Structurele offensive security capaciteit voor internationale retailer
Over de organisatie
Internationale retailorganisatie met 22.000 medewerkers, 450 winkels in 6 landen en een e-commerce platform dat 15 miljoen transacties per jaar verwerkt. PCI DSS Level 1 gecertificeerd. Jaarlijks budget van 800.000 euro voor offensive security assessments.
De Uitdaging
De retailer besteedde jaarlijks 12-15 offensive security assessments uit aan wisselende leveranciers. Dit leidde tot drie problemen: inconsistente kwaliteit (sommige pentest rapporten waren onbruikbaar), gebrek aan continuïteit (elke keer opnieuw de omgeving uitleggen), en hoge procurement-overhead (12 aanbestedingen per jaar via het inkoopproces). De CISO schatte dat 30% van het offensive security budget verloren ging aan inefficiëntie.
Daarnaast had de organisatie specifieke behoeften die moeilijk in te vullen waren: PCI DSS-gerichte pentests voor het betaalplatform, red teaming voor de supply chain (warehouse management systemen), mobiele app security testing voor de klant-app met 3 miljoen gebruikers, en social engineering assessments voor de winkelmedewerkers. Geen enkele individuele leverancier kon dit volledige spectrum afdekken met consistent hoge kwaliteit.
Onze Oplossing
MVPartners trad op als single point of contact voor alle offensive security behoeften. We cureerden een netwerk van 4 gespecialiseerde boutique offensive security firms, elk geselecteerd op hun specifieke expertise: een PCI DSS pentest specialist, een red team firma met supply chain ervaring, een mobiele security testing bureau, en een social engineering specialist.
Het MVPartners model werkte als volgt: de CISO communiceert één scope en planning aan MVPartners, wij matchen de juiste partner aan de juiste opdracht, managen de kwaliteit via onze review-standaarden, en consolideren alle rapportages in een uniform format. Daarnaast introduceerden we een continuous testing model: in plaats van 12 losse assessments voerden de partners doorlopend tests uit op basis van een jaarplanning, afgestemd op de release cycles van het development team.
Resultaten
- Van 12 losse aanbestedingen naar 1 doorlopend contract met 4 gevalideerde partners
- Consistente rapportagekwaliteit: CVSS-scores gestandaardiseerd, uniform format
- Procurement overhead gereduceerd met 85% (van 12 naar 1 aanbesteding per jaar)
- Gemiddelde doorlooptijd van scopeaanvraag tot start pentest gedaald van 6 weken naar 5 werkdagen
- Vulnerability remediation rate gestegen van 64% naar 91% dankzij verbeterde rapportages
“Dankzij MVPartners hebben we altijd toegang tot de juiste offensive security expertise, zonder zelf te hoeven werven of aanbesteden. Onze CVSS remediation rate is gestegen van 64% naar 91% — dat zegt alles over de kwaliteitsverbetering.”
Wat het team zegt
“Het continuous testing model was een game-changer. Onze developers krijgen nu feedback tijdens de sprint, niet 6 weken later wanneer de code al in productie draait.”
“De social engineering assessments waren eye-opening. MVPartners selecteerde een bureau dat onze winkels fysiek bezocht en via tailgating het warehouse wist binnen te komen. Dat soort testen hadden we nooit eerder laten doen.”
Klaar voor uw eigen succesverhaal?
Neem contact op en ontdek hoe MVPeople Group ook uw cybersecurity team kan versterken.