John Sander

Comment Wesco a traversé le bruit et la gestion des risques repensée

Lucas Morel

Le fournisseur de solutions de chaîne d’approvisionnement a utilisé la consolidation des données et l’IA pour transformer des alertes de sécurité écrasantes en priorités claires, en gardant du temps et en réduisant les risques.

Wesco est surtout connu comme l’un des principaux partenaires de la chaîne d’approvisionnement qui fournit des systèmes électriques et de communication et des équipements de sécurité aux services publics, fabricants, hôpitaux et entreprises de construction.

Mais dans les coulisses, l’entreprise est confrontée au même défi que toutes les organisations avec: comment gérer des milliers d’alertes de sécurité. Pour Wesco, la question était claire: comment séparez-vous ce qui est urgent de ce qui peut attendre?

Cette question a inspiré «l’initiative de gestion des risques prioritaire de Wesco, un projet conçu pour couper l’encombrement d’alerte. En tirant des données de risque de différentes plateformes dans un seul cadre, la société a donné à ses équipes une vision plus claire des vulnérabilités de sécurité et de la capacité de se concentrer sur les menaces les plus urgentes.

Quatre pierres angulaires de la stratégie de gestion des risques de Wesco

La nouvelle approche de Wesco reposait sur quatre stratégies principales, chacune conçue pour rendre la gestion des risques plus exploitable pour les équipes responsables.

  • Défense proactive: Les flux de renseignement sur les menaces en temps réel permettent à Wesco de repérer et de neutraliser les vulnérabilités avant de dégénérer.
  • Amélioration de la conscience: Les développeurs et les équipes de sécurité ont une visibilité plus claire dans les menaces zéro-jours et peuvent agir plus rapidement.
  • Amélioration de la posture de sécurité de l’application: Un «programme de champions de sécurité» garantit que la responsabilité ne correspond pas uniquement à l’équipe de sécurité, mais dans les équipes de développement et de direction.
  • Atténuation des risques dirigés par l’IA: L’intelligence artificielle aide les développeurs à résoudre les vulnérabilités plus rapidement en automatisant des tâches manuelles telles que le dépannage des alertes et le crible à travers les analyses de vulnérabilité.

L’épine dorsale du projet est l’intégration. Wesco a connecté plus d’une douzaine de plates-formes, dont GitHub, Azure DevOps, Veracode, JFrog, Kubernetes, Microsoft Defender et Crowdstrike – en une seule vue.

«Les équipes de sécurité ont été inondées d’alertes et n’avaient aucune vision holistique des risques de sécurité», explique John Sander, vice-président de Wesco et directeur de la sécurité de l’information.

«Nous avons consolidé toutes ces données, et nous utilisons désormais la gestion de la posture de sécurité des applications (ASPM), la modélisation des menaces et la notation des risques pour rationaliser la visibilité des risques et nous adapter aux menaces en évolution.»

Les défis de transformer le chaos en clarté

Aucune stratégie de gestion des risques ne se déroule facilement et l’initiative de Wesco a été confrontée à des obstacles.

Le premier défi a été le volume. Des milliers d’alertes sont diffusées à partir de diverses plates-formes, sans aucun moyen de séparer les menaces réelles du bruit. En plus de cela, les données fragmentées ont créé des lacunes de visibilité. Chaque plate-forme n’a fourni qu’une partie de l’image, ce qui rend difficile la compréhension du véritable paysage des risques.

Le chevauchement n’a pas aidé non plus. La même vulnérabilité peut apparaître dans plus d’un outil, ce qui signifiait que les équipes ont perdu un temps précieux à y traiter plus d’une fois. Et sans responsabilité claire, les développeurs et les unités commerciales n’étaient pas toujours sûrs qui était responsable de l’assainissement.

Sander se souvient d’un exemple particulièrement frustrant: «La même vulnérabilité tierce pourrait apparaître à la fois dans Veracode et Github, et différentes équipes essaieraient de le réparer de manière incohérente.»

Une percée clé est survenue lorsque l’équipe a commencé à utiliser les programmes et technologies suivants pour évaluer les menaces.

