Svensk Travsport élabore une stratégie de sécurité des identités centrée sur la protection de l’accès du personnel

En bref

Confrontée à de multiples attaques de ses données sensibles, Svensk Travsport, la fédération suédoise des courses hippiques, a renforcé son infrastructure informatique au moyen d’une stratégie de sécurité des identités fondée sur CyberArk. Menée par Arnold Johansson, Enterprise Security Architect, l’organisation a mis en service, en quelques jours, un accès sécurisé pour 600 personnes et plus de 200 applications. Svensk Travsport a non seulement amélioré la conformité informatique et les garanties de sécurité, mais a également relevé son score NIST de plusieurs niveaux.

Profil de l’entreprise

Svensk Travsport est l’organe directeur des courses hippiques suédoises : courses de chevaux et chariots à deux roues. L’entreprise s’occupe de domaines tels que les compétitions, le bien-être des équidés, la propriété d’un cheval, l’élevage et les informations sportives. Svensk Travsport est la propriété de 33 hippodromes à travers la Suède. Pour le compte des hippodromes, l’entreprise fournit des services informatiques, de données et d’information utilisés pour les opérations et les paris de courses hippiques. Bien qu’étant une petite entreprise, Svensk Travsport obtient un niveau inhabituellement élevé de cyberattaques en raison de la sensibilité de ses données, en particulier les informations utilisées pour éclairer les décisions de pari.

Employés : 600

Défis

Chaque jour, Arnold Johansson fait face à de multiples défis ; en tête de liste se trouve un nombre inhabituellement élevé de cyberattaques qui ont touché son entreprise. M Johansson est architecte de sécurité d’entreprise chez Svensk Travsport, l’organe directeur des courses hippiques suédoises. Même si Svensk Travsport ne gère pas les paris réels, il fournit des informations sur et autour des courses et des transactions liées aux chevaux. Il s’agit souvent de données sensibles, car elles incluent des données sur les performances des chevaux et sur les cavaliers, l’histoire des victoires et les pedigrees des chevaux. Les propriétaires et formateurs utilisent ces données pour décider où investir et comment entraîner au mieux les chevaux. Le public utilise ces données pour éclairer les décisions de pari, ce qui en fait un outil précieux et la cible de l’attaque. De plus, la conformité et les réglementations telles que le RGPD changent constamment. Les données incluent des informations sur le personnel et environ 15 000 membres externes tels que les cavaliers, les propriétaires et les éleveurs.

Comme si ce n’était pas un défi suffisant pour M. Johansson, le paysage de la cybersécurité est en évolution constante. Après avoir administré la sécurité pour de nombreuses entreprises différentes, M. Johansson a fait l’expérience de la transition lente, mais progressive, des installations sur site au cloud. « La cybersécurité avait les mêmes caractéristiques qu’un oignon », a déclaré M. Johansson. « Lorsque j’ai commencé, tout se trouvait sur le site et les couches « oignon » étaient protégées. Mais une fois que vous pouvez traverser les couches, vous êtes entré dans le système. Désormais, le système (« oignon ») se dépouille de ses couches pour activer des environnements distribués, c’est pourquoi une approche de protection différente est nécessaire. »

Sous la direction de M. Johansson et avec le soutien de son RSSI, la sécurité des identités est une stratégie commerciale clé chez Svensk Travsport. M. Johansson pense qu’il y a deux objectifs clés à atteindre. D’une part, atteindre un niveau élevé de garanties pour la protection des données et des parties prenantes, et d’autre part, faciliter l’accès aux données et aux applications pour les utilisateurs. La stratégie comprend plusieurs approches, notamment le déploiement d’une solution Single Sign-On conviviale et de l’utilisation de méthodes MFA hautement sécurisées telles que les cartes à puce et la sécurisation des accès à privilèges.

Solutions

M. Johansson a évalué plusieurs fournisseurs avant de choisir CyberArk pour mettre en œuvre sa stratégie de sécurité des identités.

Svensk Travsport a utilisé CyberArk Workforce Identity comme base de sa solution de gestion de la sécurité des identités. La solution fournit une détection et une protection continues des menaces à l’encontre de l’identité et gère les identités. L’entreprise utilise également CyberArk Privileged Access Manager Cloud pour protéger et isoler l’accès aux systèmes critiques. La mise en œuvre a été gérée en partenariat avec CyberArk Services à l’aide du programme Jump Start Service. L’utilisation des solutions SaaS de sécurité des identités et du programme Jump Start Service de CyberArk a permis à Svensk Travsport d’atteindre rapidement ses premiers objectifs et de créer une base solide pour étendre et affiner son programme de sécurité des identités.

