Le défi
- Évaluer le niveau de sécurité d’une autre banque qu’elle est en train d’acquérir
- Identifier les vulnérabilités liées aux identités (à l’époque où elle ne disposait pas de solution à cet effet)
- Respecter les délais serrés et impératifs pour la clôture de l’acquisition
La solution
Proofpoint Identity Threat Defense
- Proofpoint Spotlight
Les résultats
- Évaluation complète des risques liés à l’identité de la banque acquise en moins de 30 jours
- Mise au jour de plusieurs milliers de risques critiques insoupçonnés liés à l’identité
- Obtention de données quantitatives concrètes qui ont convaincu l’équipe de direction de différer l’intégration complète de l’informatique jusqu’à ce que les problèmes soient résolus
Le défi
L’entreprise opère dans un secteur où la consolidation est la norme. Au cours des 20 dernières années, le nombre de banques commerciales assurées par la Federal Deposit Insurance Corporation, l’agence fédérale de garantie des dépôts bancaires, a diminué de près de moitié, principalement en raison d’acquisitions. En l’occurrence, cette banque effectue en moyenne une acquisition tous les trois ans. Chaque fois qu’elle a procédé à une fusion-acquisition, son service informatique a dû consolider différents systèmes, logiciels, données, processus et organisations.
Si une banque acquiert une entreprise présentant un niveau de sécurité informatique moindre (voire nébuleux), elle peut mettre l’ensemble de la société en danger. Une évaluation de la sécurité est indispensable et doit souvent être effectuée dans des délais très courts.
Comme l’explique le directeur de l’ingénierie de cybersécurité de la banque, « Nous avons eu quatre mois tout au plus, entre l’annonce de la transaction et sa conclusion, pour évaluer le niveau de sécurité informatique de l’autre banque. Il fallait que nous sachions si nous pouvions lui faire confiance ».
Director of Cybersecurity Engineering
La solution
La sécurité tout entière de la banque acquise reposant sur la sécurité des identités, il était essentiel de comprendre ses vulnérabilités potentielles liées aux identités. En tant que client de Proofpoint, la banque acquéreuse connaissait bien la solution et appréciait grandement ses informations uniques. « Nous utilisions Proofpoint pour analyser nos postes de travail en continu depuis au moins six mois. Nous savions donc quels types d’informations il pouvait nous fournir. »
Les résultats
L’évaluation de la banque rachetée a permis d’établir une carte de score des risques comparant les deux organisations informatiques et il s’est avéré que les risques étaient suffisants pour convaincre les dirigeants de la nécessité de maintenir les environnements informatiques séparés, à tout le moins dans un premier temps.
Bien qu’il y ait plusieurs domaines de risques liés aux identités, l’un d’entre eux s’est rapidement démarqué. « Ce qui nous a sauté aux yeux, c’est le nombre d’administrateurs de domaine sur leurs postes de travail. Il y en avait 3 000. C’était révélateur de leurs mauvaises pratiques en matière de sécurité. Si quelqu’un avait compromis l’un de ces postes de travail, il aurait eu le contrôle de l’ensemble de l’environnement. Ils n’étaient pas au courant non plus et ont entrepris de nettoyer tout cela. »
Les résultats globaux de la comparaison ont été convaincants. « La discussion aurait été beaucoup plus difficile sans l’analyse des risques liés aux identités réalisée avant l’intégration. Elle a permis de justifier la protection accrue dont nous estimions avoir besoin à ce stade initial. »
Outre les fusions et acquisitions, la banque utilise Proofpoint Identity Threat Defense pour analyser son propre environnement en continu afin d’identifier les vulnérabilités liées aux identités. Cette plateforme fait partie d’une solution complète composée de Qualys, Kenna, ServiceNow et d’autres solutions de gestion des menaces et des vulnérabilités.
Interrogé sur l’avenir, le directeur déclare : « Je suis ravi que nous ayons utilisé Proofpoint Identity Threat Defense. Tout le monde en a compris l’utilité. Nous procéderons de la même manière pour notre prochaine fusion-acquisition ».