  • Programme de champions de sécurité: Attribue la propriété de sécurité au sein des équipes de développement
  • ASPM et modélisation des menaces: Fournit une notation des risques automatisée et des informations centralisées
  • Automatisation de sécurité alimentée par AI: Automatise la résolution de vulnérabilité à l’aide d’outils assistés par AI
  • Rapports des risques opérationnels: Assure la visibilité de bout en bout des développeurs aux cadres

«Avec ces outils, nous avons pu demander: y a-t-il un exploit connu? Y a-t-il des contrôles atténuants en place? Et quel est l’impact réel de l’entreprise?» dit Sander.

Résultats qui déplacent l’aiguille de gestion des risques

En combinant l’automatisation, l’IA et la responsabilité, l’équipe a accéléré la détection et l’assainissement de la vulnérabilité tout en allant la pression sur les développeurs et le personnel de sécurité.

Les résultats de l’initiative de gestion des risques de Wesco ont été impressionnants, explique Sander, et les chiffres aident à raconter l’histoire.

Certaines des améliorations remarquables comprennent:

  • 9 000 heures de développement économisées chaque année Grâce à l’automatisation qui gère une grande partie du travail de dépannage manuel.
  • 30% de baisse des scores de risque d’application à travers les systèmes critiques, donnant à l’entreprise une posture de sécurité plus forte.
  • 50% moins de nouvelles vulnérabilitésaidant à réduire la dette de sécurité à long terme.
  • Temps de résolution plus rapidesavec l’IA aidant les développeurs à identifier les causes profondes et à suggérer rapidement les correctifs.
  • Notes externes plus élevéesy compris les scores Bitsight améliorés, qui renforcent la confiance des clients.

Peut-être encore plus important que les chiffres a été un changement de culture qui mélange la sécurité et le développement de logiciels. Grâce au programme Champions de sécurité de Wesco, les développeurs n’attendent plus que l’équipe de sécurité remette les correctifs; Ils fixent eux-mêmes des vulnérabilités au début du cycle de vie du développement.

«Par exemple, lorsque Veracode a signalé une vulnérabilité de conteneurs critique, le champion de sécurité de cette équipe a utilisé des outils d’IA pour identifier la cause profonde et appliquer une correction en quelques heures sans compter sur l’équipe centrale de l’APPSEC», explique Sander.

«Ce changement culturel a raccourci les cycles de réponse et accru la collaboration à travers l’organisation.»

Clés à la gestion des risques plus intelligents: visibilité et propriété

Lorsqu’on lui a demandé quels conseils il donnerait à d’autres dirigeants de la sécurité sur la gestion des risques, Sander est simple: rassembler les données et faire partie de la sécurité du travail de chacun.

«Lorsque vous consolidez les données de tous les outils de sécurité dans une plate-forme centralisée, vous éliminez la duplication, rationalisez le triage et obtenez une vraie image du risque», dit-il.

Tout aussi important, ajoute Sander, éloigne la sécurité de son silo et l’intégre dans les travaux quotidiens dans les départements. C’est là que la culture entre en jeu.

«Les programmes de champions de sécurité comme les nôtres créent une responsabilité distribuée», dit-il. «Les développeurs verront la sécurité comme faisant partie de leur rôle s’ils ont des outils qui aident plutôt que d’obstruer.»

L’initiative primée de Wesco prouve que la gestion des risques ne doit pas être écrasante. Avec la consolidation des données, l’automatisation et une culture qui partage la responsabilité, la société a transformé un flot d’alertes de sécurité en priorités claires et exploitables.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Hacker in a dark hoody sitting in front of a notebook with digital north korean flag and binary streams background cybersecurity concept
Des pirates nord-coréens exploitent les outils de sécurité de Google pour effacer à distance
La Commission européenne DSGVO pour KI et Cookie-Tracking Lockern
La Commission européenne DSGVO pour KI et Cookie-Tracking Lockern
Qu’est-ce que Discord et est-ce dangereux ? | Chouette noire
Qu’est-ce que Discord et est-ce dangereux ? | Chouette noire