Le personnel de sécurité bancaire se concentre sur les nombreuses menaces qui pèsent sur les informations bancaires et sur les clients. Protéger les employés, les clients et leurs investissements est une tâche complexe. Pour être responsable de la sécurité dans une banque, mieux vaut aimer les défis.
Heureusement, la personne qui supervise la sécurité chez Commercial International Bank S.A.E. (CIB), la principale banque du secteur privé d’Egypte, relève ce défi avec brio.
« S’assurer que nous sommes toujours en sécurité est l’un des principaux défis que j’aime dans mon travail », déclare Shatssy Hassan, directeur de la sécurité (CSO) de CIB. « Nous sommes en mesure de transférer ce sentiment de confort à nos clients et de les encourager à collaborer avec une banque qui prend soin de leurs investissements et de leurs informations. »
CIB fournit des services bancaires aux particuliers et aux entreprises. C’est la plus grande banque privée d’Egypte, avec plus de 1 000 distributeurs automatiques à travers le pays et plus de 210 agences dans l’ensemble des gouvernorats égyptiens. M. Hassan est le responsable de la sécurité depuis 2014.
En 2016, la CIB a lancé une stratégie quinquennale visant à améliorer la gestion des identités et des accès (IAM) et la gouvernance des identités. « Il s’agit d’une stratégie continue qui va évoluer pour atteindre un objectif de configuration Zero Trust au sein de l’organisation », assure M. Hassan.
Gestion des identités à l’échelle
Gestion des identités sécurisée et transparente de 8 000 employés
Accès rapide
Accès aux nouvelles recrues et transferts de personnel réduits d’une semaine ou plus à moins d’1 journée
La CIB s’est d’abord concentré sur trois objectifs principaux. Le premier était d’intégrer, de transférer et de accueillir le personnel de manière transparente et pratique, en améliorant ces processus pour les rendre plus efficaces et moins coûteux et pour réduire les délais d’exécution. Auparavant, il fallait plus d’une semaine pour intégrer de nouvelles recrues et leur accorder l’accès nécessaire, un processus qui impliquait de nombreuses demandes de formulaire papier. Le transfert du personnel entre les services ou dans une autre agence nécessitait également beaucoup d’efforts manuels et impliquait de nombreuses demandes papier. Les congés prolongés et les démissions devaient être mieux traités et contrôlés pour garantir la révocation rapide des accès inutiles.
Le deuxième objectif était de mieux gérer et gouverner les identités privilégiées des administrateurs informatiques sur les serveurs et les systèmes. L’ancien processus manuel, basé sur des documents papier, manquait de visibilité sur ces identités, ce qui augmentait les risques de sécurité. Une visibilité, une gouvernance et un contrôle complets étaient essentiels pour s’assurer que les administrateurs informatiques disposaient des privilèges minimums nécessaires à l’accomplissement de leur tâche. En outre, la visibilité et la traçabilité des tâches administratives effectuées étaient essentielles pour la surveillance et la réponse aux incidents au centre d’opérations de sécurité (SOC) de la CIB.
L’objectif final était d’améliorer les processus de sécurité d’authentification des clients en étendant le contrôle IAM sur les canaux numériques de la CBI. Les clients devaient bénéficier d’une expérience de connexion transparente avec une sécurité et un contrôle améliorés.
Heureusement, M. Hassan aime relever les défis, car la mise en œuvre de cette stratégie en présentait un certain nombre.
Le premier défi a été de trouver un partenaire pour soutenir la mise en œuvre du plan. CIB a étudié le marché pour évaluer les solutions disponibles. « Nous savions que créer de nombreuses personnalisations créerait un environnement très complexe et ingérable », explique M. Hassan. « Nous voulions nous assurer que la plateforme serait suffisamment flexible pour répondre à nos besoins et maintenir des fonctionnalités prêtes à l’emploi avec un minimum de personnalisations. »
Il en a conclu qu’IBM® Security disposait des plateformes de gouvernance capables de soutenir la stratégie de la CIB. IBM était également disponible pour prodiguer ses conseils, ce qui était important pour l’équipe. Cet aspect consultatif a aidé la CIB à créer des modèles de gouvernance appropriés autour de ses applications.
IBM® Security a présenté les solutions IBM Security Guardium, IBM Identity and Access Management (IAM), IBM Security Identity Governance and Intelligence (IGI), IBM Privileged Access Management (PAM) et IBM Security Verify Privilege Manager. Ces solutions surveillent les bases de données de la banque, protègent les serveurs sensibles, gèrent la conformité, empêchent les violations de la répartition des tâches (SoD), automatisent les audits informatiques et établissent des limites pour les menaces identifiées. Ces fonctionnalités offrent à l’organisation un environnement plus riche en termes de sécurité.
