Generali France, una delle principali compagnie assicurative in Europa, fa parte del Gruppo Generali. Offre un’ampia gamma di prodotti e servizi assicurativi e finanziari, dedicandosi con particolare attenzione alla personalizzazione e alla sicurezza delle soluzioni proposte ai propri clienti.
Il modello on-premises e le sue sfide
All’interno di Generali France, molte applicazioni business-critical sono altamente personalizzate e progettate per rispondere alle esigenze del settore assicurativo. Per questo motivo, l’azienda ha sviluppato un’elevata competenza interna nella creazione di soluzioni software su misura. La sicurezza è da sempre una priorità e, in quest’ottica, era stato scelto Fortify Static Code Analyzer di OpenText con l’obiettivo di individuare tempestivamente eventuali vulnerabilità e risolverle in linea con i ritmi del ciclo DevOps.
Tuttavia, come spiega Xavier Pernot, specialista IS Security presso Generali France, l’approccio on-premises non rispondeva più alle esigenze aziendali:
“Apprezziamo la sicurezza fornita da Fortify, ma il modello on-premises non era ideale. Le nostre risorse interne sono limitate e preferiamo focalizzare i nostri sforzi sul valore aggiunto delle applicazioni, senza dover gestire l’infrastruttura. Inoltre, il nostro calendario di rilascio è stagionale: in certi periodi l’ambiente on-premises risultava sovraccarico, rallentando l’analisi di più applicazioni contemporaneamente; in altri periodi, invece, restava inutilizzato. Ci è apparso chiaro che un modello SaaS avrebbe funzionato molto meglio, anche se inizialmente avevamo qualche perplessità in merito alla privacy dei dati, poiché avremmo dovuto condividere informazioni sensibili con OpenText.”
Fortify on Demand: maggiore flessibilità e focalizzazione sul valore
OpenText è l’unico fornitore di soluzioni per la sicurezza applicativa a offrire test statici di sicurezza sia on-premises sia on demand, consentendo alle aziende di scegliere la soluzione più adatta.
Per Generali France, Fortify on Demand di OpenText (una soluzione SaaS su AWS) si è rivelata ideale. Le preoccupazioni sulla privacy dei dati sono state superate dal fatto che OpenText applica standard rigorosi di crittografia sia in transito sia a riposo. Inoltre, una volta terminata l’analisi, i dati non vengono conservati.
Xavier evidenzia un ulteriore vantaggio: «Fortify supporta un’ampia gamma di linguaggi di sviluppo, permettendoci di integrare un maggior numero di applicazioni nella nostra piattaforma DevSecOps.»
Passando a un modello SaaS, Generali France può aumentare rapidamente il volume di applicazioni analizzate, individuando e risolvendo più vulnerabilità prima del rilascio. Gli sviluppatori, liberi dall’onere di gestire l’infrastruttura, possono concentrarsi sull’analisi del codice e sulla correzione delle criticità individuate da Fortify on Demand.
“Desideriamo che i nostri sviluppatori siano il più autonomi possibile – commenta Xavier -. Il codice inviato viene analizzato nel dettaglio e i risultati sono presentati in un report consolidato. Grazie alle informazioni e ai chiarimenti sulle vulnerabilità disponibili nel portale di Fortify on Demand, i nostri sviluppatori comprendono meglio i problemi di sicurezza e possono gestirli in modo efficace.”
Nei casi in cui le vulnerabilità richiedano interventi più complessi, la visibilità garantita dallo strumento consente di stabilire priorità, risorse e tempistiche adeguate. Inoltre, l’integrazione di Fortify on Demand nelle prassi di sviluppo standard rende i team più consapevoli delle problematiche di sicurezza.
Collaborazione efficace e comunicazione chiara con il management
Fortify on Demand offre anche un’analisi della composizione del software open source. Grazie a dashboard, reporting avanzato e servizi aggiuntivi, i team di Generali France possono collaborare in modo più efficiente, mentre il management riceve informazioni puntuali e trasparenti. Raccogliendo e correlando le vulnerabilità di sicurezza con Fortify on Demand, Generali France può anticipare potenziali attacchi attraverso l’analisi dei rischi e la definizione delle priorità, costruendo al contempo un solido meccanismo di difesa.
“È essenziale che i nostri sviluppatori non lavorino in isolamento -, conclude Xavier -. La sicurezza applicativa va considerata nell’ambito dell’intero processo di sviluppo, non ridotta alla sola analisi statica del codice. Abbiamo implementato un framework di best practice per una difesa a più livelli, includendo analisi dinamiche e test di intrusione, supportati da documentazione e formazione. Fortify on Demand è pienamente integrato in questo impegno volto a migliorare la qualità e, soprattutto, la sicurezza delle applicazioni che forniamo al business.”