En tant que fournisseur de services auprès d’institutions financières, Fiserv donne la priorité à la sécurité informatique. Dans le cadre de son engagement visant à protéger les données de ses clients, Fiserv a décidé de simplifier et d’automatiser la gestion de la sécurité informatique pour son environnement IBM AIX, en adoptant une nouvelle plateforme de surveillance de la conformité : IBM PowerSC.
Les administrateurs système de Fiserv ont passé des heures à configurer les serveurs pour qu’ils soient conformes aux normes de sécurité PCI, SOX-Cobit et CIS ; pour récupérer les données de conformité, ils devaient se connecter individuellement aux serveurs.
Fiserv adopte IBM PowerSC Standard Edition (PowerSC) dans son environnement IBM Power Systems pour rationaliser la configuration des serveurs et déverrouiller des capacités de conformité et de reporting en temps réel.
La mission de Fiserv est d’aider les clients à transférer de l’argent et des informations d’une manière qui révolutionne le monde. La société est spécialisée dans la technologie des services financiers et fournit des solutions pour les paiements, les services de traitement, la gestion des clients et des canaux, les risques et la conformité, ainsi que les informations et l’optimisation.
La gestion des transactions financières implique nécessairement l’échange, le stockage et le traitement de données sensibles. Fiserv doit constamment prouver à ses clients et aux auditeurs qu’elle gère ces données de manière responsable et gagner la confiance des clients est l’une de ses principales priorités.
L’équipe informatique de l’entreprise prend donc la sécurité très au sérieux. Chaque année, ses systèmes informatiques sont soumis à plusieurs audits internes et externes complexes, et ils doivent se conformer à de nombreuses normes sectorielles et réglementaires. Cependant, les audits réguliers ne suffisent pas à assurer une conformité continue : l’entreprise doit également surveiller ses systèmes 24 h/24 et 7 j/7 pour s’assurer que chaque serveur est correctement configuré à chaque instant.
En tant que référence pour la configuration de ses systèmes, Fiserv utilise un cadre de sécurité basé sur des bonnes pratiques, un référentiel baptisé Center for Internet Security (CIS). Chacun de ses serveurs est censé respecter à la fois les paramètres obligatoires et un seuil de score global minimum conformément aux normes définies dans le référentiel.
Zach Floen, ingénieur IBM Power Systems chez Fiserv, explique : « Du point de vue de la sécurité, la configuration idéale pour un serveur serait de le verrouiller complètement, afin qu’il ne puisse échanger aucune donnée avec d’autres systèmes. Mais si un serveur ne peut pas communiquer, il n’a pas d’utilité.
Alors que Fiserv surveillait déjà la configuration de sécurité de ses serveurs, l’entreprise recherchait une gestion de bout en bout mieux intégrée au niveau de la conformité de son parc de serveurs. Par exemple, si les ingénieurs de l’entreprise devaient installer un nouveau serveur, ils devaient passer quatre ou cinq heures à travailler manuellement sur une liste de contrôle pour « renforcer » la configuration afin qu’elle aille au-delà du seuil de conformité.
De même, l’équipe devait souvent apporter des modifications temporaires à la configuration du serveur pendant la maintenance et les mises à niveau. Les ingénieurs devaient implémenter ces modifications manuellement, puis restaurer les serveurs dans leurs paramètres d’origine une fois les tâches de maintenance terminées. Bien que Fiserv ait mis en place des stratégies pour atténuer les risques d’oubli pour restaurer correctement les paramètres, l’entreprise souhaitait trouver un moyen d’éliminer les risques d’erreur humaine en contrôlant les modifications de configuration de manière centralisée et automatique.
Enfin, l’équipe souhaitait rationaliser ses processus de reporting de conformité et supprimer les tâches fastidieuses que les administrateurs devaient effectuer, telles que la récupération manuelle des rapports de conformité sur un grand nombre de serveurs.
Une grande partie de l’architecture de serveur de Fiserv repose sur des serveurs IBM Power Systems exécutant le système d’exploitation IBM AIX pour prendre en charge les principaux systèmes financiers et bases de données. Lorsque l’entreprise a commencé à examiner ses options pour une nouvelle plateforme de gestion de la conformité, elle a découvert qu’IBM proposait une solution sur mesure : IBM PowerSC. « IBM PowerSC est en train de se transformer rapidement en un outil très puissant et performant pour la gestion de la conformité », déclare Zach Floen. « Il offre des possibilités que nos outils existants n’ont pas, et il est inclus dans notre licence AIX Enterprise existante. Ainsi, nous n’avons pas à subir de coûts supplémentaires ». A ce moment-là, Fiserv se préparait à rationaliser son environnement IBM AIX en rassemblant des groupes disparates de serveurs dans un environnement de cloud privé unique. Cette initiative était une occasion idéale de réaliser une transition en passant de l’outil de conformité existant à PowerSC.
