Un prestataire de services de paiement protège les intérêts des millions de détenteurs de cartes de crédit

Profil de l’entreprise

Il s’agit de l’un des plus importants prestataires de services de paiement de la région. Ses services sont utilisés par des clients institutionnels, incluant des établissements bancaires, des institutions financières et des entreprises de traitement des transactions bancaires. Il traite chaque année plus de 30 milliards de dollars américains pour plus de 140 000 commerçants et traite plus de 700 millions de transactions d’émetteurs sur plus de 15 millions de cartes de crédit.

• Chiffre d’affaires annuel : Plus de 250 millions de dollars américains
• Employés : 2 500

Défis

CyberArk protège les données et les transactions pour des millions de détenteurs de cartes de crédit

Lorsque la première banque numérique du pays a choisi le prestataire de services de paiement comme partenaire technologique, c’était une autre étape importante dans le parcours du prestataire vers le succès. Elle indiquait également une tendance des institutions financières à migrer leurs opérations vers un environnement numérique et à faire face aux défis de cybersécurité que cette transition inflige au secteur des services financiers.

Aujourd’hui, plus de 200 organisations financières, 140 000 commerçants et plus de 15 millions de cartes bancaires utilisent les services de traitement de tra nsaction et de paiement par carte fournis par l’entreprise. Le besoin résultant d’accéder à des systèmes et à des données hautement sensibles fait de la sécurité des identités une priorité absolue pour son activité numérique.

La sécurisation de la chaîne d’approvisionnement logicielle est essentielle dans le monde de la finance en ligne. L’adoption de contrôles PAM sur les terminaux, sur site et sur les ressources dans le cloud permet à ce prestataire de défendre ses services et, par conséquent, ses clients contre les attaques.

En plus de renforcer la confiance des clients, le prestataire doit également se conformer aux réglementations en matière de cybersécurité financière qui, par rapport à la plupart des autres secteurs, sont plus strictes. Le RSSI du groupe a déclaré : « Nous fournissons nos services à plus de 200 banques. Si quelqu’un était en mesure de pirater notre environnement et, par exemple, d’accéder aux informations des cartes de crédit, qui font partie des données les plus faciles à vendre sur le dark web, cela poserait un problème majeur. C’est pourquoi nous prenons la sécurité très au sérieux et nous nous associons aux meilleurs fournisseurs du marché pour protéger notre environnement. »

Complexité technique croissante des menaces

Le prestataire dispose d’une infrastructure de sécurité complète à plusieurs niveaux. L’un des principaux piliers de défense de l’entreprise qui a attiré l’attention du RSSI était la nécessité de veiller à ce que le personnel informatique et les développeurs aient un accès protégé et surveillé de façon appropriée aux données des clients et aux environnements de production.

L’entreprise disposait déjà d’un produit de gestion des accès à privilèges, mais ses fonctionnalités étaient devenues obsolètes et incapables de fournir les niveaux de protection requis. La dépendance croissante aux opérations bancaires numérisées et la complexité technique croissante des menaces ont exigé une nouvelle approche.

« Je crois que nous devons tous reconnaître que les meilleurs malfaiteurs sont sans doute plus intelligents que nous », a déclaré le RSSI. « Il est donc de notre devoir de rendre les choses aussi difficiles et complexes que possible, afin d’augmenter les efforts nécessaires pour contourner notre sécurité et, par conséquent, de réduire le rendement d’une tentative d’attaque d’un cybercriminel. »

Solutions

CyberArk est au cœur de la sécurité

L’entreprise a mis en œuvre une solution CyberArk composée de CyberArk Privileged Access Manager et de CyberArk Endpoint Privilege Manager. L’étape initiale couvre 600 utilisateurs sur trois sites. L’entreprise utilise également la PAM pour sécuriser l’accès à son infrastructure cloud hébergée dans Azure, AWS, Google et Oracle Cloud. Elle a lancé ses activités dans un pays voisin et y déploiera également CyberArk. « Aujourd’hui, chaque fois que nous entrons sur un nouveau marché ou sur un nouveau site, CyberArk est un élément clé de notre pile informatique et de sécurité », a déclaré le RSSI.

Le déploiement était un effort commun entre l’entreprise, CyberArk Security Services et un représentant local de CyberArk et il a fallu environ quatre mois pour le réaliser. Après le déploiement, le prestataire a demandé à l’équipe CyberArk d’effectuer un examen et un bilan pour s’assurer que tout continuait d’être conforme aux bonnes pratiques de CyberArk. Le RSSI a déclaré : « Nous avons réussi le test et l’équipe CyberArk a fait remarquer qu’il s’agissait de l’un des meilleurs déploiements de la région. Pour moi, c’était l’un des déploiements les plus efficaces et les plus transparents auxquels j’ai pu assister dans ma carrière. »

Il y a eu peu ou pas d’interruption pendant le déploiement ni de commentaires défavorables de la part de l’entreprise. L’entreprise a mené un sondage interne trois mois après la mise en place des services et du soutien, et le résultat obtenu a été une réponse positive de près de 100 %.

Résultats

CyberArk : un confort pour le client

CyberArk permet au prestataire d’obtenir quatre avantages clés en matière de cybersécurité ; se défendre contre les attaques, stimuler l’efficacité opérationnelle, permettre la transformation numérique et répondre rigoureusement aux réglementations de conformité et d’audit du secteur financier. L’un des aspects les plus importants de la sécurité, en particulier dans les services financiers, est la conformité. Dans ce domaine, CyberArk obtient de très bons résultats et permet à l’entreprise de respecter et de surpasser toutes les réglementations essentielles en matière de conformité et de sécurité financières, y compris la norme PCI DSS (Payment Card Industry Data Security Standard) qui supervise la cybersécurité pour les services de paiement par carte. CyberArk l’aide également à respecter la norme ISO 27000, SOC 2 Type 2.

« En plus de la protection que nous recevons, CyberArk facilite grandement la démonstration de la conformité, car nous pouvons accéder aux rapports dont nous avons besoin pour les audits très rapidement. »

Responsable de la sécurité des systèmes d’information (RSSI)

CyberArk offre plusieurs autres avantages, notamment la garantie que l’accès des informaticiens et des développeurs aux environnements de production des clients est hautement sécurisé, mais aussi rapide et transparent pour les utilisateurs. Non seulement CyberArk a rendu l’accès plus rapide, mais le déploiement a également abouti à un contrôle de sécurité standardisé dans le portefeuille varié d’applications et de plateformes du prestataire. De plus, l’entreprise bénéficie du modèle CyberArk Threat Analytics qui fournit des alertes basées sur des indicateurs potentiels d’abus de privilèges.

« CyberArk est incroyable et constitue une solution clé pour nous. Nous sommes régulièrement audités par nos clients et lorsqu’ils voient la solution de gestion des accès à privilèges de classe mondiale que nous avons, elle leur procure beaucoup de confort. Lorsque les clients réalisent que nous avons CyberArk, ils cessent de poser des questions », conclut le RSSI.

Principaux avantages

• A fourni une solution de gestion des accès à privilèges (PAM) hautement sécurisée mais facile à utiliser
• A positionné l’entreprise pour dépasser la conformité aux réglementations rigoureuses du secteur des services financiers
• A garanti la sécurité des clients des institutions financières
• A obtenu une réponse positive de presque 100 % de la part des utilisateurs
• A mis en œuvre des contrôles de sécurité normalisés sur l’ensemble de l’infrastructure sur site et multicloud (AWS, Google et Oracle Cloud)
• A mis en œuvre des contrôles de gestion des accès à privilèges pour plus de 600 utilisateurs en seulement quatre mois