KBC Group
Créer un groupe multinational de services bancaires et d’assurances cyberrésilient.
Deux personnes parlent d’un groupe multinational de services bancaires et d’assurances qui a atteint la cyberrésilience

En implantant la plateforme IBM Security SOAR (anciennement Resilient), KBC a de fait construit un hub central de réponse aux incidents de cybersécurité. L’entreprise est désormais capable de visualiser les menaces dans ses entités et de lancer les réponses (localement et au niveau du groupe) requises par de nombreuses réglementations.

Défi

En tant qu’entreprise multinationale de services bancaires et d’assurances, KBC Groupe SA devait superviser et coordonner sa réponse de cybersécurité tout en répondant à des exigences strictes de reporting réglementaire pour les cyberincidents.

Transformation

Afin d’obtenir une vue complète des menaces de cybersécurité qui pèsent sur ses entités européennes et d’orchestrer une réponse rapide en conséquence, KBC a choisi la plateforme Resilient SOAR.

Résultats Offre une vue unifiée et complète
des cyberincidents dans plusieurs entités et différents pays
Offre la possibilité d’ajouter des actions localisées
tout en maintenant un cadre global standardisé pour la réponse aux incidents
Gère la conformité aux exigences de notification
pour de nombreuses réglementations au niveau européen
Description du défi
Le défi de la cybersécurité sur plusieurs niveaux

KBC a des activités dans toute l’Europe par le biais de banques et de compagnies d’assurance en propriété exclusive avec un haut niveau d’autonomie locale sur ses grands marchés : Belgique, République tchèque, Slovaquie, Hongrie, Bulgarie et Irlande. Bien que les réglementations relatives aux services financiers soient largement définies au niveau national, ces entités de KBC relèvent également du champ de compétence de l’Union européenne (UE) et de la Banque centrale européenne (BCE). Plusieurs réglementations nouvelles ou mises à jour, telles que le Règlement général sur la protection des données (RGPD) et la Directive sur les services de paiements (DSP 2) ont défini, en plus des attentes de la BCE, en matière de supervision de la cyberrésilience, des exigences plus strictes pour le groupe et ses filiales, notamment en ce qui concerne le signalement des cyberincidents, des violations de données, et la réponse qui y est apportée.

En 2016, KBC a formé son équipe Cyber-Expertise and Response (CERT) dans son siège social à Bruxelles (Belgique). L’équipe est chargée d’orchestrer la réponse aux cybermenaces au sein des différentes entités du groupe en Europe. Même si la CERT devait superviser de manière centralisée son processus de réponse aux incidents, elle ne voulait cependant pas créer un service d’envergure pour cela. Les différentes entités européennes et internationales du groupe disposaient d’équipes de sécurité et de réponse aux incidents bien établies et presque totalement autonomes. Plutôt que de faire double emploi, la CERT devait prolonger leur activité, et en fin de compte augmenter l’effort global de cybersécurité du groupe grâce à une sensibilisation accrue et à une coordination des réponses au niveau global.

KBC recherchait un mécanisme qui permettrait à la CERT d’enregistrer et de visualiser les menaces dans les différentes entités du groupe, puis de générer les réponses et les rapports (localement et au niveau du groupe) requis par les différentes réglementations.

Kris Caron, responsable de la gestion des crises et des incidents au sein de la CERT, décrit ainsi la relation de l’équipe avec les bureaux de sécurité au niveau national : « Si un incident concerne plus d’un pays, ou si nous y sommes spécifiquement invités par la direction locale ou le siège, nous prenons le relais, mais sinon, nous restons en mode soutien. Nous avions donc besoin d’avoir une vue d’ensemble unique sur tous les incidents.

KBC recherchait une solution capable de mettre en œuvre des protocoles de réponse pour différents types d’incidents afin de maintenir une certaine cohérence au sein du groupe. Ces protocoles indiquent un processus étape par étape – dont certaines parties peuvent être automatisées – pour répondre à des incidents spécifiques. Par exemple, lorsqu’un logiciel malveillant est détecté sur les ordinateurs d’une banque, le protocole décrit les étapes à suivre pour signaler le problème à la hiérarchie, le confiner et le résoudre.

« Nous avions besoin de quelque chose qui permettrait à la CERT de coordonner la réponse, qui s’intégrerait aux outils existants et qui automatiserait certaines interventions », explique M. Caron. « En outre, la solution devait être rapide. Nous sommes soumis à de nombreuses réglementations différentes en matière de signalement, l’une d’entre elles étant l’obligation (définie par la BCE) de signaler les cyberincidents dans un délai maximal de deux heures après qu’ils se sont produits. »

La plateforme Resilient déclenche automatiquement des tâches de gestion de crise et des notifications à tout niveau du groupe bancaire où elles sont pertinentes. Kris Caron Responsable de la gestion des crises et des incidents au sein de la CERT KBC Group
Description de la transformation
Orchestration et visualisation de la cybersécurité

KBC a lancé un appel d’offres qui comprenait des démonstrations d’un certain nombre de plateformes de reporting de sécurité, et a sélectionné la plateforme IBM Security SOAR (anciennement Resilient) La solution IBM Security SOAR offre une base puissante pour la planification et la gestion de la réponse puis l’atténuation des risques pour un large éventail d’incidents à de multiples niveaux de l’organisation KBC.

