BNP Paribas Bank Polska réduit les cyberrisques et augmente l'automatisation

Avec une présence nationale, BNP Paribas Bank Polska devait s’assurer qu’elle disposait d’une infrastructure informatique robuste et d’une solution de sécurité des identités digne de confiance.

« La gestion des identités et des droits dans une entreprise comptant plus de 10 000 utilisateurs est un véritable défi », explique Paweł Mosurek, responsable de la gestion des identités et des accès chez BNP Paribas Bank Polska. « L’outil avec lequel nous concevons nos processus de gestion des identités et des accès doit être efficace et fiable. Le fait d’avoir un si grand nombre d’employés qui utilisent des centaines d’applications et de systèmes et des milliers de ressources informatiques en réseau fait qu’il est primordial pour nous de choisir des solutions qui garantissent que tout fonctionnera sans problème », ajoute Paweł.

BNP Paribas Bank Polska a été confrontée à de nombreux défis liés à l’intégration d’entités à la suite de fusions. Dans le domaine de l’IAM, il s’agissait d’une préoccupation majeure. Il y avait des opérations sur de nombreuses identités de systèmes d’application, et il fallait donc aussi les bons outils pour gérer cette quantité de données et leur interdépendance.

« Le monde et la technologie progressent constamment, révélant des défauts et des lacunes. De nouvelles opportunités apparaissent également. C’est à nous de suivre ce rythme effréné. Les réglementations ne peuvent parfois pas suivre, mais nous devons être prêts, de sorte qu’une fois qu’elles sont introduites, nous puissions dire : c’est réalisable dans le délai prévu ou déjà implémenté », explique Paweł.

La banque a donc défini plusieurs principes clés pour son programme IAM :

• Les processus doivent être compréhensibles et simples pour l’utilisateur final.
• Le système ne doit pas rendre le travail plus difficile.
• Le travail de l’équipe IAM est d’aider les utilisateurs à rendre les choses plus efficaces, plus rapides et plus pratiques. Il ne doit pas s’agir d’un processus complexe dont tout le monde se plaindra et essaiera de le contourner.
• Et surtout, toutes les activités mentionnées ci-dessus doivent être sûres, car c’est l’objectif principal des solutions de cybersécurité.

Le partenaire de confiance de SailPoint depuis plus de dix ans

Initialement, BNP Paribas Bank Polska a choisi SailPoint parce qu’il occupait une position de leader dans le rapport Magic Quadrant de Gartner sur la gouvernance et l’administration des identités. « Lorsque nous avons analysé nos besoins, notre environnement et notre architecture, SailPoint nous a semblé être un choix naturel. C’est une plateforme qui s’adapte bien à notre architecture informatique. C’est un produit très flexible qui peut être adapté à nos besoins », se souvient Paweł.

Cela fait maintenant plus de 10 ans que SailPoint est un partenaire de confiance de BNP Paribas Bank Polska. Au cours de cette période, le produit et l’approche de l’IAM ont considérablement évolué. Aujourd’hui, l’entreprise a atteint une telle maturité en matière de gestion des identités et des accès que chacun de ses employés l’identifie aux processus et aux capacités fournis par SailPoint. « C’est une sorte d’évolution naturelle que nous avons connue et que nous continuons à connaître pour atteindre nos objectifs, mais sans perdre en cours de route quelque chose qui est très important aujourd’hui, à savoir la cybersécurité », explique Paweł. « La priorité pour nous était d’au moins maintenir, et de préférence d’augmenter, le niveau de sécurité tout en simplifiant et en rationalisant les processus IAM », ajoute-t-il.

Avec un effectif aussi important, la diversité de ses opérations et le nombre de ses actifs informatiques, BNP Paribas Bank Polska a de bonnes raisons d’être fière du chemin parcouru en matière d’IAM. BNP Paribas Bank Polska gère actuellement environ 600 applications de production et 300 applications pour les environnements de test et de développement dans le logiciel SailPoint.

Ces applications comportent environ 120 000 droits individuels gérés. L’équipe de Paweł s’appuie aussi principalement sur la technologie Microsoft Active Directory qui, selon Paweł, est la technologie la plus appropriée pour intégrer et gérer les utilisateurs et les accès au niveau des outils SailPoint. Ces applications sont fondamentales pour l’intégration de SailPoint dans l’entreprise : Active Directory, MS SQL, Lotus, I5OS (AS400), connecteurs permettant la gestion dans le Cloud (Azure, IBM, GCP).

