Alors que le secteur bancaire pakistanais continue d'évoluer et de se développer, les régulateurs gouvernementaux ont contribué à maintenir la dynamique du secteur en publiant de nouvelles directives en réponse à la hausse des risques et des menaces. La plus récente d'entre elles, connue sous le nom de Politique de cybersécurité 2021, appelle les banques à moderniser les systèmes et les procédures qu'elles ont mis en place pour détecter, répondre et finalement contrecarrer les cyberattaques sous toutes leurs formes, qu'il s'agisse de logiciels malveillants, de hameçonnage, d'usurpation d'identité ou « d'écrémage » des données des cartes bancaires.
Pour le gouvernement pakistanais, l'objectif de ces nouvelles règles de cybersécurité était d'amener les banques du pays, qui jusqu'alors s'étaient concentrées principalement sur la croissance et la rentabilité, à se mettre à niveau dans un domaine largement négligé. Entre autres mesures, la nouvelle politique appelle les banques à maintenir des capacités de sécurité de base, notamment des centres d'opérations de sécurité (SOC) et des outils de réponse automatisés qui fonctionnent 24 heures sur 24, 7 jours sur 7.
Début 2019, alors que la politique était encore en cours d’élaboration, la banque Askari – comme la grande majorité des banques au Pakistan – ne disposait que des capacités de sécurité les plus rudimentaires, d’une gouvernance de sécurité limitée et d’aucun personnel de sécurité dédié. Jawad Khalid Mirza, qui a rejoint la banque en mars en tant que responsable de la sécurité des systèmes d’information (RSSI), avait pour mission principale de combler cette lacune. Dès le départ, explique-t-il, le soutien du conseil d'administration a créé un climat favorable à la transformation qu'il envisageait. « Notre conseil d'administration était conscient de la manière dont les banques du monde entier investissaient dans la sécurité », explique-t-il. « Ils ont reconnu que sans les bonnes capacités en matière de cybersécurité et sans les professionnels adéquats, nous ne pouvions pas aller de l'avant. »
Moins de 20 incidents de sécurité
Réduisez le nombre d'incidents de sécurité d'environ 700 par jour à moins de 20 en réduisant fortement le nombre de faux positifs.
5 minutes
Réduction du temps nécessaire pour corriger la situation, qui est passé de 30 minutes à 5 minutes en moyenne, grâce à l'implémentation d'une réponse automatisée.
Le principal défi auquel Jawad Khalid Mirza était confronté était peut-être la nécessité de construire et de doter en personnel un SOC de A à Z. Pour y parvenir, il devait choisir la solution logicielle de sécurité qui répondrait le plus efficacement et le plus économiquement aux besoins techniques, y compris l'intégration de la solution aux principaux systèmes bancaires d'Askari Bank. En outre, il devait mettre en place l'équipe chargée d'établir et de gérer les opérations techniques quotidiennes du SOC, notamment la détection et le traitement des incidents de sécurité, qui sont d'une importance capitale. La tâche exigeait une expérience chevronnée du SOC, et il l'a trouvée en la personne d'Umair Shakil.
Peu de jours après avoir rejoint Askari Bank en tant que responsable de l'équipe du SOC, Umair Shakil était en pleine délibération avec Jawad Khalid Mirza sur la décision très importante de la plateforme. Lors de sa mission précédente, à savoir diriger les opérations de sécurité pour l'un des plus grands fournisseurs de télécommunications du Pakistan, Umair Shakil avait déployé avec succès la solution IBM Security QRadar. C'est à la suite de cette expérience positive qu'IBM Security s'est retrouvé sur la liste des candidats retenus, aux côtés des solutions de sécurité de Microsoft et de Splunk.
Sur la base des preuves de concept envoyées par chaque fournisseur, Umair Shakil et Jawad Khalid Mirza ont procédé à des analyses comparatives rigoureuses basées sur trois dimensions essentielles : la performance du système, l'interopérabilité et la facilité d'utilisation. En plus de ces facteurs, Jawad Khalid Mirza explique que le choix de la plateforme QRadar reflète leur confiance dans la feuille de route qu'IBM a créée. « Nous nous considérons vraiment en phase avec la direction prise par IBM avec la plateforme QRadar », déclare-t-il. « Pour nous, cela reflète l'engagement d'IBM à rendre encore meilleure une excellente solution de sécurité. »
En examinant les caractéristiques qui ont favorisé la solution QRadar par rapport à celles de Microsoft et Splunk, Umair Shakil souligne que la facilité d'intégration est l'un de ses points forts. « L'un des avantages de QRadar est qu'elle offre de multiples possibilités d'intégration avec nos systèmes bancaires de base, plutôt qu'une seule méthode », explique-t-il. « Comme nous l'avions espéré, cela s'est avéré être un énorme avantage lors de l'implémentation. »
Pour mettre en œuvre la solution, Askari Bank a fait appel à un partenaire commercial IBM, Software Productivity Strategists, Inc. (SPS), qui a travaillé en étroite collaboration avec Umair Shakil et son équipe du SOC en pleine croissance. Pour la détection des menaces, le composant central de la solution est IBM® Security QRadar SIEM, son produit de gestion des informations et des événements de sécurité qui permet à la banque d'agréger les journaux provenant de diverses sources dans un référentiel unique. Cela permet au personnel du SOC d'effectuer des corrélations et d'escalader les différents journaux afin d'identifier rapidement les incidents de sécurité et de les classer par ordre de priorité.