Le deuxième défi consistait à intégrer les solutions aux systèmes en place. La CIB exécute un environnement informatique complexe avec plus de 120 applications. Au début de l’exécution de la stratégie en juillet 2017, l’équipe a adopté une approche agile.
« Nous avons décidé de nous concentrer sur des progrès à court terme, capables de générer une valeur commerciale pour les services », explique M. Hassan. « Et nous avons sélectionné les applications qui apportent de la visibilité aux habilitations sensibles auxquelles le personnel avait accès. »
La configuration de base s’est intégrée aux systèmes de ressources humaines (RH) de la CIB et à son système de contrôleur de domaine. Elle a ensuite intégré l’application bancaire principale, qui a été terminée en janvier 2018.
« Au moment où cette solution a été opérationnelle, nous avons commencé à intégrer de plus en plus d’applications de nature complexe grâce à IBM », explique M. Hassan.
Le troisième défi était le transfert des connaissances. Il s’agit d’un autre domaine dans lequel les consultants d’IBM ont fait partie intégrante de la solution. L’équipe IBM en Egypte a soutenu CIB tout en développant les compétences de l’équipe interne. Les employés ont appris à dépanner, à créer des workflows et à intégrer des applications pour maintenir les opérations quotidiennes.
« Nous nous sommes appuyés sur l’expertise et le support d’IBM. Ensuite, ils ont transmis les connaissances à l’équipe locale de gestion des identités et des accès et à la CIB pour qu’ils prennent la main et commencent à intégrer de plus en plus d’applications », explique M. Hassan.
L’intégration des solutions stratégiques aux systèmes existants de la CIB a posé de nombreux défis. Mais cela en valait la peine.
Le deuxième défi consistait à intégrer les solutions aux systèmes en place. La CIB exécute un environnement informatique complexe avec plus de 120 applications. Au début de l’exécution de la stratégie en juillet 2017, l’équipe a adopté une approche agile.
« Nous avons décidé de nous concentrer sur des progrès à court terme, capables de générer une valeur commerciale pour les services », explique M. Hassan. « Et nous avons sélectionné les applications qui apportent de la visibilité aux habilitations sensibles auxquelles le personnel avait accès. »
La configuration de base s’est intégrée aux systèmes de ressources humaines (RH) de la CIB et à son système de contrôleur de domaine. Elle a ensuite intégré l’application bancaire principale, qui a été terminée en janvier 2018.
« Au moment où cette solution a été opérationnelle, nous avons commencé à intégrer de plus en plus d’applications de nature complexe grâce à IBM », explique M. Hassan.
Le troisième défi était le transfert des connaissances. Il s’agit d’un autre domaine dans lequel les consultants d’IBM ont fait partie intégrante de la solution. L’équipe IBM en Egypte a soutenu CIB tout en développant les compétences de l’équipe interne. Les employés ont appris à dépanner, à créer des workflows et à intégrer des applications pour maintenir les opérations quotidiennes.
« Nous nous sommes appuyés sur l’expertise et le support d’IBM. Ensuite, ils ont transmis les connaissances à l’équipe locale de gestion des identités et des accès et à la CIB pour qu’ils prennent la main et commencent à intégrer de plus en plus d’applications », explique M. Hassan.
L’intégration des solutions stratégiques aux systèmes existants de la CIB a posé de nombreux défis. Mais cela en valait la peine.
Grâce à ses nouvelles solutions, les processus de sécurité CIB sont mieux hiérarchisés et sécurisés. Les nouvelles recrues n’attendent plus des semaines avant de pouvoir commencer à aider les clients. La nouvelle solution gère leur accès en quelques minutes.
De même, le transfert de personnel d’une agence à une autre se fait en quelques minutes. Désormais, la CIB aide plus rapidement ses agences en sous-effectif à couvrir les absences à court terme. L’intégration des applications est également devenue plus facile. L’équipe dispose de 80 de ses 120 applications sur le système. Lors de l’introduction d’une nouvelle application, le centre des opérations de sécurité (SOC) suit un ensemble défini de règles d’intégration qui s’exécutent en temps réel.
La CIB a également réduit les risques de sécurité grâce à la gestion des comptes privilégiés (PAM). Le SOC peut voir toutes les activités réalisées par les administrateurs informatiques sur tous les systèmes d’exploitation et bases de données. Cela garantit que les activités des utilisateurs sont conformes aux habilitations accordées. Le SOC peut également enregistrer les activités, si une enquête est nécessaire.
