Gérant plus de 4,3 billions de dollars d'actifs, Fannie Mae se classe au quatrième rang des plus grandes entreprises au monde en termes d'actifs. Avec de tels enjeux, l'entreprise s'efforce d'échapper aux cybercriminels à l'aide d'une variété de solutions de sécurité des applications F5 que les collègues informatiques de Fannie Mae qualifient de « haut de gamme ».
Depuis près d’un siècle, Fannie Mae permet aux Américains d’acheter, de refinancer ou de louer des maisons. Plutôt que de prêter de l’argent directement aux emprunteurs, la société achète des prêts hypothécaires, fournit des financements aux prêteurs et émet des titres adossés à des créances hypothécaires. En tant qu'entreprise parrainée par le gouvernement et société cotée en bourse, Fannie Mae s'associe à divers prêteurs, organisations à but non lucratif et autres pour aider les locataires et les acheteurs de maisons à obtenir et à conserver plus de 2,5 millions de logements par an.
Fannie Mae gère près de 1 000 applications numériques, dont environ un tiers sont destinées à des clients et partenaires externes. Ils sont déployés dans une architecture hybride d’environnements cloud et sur site.
« La technologie est l'épine dorsale de l'entreprise », déclare Aparna Kadari, directrice de la sécurité de l'information chez Fannie Mae.
Ruban Thangaraj, responsable associé des opérations de sécurité de l'information, convient que les expériences numériques sont fondamentales pour les opérations de l'entreprise. Il déclare : « En mettant l’accent sur l’accessibilité, la personnalisation, la communication et l’adaptabilité, notre entreprise peut créer des relations solides avec nos clients dans le paysage numérique. Et la cybersécurité joue un rôle très important pour offrir cette expérience numérique à nos clients, qu'il s'agisse de protéger leurs données personnelles, de leur fournir des mesures de sécurité conviviales ou de rendre transparente notre réponse aux incidents de sécurité et de renforcer ainsi leur confiance.
Ces objectifs sont devenus plus difficiles à atteindre à mesure que la cybercriminalité s’intensifie. Vasanth Barre, directeur de l'ingénierie et des opérations de sécurité de l'information de l'entreprise, déclare : « La sophistication des attaques a considérablement augmenté au fil des ans. Le défi consiste à s’adapter à ce paysage en constante évolution tout en veillant à ce que notre posture de sécurité prenne en charge nos applications métier. »
Avec des centaines de personnes composant le personnel informatique de Fannie Mae, Barre ajoute : « Notre principal obstacle est de disposer des ressources avec la compréhension nécessaire de la technologie pour la configurer correctement. « Choisir le bon partenaire capable de fournir et de traiter de nouvelles données de télémétrie est primordial. »
Fannie Mae utilise une approche multidimensionnelle de la distribution et de la sécurité des applications qui intègre plusieurs stratégies et technologies pour aider simultanément à optimiser et à sécuriser les applications. Les technologies F5 font partie de cette approche depuis plus d’une décennie.
« F5 est reconnu dans l’industrie pour fournir des solutions robustes dans le domaine de la cybersécurité », déclare Barre. « F5 propose des solutions de premier ordre adaptées pour faire face aux défis de sécurité en constante évolution sans compromettre les normes de diffusion des applications. »
Kadari ajoute : « Les produits et services F5 sont fortement recommandés, tout comme l'expertise de F5 en matière de sécurité des applications et des réseaux et d'autres domaines pertinents pour la gestion d'écosystèmes complexes tels que le nôtre. »
Dans le cadre d'une transition pluriannuelle vers le cloud, Fannie Mae a besoin de mesures de sécurité qui peuvent aider à protéger ses données et ses applications, à la fois pendant le transit et après le déplacement des applications vers le cloud. Kadari déclare : « Nous essayons de réduire notre infrastructure et notre empreinte sur site, car le passage au cloud offre une plus grande flexibilité et une plus grande évolutivité, ce qui nous permet de nous concentrer efficacement sur des choses plus importantes et meilleures. »
C’est pourquoi Barre et Thangaraj espèrent que les services cloud distribués F5 feront partie de leur gamme de produits F5 sur la base d’une évaluation réussie. Les solutions et packages de solutions Cloud distribués qui les intéressent incluent la protection des applications Web et des API Cloud distribuées (WAAP), ainsi que des fonctionnalités de défense contre les robots.
« Les solutions F5 nous aident à protéger nos applications externes critiques contre les menaces de sécurité et les vulnérabilités afin que nos applications externes soient opérationnelles, prenant en charge la haute disponibilité, l'évolutivité et les performances », explique Thangaraj. « Les produits F5 font tous un travail formidable pour nous. »
La gestion du trafic et l'équilibrage de charge F5 sont importants pour la distribution des applications de Fannie Mae, ainsi que la protection des portails de connexion des solutions VDI de l'entreprise. Pour d’autres besoins de sécurité, Barre affirme que BIG-IP Advanced WAF a été particulièrement utile.
« BIG-IP Advanced WAF a joué un rôle très important dans la définition de la sécurité de nos applications », dit-il. « Nous utilisons largement ses fonctionnalités de sécurité natives. » Par exemple, les signatures d’attaque, la télémétrie RADIUS et les défenses contre les robots de diverses solutions F5 ont été particulièrement utiles pour protéger Fannie Mae contre des menaces allant des demandes d’origine croisée illégales au bourrage d’informations d’identification.
Barre cite la vulnérabilité Log4j comme exemple. « Lorsque Log4j a été publié, nous avons pu identifier les télémétries, écrire rapidement la signature d'attaque manuelle pour ces télémétries et constater que les signatures manuelles bloquaient les attaques avec succès. Pour le zero-day gap, BIG-IP Advanced WAF a fourni une solution.
Kadari et Thangaraj soulignent tous deux la facilité de mise en œuvre des produits F5 et leur efficacité opérationnelle.
« Les produits F5 sont extrêmement conviviaux, avec la facilité des événements et des rapports et la façon dont ils réduisent notre complexité opérationnelle », déclare Thangaraj. « Cela signifie que nos équipes commerciales peuvent se concentrer sur la réalisation de notre mission. »
Pour des raisons similaires, il attend avec impatience F5 BIG-IP NEXT, le logiciel F5 BIG-IP de nouvelle génération. Il déclare : « BIG-IP NEXT va augmenter les performances et renforcer la sécurité tout en réduisant la complexité opérationnelle et les coûts. »
« L’équipe d’assistance F5 est géniale », déclare Thangaraj. « Ils réagissent rapidement, vont au fond des problèmes et aident à trouver une solution. »
Barre fait également l'éloge de la communauté F5 DevCentral, qui fournit une expertise, des solutions à des défis spécifiques et des outils tels que des descriptions de vulnérabilités. « DevCentral est mon partenaire de référence depuis longtemps », dit-il, ajoutant qu’il envoie souvent des liens de sites à ses collègues. « Cela a toujours été une excellente ressource. »
Dans l’ensemble, Kadari affirme que les technologies et le support de F5 sont importants pour gagner la confiance des clients de Fannie Mae. Lorsqu'on lui demande de décrire en quelques mots les produits F5, elle répond : « Confiance, efficacité et impact. Il est impératif de mettre en place les bonnes solutions, et l’impact que nous avons créé avec F5 est extrêmement significatif. »
Elle conclut : « En ayant F5 dans le mix et en soutenant notre paysage externe, nous renforçons nos relations avec nos clients et sommes en mesure d'offrir le sommeil que nos clients et nos employés informatiques méritent. »