Au moment où Fiserv déploie le logiciel PowerSC dans son domaine AIX, l’équipe est impatiente de profiter des fonctionnalités d’automatisation de la conformité de la solution.
Par exemple, PowerSC surveille une liste de programmes autorisés à s’exécuter sur chaque serveur et avertit les administrateurs si des programmes non autorisés sont exécutés. Pendant les sessions de maintenance, cette fonctionnalité peut être désactivée pour les groupes de serveurs et à nouveau activée de manière automatique après un certain délai. Par conséquent, les ingénieurs n’ont plus besoin de modifier manuellement les configurations pendant la maintenance, ce qui réduit considérablement le risque d’exposer un système par négligence.
PowerSC fournit également des profils de sécurité prédéfinis qui prennent en charge les normes sectorielles et réglementaires telles que PCI-DSS, HIPAA et RGPD. Les administrateurs peuvent appliquer un profil à un serveur en un seul clic, au lieu de passer des heures à utiliser une liste de contrôle de sécurité pour chaque nouvelle machine.
« Nous travaillons avec IBM pour créer un profil de sécurité qui est entièrement conforme au référentiel CIS », explique Zach Floen. « Une fois que nous aurons le profil en place, nous gagnerons des heures de configuration manuelle lors de l’installation des machines sur notre toute nouvelle plateforme AIX virtualisée. »
Les profils permettent également de résoudre rapidement les problèmes de configuration, comme le confirme Zach Floen : « Jusque-là, nous pouvions surveiller nos serveurs et identifier les problèmes liés aux paramètres d’un serveur, mais pour corriger ces problèmes, nous devions tout de même nous connecter à chaque machine. Avec PowerSC, il suffit de cliquer sur un bouton dans l’interface d’administration, et le profil est immédiatement réinitialisé correctement. »
Fiserv a constaté des gains de temps considérables dans ses processus de surveillance de la conformité des serveurs et s’attend à réaliser encore plus d’économies à l’avenir. Actuellement, la récupération des informations de conformité de chaque serveur est un processus manuel qui prend énormément de temps. Grâce à PowerSC, l’équipe peut générer un rapport automatique en quelques secondes.
Zach Floen conclut : « Pour Fiserv, il ne s’agit pas seulement de se conformer à la réglementation, mais aussi de gagner la confiance de nos clients, ce qui nécessite un environnement sécurisé. »
Fiserv est l’une des principales sociétés de technologie des services financiers au monde, avec environ 24 000 employés et un chiffre d’affaires annuel de 5,7 milliards de dollars en 2017. Les solutions de l’entreprise aident plus de 12 000 clients dans plus de 80 pays à travers le monde et aident des millions de consommateurs et d’entreprises à transférer et à gérer leur argent rapidement et facilement.
Notes de bas de page
© Copyright IBM Corporation 2018. 1 New Orchard Road, Armonk, New York 10504-1722 United States. Produit aux Etats-Unis, mars 2019.
IBM, le logo IBM, ibm.com, AIX, Power et PowerSC sont des marques commerciales d’International Business Corp., déposées dans de nombreux pays. Les autres noms de produits et de services peuvent être des marques d’IBM ou d’autres sociétés. La liste actualisée des marques IBM est disponible sur la page Web « Copyright and trademark information » à l’adresse ibm.com/legal/copytrade.shtml.
Les offres mentionnées dans le présent document ne sont pas toutes disponibles dans tous les pays où la société IBM est présente.
Les données de performance et les exemples de client cités sont présentés à titre informatif uniquement. Les résultats réels peuvent varier en fonction des configurations et des conditions de fonctionnement spécifiques.
Toutes les références clients mentionnées ou décrites illustrent la façon dont certains clients ont utilisé les produits IBM et précisent les résultats qu'ils ont pu obtenir. Les chiffres réels en termes de coûts environnementaux et de performances peuvent varier d'un client à l'autre en fonction de la configuration et des conditions de fonctionnement. Contactez IBM pour voir ce que nous pouvons faire pour vous.
Il incombe au client de respecter les lois et réglementations qui lui sont applicables. IBM ne fournit pas de conseils juridiques et ne déclare ni ne garantit que ses services ou produits garantiront que le client est en conformité avec la législation ou la réglementation en vigueur.
Toutes les déclarations relatives à l’orientation et aux intentions futures d’IBM sont susceptibles d’être modifiées ou retirées sans préavis et ne représentent que des objectifs.