Et tout cela s’est fait sans affecter l’expérience utilisateur, sinon pour l’améliorer. En travaillant avec IBM, la CIB s’est assurée que l’expérience utilisateur était simple et transparente.
« La stratégie détaillée que nous avons mise en place consiste désormais à fournir aux clients des solutions plus sécurisées, » affirme M. Hassan. « L’approche robuste de notre stratégie de transformation numérique va de pair avec notre posture de sécurité. »
La stratégie de la CIB a réduit les efforts manuels de gouvernance des identités en gérant plus de 8 000 employés et en rationalisant le traitement des besoins de l’entreprise.
La CIB prévoit de continuer à travailler avec IBM sur sa stratégie continue en faveur du principe Zero Trust. « Le niveau de soutien que nous obtenons de la part des équipes locales et mondiales a été exceptionnel. Nous continuerons à travailler avec IBM® Security dans différents domaines pour atteindre les objectifs de la stratégie de sécurité de la CIB. »
Il ne fait aucun doute que le nombre de défis en matière de sécurité va continuer à augmenter, mais grâce à ce partenariat et à la stratégie d’IBM® Security, M. Hassan et la CIB sont prêts à les relever.
CIB (lien externe à ibm.com) est une grande banque du secteur privé basée en Egypte. Située au Caire, elle offre des produits et services financiers à plus de 1,4 million de clients, dont des entreprises de toutes tailles, des institutions, des ménages et des particuliers fortunés. Sa mission vise à « transformer les services financiers traditionnels en solutions simples et accessibles en investissant dans les personnes, les données et la numérisation pour répondre aujourd’hui aux besoins de demain ».
Mentions légales
© Copyright IBM Corporation 2022 IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Produit aux Etats-Unis, mars 2022.
IBM, le logo IBM, ibm.com, IBM Security et Guardium sont des marques commerciales d’International Business Machines Corp., déposées dans de nombreux pays. Les autres noms de produits et de services peuvent être des marques d’IBM ou d’autres sociétés. La liste actualisée de toutes les marques d’IBM est disponible sur la page Web « Copyright and trademark information » à l’adresse ibm.com/legal/copyright-trademark.
Les informations contenues dans le présent document étaient à jour à la date de sa publication initiale. Elles peuvent être modifiées sans préavis par IBM. Les offres mentionnées dans le présent document ne sont pas toutes disponibles dans tous les pays où la société IBM est présente.
Les données de performance et les exemples de clients cités sont présentés à titre informatif uniquement. Les résultats des performances peuvent varier en fonction des configurations et des conditions de fonctionnement. LES INFORMATIONS CONTENUES DANS LE PRÉSENT DOCUMENT SONT FOURNIES « EN L’ÉTAT », SANS AUCUNE GARANTIE EXPLICITE OU IMPLICITE, NOTAMMENT SANS AUCUNE GARANTIE DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER ET AUCUNE GARANTIE OU CONDITION D’ABSENCE DE CONTREFAÇON. Les produits IBM sont garantis conformément aux dispositions des contrats qui régissent leur utilisation.
Déclaration de bonnes pratiques de sécurité : la sécurité des systèmes informatiques consiste à protéger les systèmes et les informations par la prévention, la détection et la réponse aux accès inappropriés depuis et en dehors de votre entreprise. Tout accès non autorisé peut conduire à la modification, à la destruction, au détournement ou à l'utilisation abusive d'informations, ainsi qu'à l'endommagement ou à l'utilisation abusive de vos systèmes, notamment pour les utiliser dans des attaques contre d'autres personnes. Aucun système ou produit informatique ne devrait être considéré comme entièrement sécurisé et aucun produit, service ou mesure de sécurité ne peut être totalement efficace pour empêcher l'utilisation ou l'accès abusif. Les systèmes, produits et services d'IBM sont conçus pour fonctionner dans le cadre d'une stratégie de sécurité globale et conforme à la loi qui implique nécessairement des procédures opérationnelles supplémentaires, et peuvent nécessiter des performances maximales des autres systèmes, produits et services. IBM NE GARANTIT PAS QUE LES SYSTÈMES, PRODUITS OU SERVICES SONT PROTÉGÉS CONTRE LES AGISSEMENTS MALVEILLANTS OU ILLÉGAUX D'UN TIERS OU QU'ILS PROTÉGERONT VOTRE ENTREPRISE CONTRE DE TELS AGISSEMENTS.