« L’une des principales raisons pour lesquelles nous avons choisi Resilient est que les personnes auxquelles nous avons parlé comprenaient vraiment la cybersécurité et étaient prêtes à travailler avec nous pour adapter la solution à nos besoins », explique M. Caron. « L’un des facteurs décisifs a été de nous rendre à Boston et d’y rencontrer les gens, de nous serrer la main et d’apprendre à connaître l’organisation. Ce contact est devenu la pierre angulaire du partenariat qui existe actuellement, et qui est dédié au développement de l’empreinte de Resilient. »

L’équipe d’IBM Security SOAR a contribué à l’intégration de la plateforme aux infrastructures informatiques et de sécurité existantes du client. KBC a utilisé les protocoles standard préchargés pour les types d’incidents courants (malwares, déni de service, phishing, etc.) afin de les adapter à la plateforme IBM Security SOAR. Les consultants d’IBM Security ont collaboré avec KBC pour ajouter des déclencheurs spécifiques de rapports juridiques dans ses protocoles. Ceux-ci comprenaient les exigences du RGPD, de la BCE, des directives DSP 2 et NIS (EU Network and Information Security) envers les infrastructures critiques. En outre, l’équipe a défini de nouveaux protocoles pour les menaces de cybersécurité, notamment pour la fraude au PDG ou la fraude visant d’autres personnes dans la hiérarchie de KBC.

Le déploiement d’IBM Security SOAR a commencé en octobre 2017, avec une première mise en service en février 2018 pour la CERT et la branche de l’organisation de Bruxelles. De février à mai 2018, IBM Security SOAR et la CERT ont travaillé avec d’autres entités pour former le personnel et intégrer les protocoles d’IBM Security SOAR à l’infrastructure de sécurité. Au cours de cette période, KBC a ajouté les contenus locaux qui étaient demandés par les organisations au niveau national.

M. Caron explique comment KBC peut utiliser la flexibilité de la plateforme SOAR pour enrichir les protocoles du groupe avec des contenus provenant de branches locales : « Bien que nous ayons laissé une certaine autonomie aux entités locales, nous souhaitions établir une taxonomie commune et un ensemble de tâches basiques dans ces protocoles. Ces entités peuvent avoir leurs propres tâches pour les réglementations ou les processus locaux, mais nous devions rester dans un cadre commun afin que plusieurs équipes puissent coopérer sur un même incident. En conséquence, nous avons également adopté l’anglais comme langue commune pour les enregistrements. »

La solution devait être rapide. Nous sommes soumis à de nombreuses réglementations en matière de signalement, l’une d’entre elles étant l’obligation (définie par la BCE) de signaler les cyberincidents dans un délai maximal de deux heures après qu’ils se sont produits. » Kris Caron Responsable de la gestion des crises et des incidents au sein de la CERT KBC Group
Description des résultats
Vue centralisée, réponse locale et virtuelle

La plateforme IBM Security SOAR fournit désormais à la CERT une vue unique des cyberincidents qui impliquent plusieurs entités dans différents pays. « Je pense que la stratégie gagnante est d’établir des ponts entre les silos », déclare M. Caron. « Avec une vue d’ensemble unique, nous avons une meilleure idée de ce qui se passe dans les autres pays et pouvons coordonner notre réponse avec les équipes compétentes. »

Conçue pour la flexibilité et l’extensibilité, la plateforme permet à KBC d’ajouter des réponses localisées aux protocoles tout en conservant un cadre global standardisé pour la réponse aux incidents. Outre fournir des alertes de sécurité instantanément exploitables, des renseignements précieux et un contexte pour les incidents, elle permet une réponse adaptative aux cybermenaces complexes.

M. Caron déclare : « La plateforme Resilient a introduit des mesures d’urgence (principe “break-the-glass”) pour augmenter le niveau des alarmes. Elle déclenche automatiquement les tâches de gestion de crise et les notifications partout où elles sont pertinentes à l’échelle du groupe. »

KBC est désormais en meilleure position pour respecter les exigences légales de notification du RGPD, de la BCE, de la DSP 2 et du NIS. La plateforme IBM Security SOAR aide à réduire le temps de réponse aux incidents en reprenant une grande partie de la charge analytique des cyberanalystes de KBC. L’automatisation de nombreux processus aide les cyberéquipes à prioriser et à répondre rapidement aux incidents les plus critiques, conformément à la nouvelle législation.