« Nos processus sont presque 100 % automatisés, ce qui est important car l’IAM ne se résume pas à SailPoint. C’est aussi une multitude d’autres tâches effectuées par une petite équipe d’excellents spécialistes. Mais sans l’automatisation, même eux ne seraient pas en mesure de faire face à l’échelle à laquelle nous sommes confrontés. Heureusement, SailPoint et notre intégrateur nous offrent des possibilités d’automatisation pratiquement infinies. » Paweł Mosurek, responsable de la gestion des identités et des accès, BNP Paribas Bank Polska.

Le nombre de demandes générées par les utilisateurs par mois s’élève en moyenne à 800, dont 90 % sont exécutées automatiquement.

Automatisation à grande échelle dans un environnement bancaire en constante évolution

Actuellement, au sein de la banque, le processus d’intégration d’un nouvel employé est entièrement automatique et, parallèlement, dans le cadre des processus IAM, le temps nécessaire pour donner à l’utilisateur l’accès aux systèmes et aux rôles pertinents est inférieur à un jour. Dans la plupart des cas, un employé devient actif dès le premier jour. Pour les utilisateurs du département informatique, l’équipe de Paweł crée des comptes de domaine supplémentaires avec des politiques de mot de passe et des droits différents, sur la base de politiques conformes aux meilleures pratiques du NIST. L’utilisateur peut gérer tout cela dans une interface facile d’utilisation et claire.

Depuis plusieurs années, BNP Paribas Bank Polska développe de manière dynamique le domaine de la certification des droits et de l’accès aux systèmes informatiques.

Il faut savoir que chaque employé de l’organisation est concerné par la sécurité des identités. Chaque mois, les utilisateurs effectuent environ 4 000 réinitialisations et changements de mots de passe en utilisant des mécanismes intégrés dans le logiciel SailPoint. Dans l’outil SailPoint, BNP Paribas Bank Polska dispose de plusieurs connecteurs dédiés à leurs solutions individuelles. L’un de ces connecteurs permet de s’assurer que les utilisateurs n’ont pas besoin d’appeler le service d’assistance lorsqu’ils souhaitent réinitialiser leur mot de passe ou activer ou désactiver le compte de l’application.

La capacité à créer automatiquement différents types de campagnes de certification est vitale pour l’ensemble de l’entreprise. « Vous connaissez déjà la taille de notre organisation, et le fait est que deux employés sont dédiés au processus de certification et y consacrent environ 15 % de leur temps de travail. Nous procédons à la certification des responsables pour chaque employé et à la certification des propriétaires pour environ 400 actifs informatiques par an », explique Paweł.

Regarder vers l’avenir

Pour Paweł, la gestion des accès privilégiés (PAM) est une priorité pour son équipe. La Banque étend actuellement les capacités de SailPoint en l’enrichissant d’un module PAM pour la certification des accès privilégiés.

L’équipe de Paweł a accumulé au fil des ans un grand nombre d’expériences et d’observations dans le domaine de la gestion des droits et des identités. Elle a établi des meilleures pratiques :

• Pour chaque organisation, les étapes exactes de la gestion des droits et des identités dépendront probablement des besoins et des circonstances spécifiques. Néanmoins, nous pouvons définir quelques règles d’or universelles.
• Des études prêtes à l’emploi réalisées par des entités traitant des questions de droits et d’identité, telles que le National Institute of Standards and Technology, se sont révélées très utiles pour définir ces bonnes pratiques.
• L’IAM et le PAM ne doivent pas être traités comme un projet, mais plutôt comme un programme planifié et programmé.
• Il n’est pas possible de tout implémenter en même temps. La maturité attendue doit être atteinte systématiquement, étape par étape, en franchissant au passage des jalons qui doivent être clairement définis au début du programme.
• Le soutien et l’engagement de la direction générale sont essentiels. C’est d’eux que doit venir le signal que le plan IAM est conforme à la mission générale de l’entreprise.
• Il est essentiel de garder à l’esprit les utilisateurs finaux. Comme ce sont eux qui utiliseront le plus le système, celui-ci doit être facile d’utilisation, naturel et utile pour eux.

« Et, bien sûr, nous devons nous rappeler qu’il s’agit d’une question de sécurité et être conscients qu’il ne s’agit pas d’une partie de plaisir. Aujourd’hui, l’information est l’actif le plus précieux au monde et, en tant que tel, il doit être protégé de manière contrôlée », ajoute Paweł.