Lorsqu'il s'agissait de répondre aux incidents de sécurité, la règle générale de la banque était d'automatiser partout où cela était possible. Son approche de base consistait à utiliser les fonctionnalités du protocole avec IBM Security QRadar SOAR, sa solution d'orchestration, d'automatisation et de réponse en matière de sécurité. Lors de la phase de déploiement initiale, SPS a proposé une série de cas d'utilisation tirés de son expérience dans l'implémentation de scénarios de réponse automatisés pour d'autres clients. Ces cas d'utilisation ont ensuite été traduits en protocoles spécifiques qui définissent la séquence d'escalade de chaque incident vers les niveaux de réponse supérieurs ou, le cas échéant, le déclenchement de l'intervention d'un membre de l'équipe d'intervention du SOC.
Après avoir travaillé avec SPS pour déployer 10 protocoles, l'équipe d'Askari Bank – avec l'aide de SPS – en développe continuellement d'autres, avec pour objectif final la mise en place d'environ 35 protocoles automatisés. Pour Nayab Akbar, vice-président adjoint de SPS for Enterprise Security et acteur clé de l'engagement, les progrès de la banque montrent clairement que l'équipe du SOC est en bonne voie. « Aujourd'hui, l'équipe d'Askari discute elle-même des cas d'utilisation de la sécurité, et elle sait comment les traduire en protocoles », explique Akbar. « C'est exactement ce que vous voulez que vos clients fassent : consacrer leur temps et leurs efforts à élaborer des cas d'utilisation à automatiser. »
Si le fait d'empêcher les menaces de se transformer en failles de sécurité est la mesure ultime du succès d'un SOC, l'efficacité avec laquelle il y parvient est également essentielle sur le plan opérationnel. Et c’est là que les efforts d’automatisation d’Askari Bank ont réellement porté leurs fruits. Grâce à la capacité de QRadar SIEM à éliminer les faux positifs, le SOC de la banque a réduit le nombre d'incidents de sécurité d'environ 700 par jour à moins de 20. En outre, le protocole QRadar SOAR implémenté dans le SOC permet au personnel de résoudre ces incidents en 5 minutes en moyenne, alors qu'il fallait jusqu'à 30 minutes avant la transformation du système de sécurité de la banque.
Comme le souligne Umair Shakil, toutes ces améliorations d'efficacité basées sur l'automatisation signifient que le personnel du SOC peut filtrer les incidents à faible priorité et les faux positifs qui peuvent submerger un SOC et se concentrer sur le traitement des risques réels et la recherche de vulnérabilités. « Pour qu’un SOC soit efficace, la capacité à hiérarchiser notre réponse aux risques de sécurité les plus urgents est presque aussi importante que la détection », explique Umair Shakil. « À cet égard, la solution QRadar que nous avons déployée a permis à notre équipe d'être beaucoup plus efficace dans la lutte contre les menaces. »
Il est important de noter que les menaces proviennent à la fois de l'extérieur et de l'intérieur de la banque. Cela nous amène à l'un des principaux problèmes de sécurité auxquels sont confrontées non seulement les banques, mais aussi toutes les organisations : la gestion des menaces de sécurité émanant des « initiés ». Dans de nombreux cas, les signes révélateurs d'une menace interne sont à la fois des tentatives de connexion ratées et un comportement atypique ou anormal au sein du réseau, par exemple, lorsqu'un employé tente d'accéder à une application ou à une base de données. Pour détecter ces risques, Askari Bank utilise l'application d'analyse du comportement des utilisateurs (UBA). En combinant les règles comportementales et les analyses avec les données de journal et d'activité déjà stockées dans QRadar, l'application UBA a permis au personnel du SOC de la banque de rationaliser la surveillance, la détection et les enquêtes, améliorant ainsi l'efficacité de la gestion des menaces internes. De plus, comme l'UBA utilise des algorithmes analytiques pour détecter les écarts dans les activités des utilisateurs (plutôt que des règles strictes), Askari Bank a pu les utiliser pour réduire la fréquence des incidents de faux positifs.