Pour tester le système, la CERT a lancé une analyse des cybermenaces lors d’une simulation de crise financière à l’échelle du groupe organisée par le comité exécutif de la banque. La CERT a défini le cas dans la solution IBM Security SOAR et a demandé une réponse. « Nous avons obtenu une réponse rapide et de qualité, avec beaucoup moins d’efforts que par le passé », explique M. Caron. « Nous avons pu nous concentrer sur l’atténuation de la crise et demander rapidement d’autres actions intermédiaires au groupe au lieu de perdre du temps à appeler nos équipes internationales. »

KBC enregistre tous les incidents de cybersécurité sur la plateforme IBM Security SOAR, des petits événements localisés aux incidents plus importants qui concernent l’ensemble du groupe. Le groupe a ajouté 60 utilisateurs supplémentaires à la plateforme et continue d’étendre les cas d’utilisation pour aider à gérer les incidents de fraude, de fraude électronique, de problèmes de gestion des vulnérabilités, etc. « Maintenant que nous disposons de la plateforme Resilient SOAR, nous voulons que nos bureaux spécialisés dans la gestion des incidents et des situations de crise mettent le service à la disposition des autres équipes », explique M. Caron. « Nous sommes connectés de New York à Hong Kong et à travers l’Europe, et la continuité des activités et la gestion des situations de crise sont les domaines que nous devons maintenant aborder. »

Logo KBC
KBC Group

KBC (lien externe à ibm.com), dont le siège social se trouve à Bruxelles, en Belgique, résulte de la fusion de deux banques et d’une compagnie d’assurance belges en 1998. Le groupe assurance-banque compte 11 millions de clients en Europe, ses principaux marchés étant la Belgique, la République tchèque, la Slovaquie, la Hongrie, la Bulgarie et l’Irlande. Afin de mieux servir les clients de ses principaux marchés, il a volontairement limité sa présence aux États-Unis et en Asie. Les 42 000 employés de KBC s’efforcent d’offrir aux clients du groupe une expérience unique et personnalisée pour la banque et les assurances à travers ses plus de 1 400 succursales et divers canaux numériques.

Passez à l’étape suivante

Pour en savoir plus sur la solution IBM dans cette étude de cas, veuillez contacter votre interlocuteur IBM habituel ou votre partenaire commercial IBM.

Afficher le PDF Voir plus d’étude de cas
Notes de bas de page

© Copyright IBM Corporation 2020. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504

Produit aux Etats-Unis, février 2020.

IBM, le logo IBM, ibm.com et Resilient sont des marques commerciales d’International Business Machines Corp., déposées dans de nombreux pays. Les autres noms de produits et de services peuvent être des marques d’IBM ou d’autres sociétés. La liste actualisée des marques d’IBM est disponible sur la page web « Copyright and trademark information » à l’adresse www.ibm.com/fr-fr/legal/copytrade.shtml.

Les informations contenues dans le présent document étaient à jour à la date de sa publication initiale. Elles peuvent être modifiées sans préavis par IBM. Les offres mentionnées dans le présent document ne sont pas toutes disponibles dans tous les pays où la société IBM est présente.

Les données de performance et les exemples de clients cités sont présentés à titre informatif uniquement. Les résultats des performances peuvent varier en fonction des configurations et des conditions de fonctionnement. LES INFORMATIONS CONTENUES DANS LE PRÉSENT DOCUMENT SONT FOURNIES « EN L’ÉTAT », SANS AUCUNE GARANTIE EXPLICITE OU IMPLICITE, NOTAMMENT SANS AUCUNE GARANTIE DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER ET AUCUNE GARANTIE OU CONDITION D’ABSENCE DE CONTREFAÇON. Les produits IBM sont garantis conformément aux dispositions des contrats qui régissent leur utilisation.

Il incombe au client de respecter les lois et réglementations qui lui sont applicables. IBM ne fournit pas de conseils juridiques et ne déclare ni ne garantit que ses services ou produits garantiront que le client est en conformité avec la législation ou la réglementation en vigueur.

Déclaration de bonnes pratiques de sécurité : la sécurité des systèmes informatiques consiste à protéger les systèmes et les informations par la prévention, la détection et la réponse aux accès inappropriés depuis et en dehors de votre entreprise. Tout accès non autorisé peut conduire à la modification, à la destruction, au détournement ou à l'utilisation abusive d'informations, ainsi qu'à l'endommagement ou à l'utilisation abusive de vos systèmes, notamment pour les utiliser dans des attaques contre d'autres personnes. Aucun système ou produit informatique ne devrait être considéré comme entièrement sécurisé et aucun produit, service ou mesure de sécurité ne peut être totalement efficace pour empêcher l'utilisation ou l'accès abusif. Les systèmes, produits et services d'IBM sont conçus pour fonctionner dans le cadre d'une stratégie de sécurité globale et conforme à la loi qui implique nécessairement des procédures opérationnelles supplémentaires, et peuvent nécessiter des performances maximales des autres systèmes, produits et services. IBM NE GARANTIT PAS QUE LES SYSTÈMES, PRODUITS OU SERVICES SONT PROTÉGÉS CONTRE LES AGISSEMENTS MALVEILLANTS OU ILLÉGAUX D'UN TIERS OU QU'ILS PROTÉGERONT VOTRE ENTREPRISE CONTRE DE TELS AGISSEMENTS.