme ISO 27001, et les contrôles de sécurité du cloud surveillés par Lacework. L'équipe de Greenlight Guru peut générer des rapports à tout moment, sur différentes périodes, afin d'évaluer la conformité par rapport à son environnement. Elle est ainsi informée des dérives en matière de conformité qui doivent être examinées, étudiées et corrigées. Greenlight Guru peut prévenir les problèmes et réduire le temps de collecte des preuves avant les audits grâce à une vue consolidée à partir d'une plateforme unique. La visibilité améliorée de Greenlight Guru est également prise en charge par AWS CloudTrail.

David Odmark précise : « Lacework est conçu dans une optique d'environnement réglementaire et il s'agit d'une solution fortement axée sur les données. Nous sommes véritablement en mesure de montrer à nos clients nos réactions aux événements qui se produisent dans l'environnement en temps réel. Il s'agit d'un élément extrêmement important de notre boîte à outils de sécurité des données. »

Lacework assure une surveillance continue de l'ensemble de l'environnement de Greenlight Guru afin de détecter et de gérer les risques qui pèsent sur ses activités, de la création à l'exécution. Cela permet à l'équipe de Greenlight Guru de rester attentive aux activités anormales et de réagir rapidement aux événements, sans nécessiter d'investigation manuelle excessive. « Nos programmes de sécurité doivent être évalués par rapport à un certain nombre de systèmes de conformité, de normes volontaires et de normes sectorielles. Lacework nous aide à gérer ces indicateurs de manière centralisée et à nous avertir des changements au fur et à mesure qu'ils se produisent », explique David Odmark.

Greenlight Guru est doté d'une approche de sécurité à plusieurs niveaux qui identifie les attaques dès le départ et alerte les membres de l'équipe concernés en cas de non-conformité, avec des recommandations adaptées au contexte pour une remédiation efficace.

En classant les événements de l'environnement Greenlight Guru en alertes élevées, moyennes ou faibles, la plateforme de données Polygraph® de Lacework optimise le processus de gestion de la sécurité, permettant ainsi un flux de travail plus efficace et productif au sein de l'organisation. La plateforme permet d'acquérir une compréhension de base de l'environnement unique de Greenlight Guru afin de déterminer quel est le comportement normal à tout moment, de manière à détecter les écarts, sans aucune liste prédéfinie de règles, et d'envoyer des alertes à l'équipe. Ces alertes permettent à Greenlight Guru de voir et de comprendre les modifications apportées au cloud à grande échelle. Greenlight Guru a mis en place des politiques internes et une automatisation concernant ces alertes, ce qui permet également de normaliser les protocoles et les réponses de sécurité des équipes.

Une équipe de trois personnes chez Greenlight Guru peut mener à bien ses opérations de sécurité tout en assumant d'autres responsabilités.

« La plateforme Lacework prend en charge toutes les tâches les plus lourdes. Cela signifie que notre équipe peut se concentrer sur d'autres activités importantes de notre entreprise et sur d'autres aspects de la sécurité. C'est extrêmement précieux », déclare David Odmark.