« Svensk Travsport a choisi CyberArk car cette dernière répondait à nos besoins ; de plus, CyberArk est facile à personnaliser et peut évoluer au fur et à mesure que notre entreprise change. J’ai senti que l’approche de CyberArk pour sécuriser les identités était l’une des meilleures solutions que j’ai vues. » – Arnold Johansson, Enterprise Security Architect, Svensk Travsport

L’autre facteur clé était le partenariat avec CyberArk. « CyberArk est une entreprise qui est toujours sur le qui-vive, prête à aider Svensk Travsport à atteindre la meilleure solution et à respecter les normes de conformité », a commenté M. Johansson. CyberArk Workforce Identity a été l’une des rares solutions combinant à la fois les fonctionnalités d’accès à privilèges et de gestion des identités et des accès, et s’intégrant parfaitement à d’autres applications métier, y compris Microsoft Active Directory.

Le déploiement CyberArk Workforce Identity :

• Protège 600 employés du siège social et environ 200 applications de base
• S’intègre aux cartes à puce physiques pour un accès fluide aux appareils, aux applications, aux données et aux bâtiments
• La prochaine étape de déploiement sera le personnel et les systèmes sur 33 hippodromes.

De même, Privileged Access Manager Cloud permet à Svensk Travsport de créer des coffres-forts pour les identifiants d’accès aux infrastructures critiques et d’isoler et de surveiller les accès à ces systèmes et données sensibles.

Fort de sa longue expérience dans le secteur, M. Johansson savait qu’il serait difficile pour le personnel de comprendre que la distribution, par rapport au travail sur site, exigeait une approche différente de la cybersécurité. Lorsque la solution CyberArk Workforce Identity a été lancée pour la première fois, M. Johansson s’est concentré sur la facilité d’utilisation. Il a souligné qu’au lieu d’être restrictive, la solution améliorerait l’accès et réduirait la complexité. Par exemple, les utilisateurs peuvent stocker les mots de passe en toute sécurité une seule fois plutôt que d’utiliser des post-it sur un bureau. « Si quelqu’un utilise une roue carrée, il sera difficile de le convaincre qu’une roue ronde est plus efficace », a proposé M. Johansson.

Dans le cadre de l’initiative de M. Johansson visant à améliorer la cybersécurité chez Svensk Travsport, la solution CyberArk Workforce Identity a été étendue au soutien et à la protection des opérations mobiles. A titre d’exemple : sur les sites de course, le personnel utilise des appareils mobiles pour recueillir des informations sur les performances au sol. De plus, les données de Svensk Travsport sont consultées et utilisées par des applications tierces.

Résultats

Depuis qu’il a rejoint Svensk Travsport, M. Johansson a supervisé une transformation dans la gestion et la protection de la cybersécurité. Il a fait remarquer que, après avoir travaillé dans le secteur médical et financier, Svensk Travsport dispose désormais d’un niveau de protection supérieur à celui de nombreuses entreprises, même avec des données beaucoup plus confidentielles.

« CyberArk Workforce Identity est le produit phare de la stratégie de sécurité des identités chez Svensk Travsport », a indiqué M. Johansson. « La solution est l’un de nos produits de sécurité clés. La souplesse d’intégration et d’utilisation fait de CyberArk Workforce Identity un atout indispensable pour nous et les parties prenantes qui utilisent nos données et font confiance à notre protection. Cela m’a beaucoup facilité le travail et maintenant, sans CyberArk Workforce Identity, notre RSSI ne serait pas là où il en est. »

À l’aide du NIST Cybersecurity Framework, CyberArk Workforce Identity a permis à Svensk Travsport de franchir plusieurs étapes en matière de protection. Le NIST (US National Institute of Standards and Technology) intègre les normes et les bonnes pratiques du secteur pour aider les entreprises à gérer les risques de cybersécurité. CyberArk est devenu indispensable pour permettre à M. Johansson et à son équipe de gérer efficacement la sécurité des identités dans toute l’entreprise. CyberArk est une pierre angulaire et l’une des solutions de sécurité les plus importantes et significatives de Svensk Travsport.

« CyberArk Workforce Identity m’a permis de parler plus facilement de la sécurité aux utilisateurs. Auparavant, il s’agissait toujours de chiffrement et les personnes comme moi étaient considérées comme des techniciens », conclut M. Johansson. « Désormais, chacun comprend l’importance de la sécurité des identités et comment des solutions telles que CyberArk Workforce Identity facilitent considérablement les opérations quotidiennes. »

Principaux avantages

• Amélioration de la conformité et de la sécurité informatique en augmentant les niveaux du NIST Cybersecurity Framework
• A aidé à respecter les réglementations strictes en matière de cybersécurité et de protection des données
• Accès sécurisé rationalisé pour 600 employés, 15 000 membres et 200 applications
• Productivité accrue du personnel en simplifiant les opérations quotidiennes et l’accès aux applications et aux données
• A posé les bases d’une stratégie de sécurité des identités à l’échelle de l’entreprise