Bien qu'il n'y ait pas d'indicateur unique de la distance parcourue par Askari Bank pour améliorer sa posture de sécurité depuis qu'elle a travaillé avec SPS pour déployer sa nouvelle solution QRadar, il y a de nombreux éléments de preuve. Par exemple, un SOC qui n'existait pas il y a trois ans est aujourd'hui doté d'une équipe de plus de 20 spécialistes. En outre, la banque dispose d'un atout qu'elle n'avait pas auparavant : la visibilité des menaces. Grâce aux capacités de corrélation de QRadar SIEM et à sa capacité à fournir des alertes très fiables, Askari Bank peut désormais obtenir une vision précise du nombre d'infractions qu'elle subit 24 heures sur 24 et 7 jours sur 7.
Outre cette visibilité considérablement améliorée des menaces, souligne Jawad Khalid Mirza, les réponses automatisées mises en œuvre par QRadar SOAR permettent au personnel du SOC de travailler de manière plus efficace et proactive pour tenir à distance les cybermenaces d'aujourd'hui et celles émergentes de demain. « Le fait que nous soyons désormais en mesure de respecter les réglementations pakistanaises en matière de cybersécurité est essentiel, mais ce n'est que le début », explique-t-il. « Avec QRadar, nous disposons désormais de l'efficience et de la flexibilité nécessaires pour nous adapter à un environnement de cybermenaces en constante évolution, quelle que soit la rapidité de notre croissance. »
Basée à Rawalpindi, au Pakistan, Askari Bank (lien externe à ibm.com) est une banque commerciale et de détail comptant 560 succursales à travers le Pakistan et une succursale bancaire de gros à Bahreïn. Créée en 1991, Askari Bank est une unité du groupe Fauji, avec un chiffre d'affaires de 4,2 milliards de dollars américains en 2021 et environ 7 500 employés.
Basé à Rockville, dans le Maryland, avec des bureaux à Islamabad au Pakistan, le partenaire commercial IBM SPS (lien externe à ibm.com) développe des solutions industrielles qui tirent parti de l'IA et du cloud. En tant qu'innovateur et créateur de solutions d'entreprise possédant une expertise dans toutes les phases de la conception, du développement, du déploiement, de la sécurité, des opérations, de la surveillance et du support, SPS aide ses clients à créer, déployer et sécuriser leurs applications. Ses équipes de développement, de qualité, de cybersécurité, de formation, d'opérations, de surveillance et d'assistance travaillent en tandem pour créer des systèmes performants, sécurisés, fiables, évolutifs et gérables.
Aspects juridiques
© Copyright IBM Corporation 2023. IBM Corporation, New Orchard Road, Armonk, NY 10504
Produit aux Etats-Unis d’Amérique. Mars 2023.
IBM, le logo IBM, IBM Security et QRadar sont des marques commerciales ou des marques déposées d'International Business Machines Corporation, aux Etats-Unis et/ou dans d'autres pays. Les autres noms de produits et de services peuvent être des marques d’IBM ou d’autres sociétés. La liste actualisée de toutes les marques d’IBM est disponible sur ibm.com/trademark.
Microsoft, Windows, Windows NT et le logo Windows sont des marques commerciales de Microsoft Corporation aux États-Unis, dans d'autres pays, ou les deux.
Les informations contenues dans le présent document sont à jour à la date de publication initiale et peuvent être modifiées sans préavis par IBM. Les offres mentionnées dans le présent document ne sont pas toutes disponibles dans tous les pays où la société IBM est présente.
Toutes les références clients mentionnées ou décrites illustrent la façon dont certains clients ont utilisé les produits IBM et précisent les résultats qu'ils ont pu obtenir. Les chiffres réels en termes de coûts environnementaux et de performances peuvent varier d'un client à l'autre en fonction de la configuration et des conditions de fonctionnement. En général, les résultats attendus ne peuvent pas être garantis, car les résultats de chaque client dépendent entièrement des systèmes du client et des services commandés. LES INFORMATIONS CONTENUES DANS LE PRÉSENT DOCUMENT SONT FOURNIES « EN L'ÉTAT », SANS AUCUNE GARANTIE EXPLICITE OU IMPLICITE, NOTAMMENT SANS AUCUNE GARANTIE DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER ET TOUTE GARANTIE OU CONDITION D'ABSENCE DE CONTREFAÇON. Les produits IBM sont garantis conformément aux dispositions des contrats qui régissent leur utilisation.
Déclaration sur les bonnes pratiques de sécurité : aucun système ou produit informatique ne doit être considéré comme complètement sécurisé, et aucun produit, service ou mesure de sécurité ne peut être totalement efficace pour empêcher une utilisation ou un accès non autorisé. IBM ne garantit pas qu’un système, un produit ou un service quel qu’il soit est à l’abri ou mettra votre entreprise à l’abri d’une conduite malveillante ou illégale de quelque partie que ce soit.
Il incombe au client de respecter l'ensemble des lois et réglementations applicables. IBM ne fournit pas de conseils juridiques et ne déclare ni ne garantit que ses services ou ses produits mettront le client en conformité avec la législation ou la réglementation en vigueur.