Finfare Financial Inc. est une société de technologie financière qui aide les entreprises et les consommateurs à faire fructifier leur argent, à gérer leurs dépenses et à prendre le contrôle de leur avenir financier. Comme Finfare traite des informations financières et d'identité personnelle, elle opère dans un environnement hautement réglementé. Ici, la sécurité et la conformité ne sont pas de simples cases à cocher, mais sont fondamentales pour maintenir la confiance des clients. En adoptant Chainguard, Finfare a pu maintenir la conformité tout en atteignant de nouveaux niveaux d'efficacité.

Défi : Faire évoluer la sécurité et la conformité tout en maintenant la vitesse

Pour Chad Brustin, vice-président de la sécurité de l'information chez Finfare, le défi auquel son équipe a été confrontée était double : prioriser les correctifs de sécurité de manière efficace tout en veillant à ce que la vitesse de développement ne soit pas affectée. Avec un nombre élevé de vulnérabilités dans leurs images de conteneurs et des ressources d'ingénierie limitées, il était difficile pour Finfare d'exécuter ces deux priorités sans faire de compromis importants.

En outre, le respect des exigences de conformité strictes telles que PCI, SOC 2 Type 2 et ISO 27001 était essentiel pour maintenir la confiance des clients et l'approbation réglementaire, et Finfare voulait être en mesure de présenter des améliorations de sécurité quantifiables aux auditeurs.

La solution : Une approche sécurisée par défaut avec les conteneurs Chainguard

Lorsque Chad a été présenté à Chainguard par son équipe DevOps, il a vu une opportunité immédiate de valider son impact. Son approche était simple : mettre Chainguard Containers à l'épreuve. Même dans le cadre d'une simple démonstration de faisabilité, vous pouvez voir la valeur instantanément - il suffit de l'exécuter avec n'importe quel outil d'analyse statique et de regarder le nombre de vulnérabilités qu'il élimine", a partagé Chad.

Juan Diaz, ingénieur DevOps senior, a rapidement mis en place la solution. "Le déploiement de Chainguard Containers a été rapide et simple ", a déclaré Juan. "Nous avons poussé les images vers AWS ECR, mis à jour nos Dockerfiles et apporté quelques modifications mineures aux autorisations. C'était tout - un changement à faible effort avec des résultats à fort impact".

Les résultats ont parlé d'eux-mêmes. Après avoir évalué le nombre de vulnérabilités avant et après le déploiement, l'équipe a rapidement déployé Chainguard Containers pour Node et JDK dans 12 référentiels. En l'espace d'une semaine, la transformation était indéniable :

Construire la crédibilité

Pour Chad et les auditeurs de sécurité de Finfare, la valeur était évidente. Avec Chainguard Containers, Finfare pouvait présenter ses améliorations en matière de sécurité d'une manière tangible et basée sur des données, rationalisant ainsi les discussions sur la conformité et renforçant sa maturité en matière de sécurité. Comme le dit Chad, "un auditeur ne va pas me croire sur parole, il veut voir les données réelles. Avec Chainguard, nous pouvons montrer les scans jour par jour et semaine par semaine". Même pour les personnes qui n'ont pas de connaissances techniques, Chad a constaté qu'il était facile d'expliquer les améliorations apportées à la sécurité.

Efficacité et réduction des coûts

Finfare a également constaté que l'équipe pouvait réduire le temps et les efforts consacrés à la gestion des vulnérabilités. Les discussions sur la sécurité lors de la planification des sprints sont devenues plus ciblées, ce qui a permis aux équipes d'établir des priorités efficaces plutôt que de s'enliser dans des problèmes de faible priorité. Chad a déclaré : "Je peux passer moins de temps dans la planification du sprint à parler de toutes nos vulnérabilités. Les conteneurs Chainguard sont un moyen rapide de prendre du galon et de montrer des améliorations".

Pendant que Chad se consacre à d'autres tâches liées à la sécurité, les développeurs de logiciels de Finfare peuvent se concentrer sur ce qu'ils font le mieux : expédier des logiciels. Comme le dit Chad, "Chainguard me permet de me concentrer sur mon rôle et laisse les développeurs faire ce qu'ils font le mieux".

Le temps et les efforts économisés se traduisent directement par des économies. "Si l'on compare une équipe complète de 25 personnes planifiant des sprints pour la gestion des vulnérabilités à 100 dollars de l'heure avec les frais de licence de Chainguard, la valeur est assez évidente", a déclaré M. Chad.

Pour Finfare, l'intégration de Chainguard dans sa stratégie de sécurité a changé la donne. Comme le dit Chad, "même si vous passez deux semaines d'affilée à corriger des vulnérabilités, vous n'obtiendrez pas autant de victoires qu'avec Chainguard". Grâce à Chainguard, Finfare a pu rationaliser ses efforts de mise en conformité, présenter aux auditeurs des améliorations de sécurité tangibles et basées sur des données, et gagner beaucoup de temps et de ressources. Comme l'ajoute Chad, "si votre objectif est de passer à gauche rapidement et en toute sécurité sans casser des choses, Chainguard est un moyen testé pour y parvenir".