PROBLÉMATIQUES
Comment repenser en profondeur les accès administrateur locaux et le contrôle des mots de passe sur 50 000 terminaux, sans perturber le moindre utilisateur ? C’est le défi stratégique auquel Northern Trust devait répondre. L’entreprise devait également relever des enjeux d’évolutivité et de conformité liés à la gestion des accès à privilèges, tout en réduisant les risques associés à des certificats SSL à longue durée de vie, susceptibles d’accroître l’exposition aux compromissions et de maintenir des pratiques de chiffrement dépassées.
Pour l’une des institutions financières les plus importantes et les plus respectées au monde, la sécurité et la conformité ne sont pas de simples exigences : elles sont au cœur même de ses opérations. Pourtant, l’outil de gestion des privilèges sur les terminaux alors en place apportait davantage de complexité que de protection.
Déployé sur le plan technique, il restait très limité dans les faits. « Avant comme après la mise en œuvre de notre ancien outil, la liste des difficultés restait pratiquement inchangée », explique Manish Dixit, Director of Cybersecurity Engineering chez Northern Trust. « C’était comme si nous n'avions pas de solution du tout. » Avec plus de 23 000 collaborateurs dans le monde, Northern Trust avait besoin d’un meilleur contrôle des accès utilisateurs, de politiques plus strictes et d’une visibilité plus nette sur les failles de sécurité.
À l’époque, seuls 40 % des terminaux respectaient les exigences de base en matière de rotation des mots de passe. Faute de contrôle centralisé, les collaborateurs géraient eux-mêmes leurs mots de passe d’administration locale. Cette pratique favorisait les identifiants faibles, les comptes partagés et les verrouillages fréquents lorsque les utilisateurs oubliaient ou saisissaient mal leurs mots de passe.
Alors que le renouvellement des licences approchait, Northern Trust devait trouver une voie plus intelligente et plus rapide pour renforcer sa résilience bancaire, dans un environnement IT complexe marqué par des VDI non persistants, des utilisateurs distants répartis dans le monde entier et des exigences réglementaires à plusieurs niveaux.
L’alignement interne serait déterminant. Le déploiement devait réussir du premier coup.
– Manish Dixit
Director of Information Security Engineering, Northern Trust
SOLUTIONS
En s’appuyant sur son partenaire d’implémentation SDG Corporation, Northern Trust a choisi Idira Identity Security Platform, composée des solutions suivantes : Idira Endpoint Privilege Manager (EPM), Idira Privileged Access Manager (PAM, auto-hébergé), Idira Secrets Manager (auto-hébergé), Idira Code Sign Manager et Idira Certificate Manager (auto-hébergé).
Pour ce déploiement d’envergure, le plus important jamais mené par l’entreprise, comment avancer sans perturber les processus métier ? En adoptant un déploiement structuré en trois phases, pensé pour limiter les interruptions, préserver le niveau de sécurité et renforcer la conformité dans l’ensemble des activités de services financiers.
Phase 1 : l’équipe a déployé Idira EPM et Idira PAM en mode auto-hébergé et en coexistence avec le système existant, afin d’éviter tout impact opérationnel. Elle a commencé par la fonctionnalité Loosely Connected Devices (LCD), en ciblant les gains rapides et la validation du dispositif. En affectant chaque jour un nombre défini de terminaux et en les supervisant de près, SDG Corporation a pu maîtriser l’impact du déploiement et garantir la fluidité de l'expérience. « Nous avons pu gérer les droits d’administration locale avec Idira EPM et assurer une rotation périodique des identifiants pour maintenir leur conformité », explique Manish Dixit. « Grâce à la rotation automatisée des mots de passe, nous avons considérablement allégé la charge du support IT. Nous avons amélioré la conformité tout en réduisant le nombre de tickets », ajoute-t-il.
Phase 2 : un travail minutieux de cartographie des politiques a permis de préserver l’ensemble des fonctionnalités utiles, tout en supprimant la complexité superflue. Pour réduire le risque technique pendant la transition, l’agent hérité a été désactivé sur place plutôt que désinstallé. Malgré l’ampleur du changement, ce prestataire de services financiers n’a constaté aucune interruption pour les utilisateurs finaux. « Nous avons mené une phase de tests approfondie afin de garantir une transition fluide, et c’est exactement ce que nous avons obtenu », explique Nikhil Rao, Director of Endpoint Privilege Management and Privileged Access Management chez SDG Corporation. « Tests de régression, simulations de politiques, revues avec les parties prenantes : tout était en place pour nous permettre de déployer la solution en toute sérénité », poursuit-il.
Phase 3 : Northern Trust a ensuite davantage étendu les capacités d’Idira EPM. L’entreprise a introduit des accès administrateur « just-in-time » (JIT) via ServiceNow, appuyés par un workflow d’approbation personnalisé à deux niveaux. Le contrôle des applications a été renforcé au moyen de règles ciblées d’autorisation et de blocage, tandis que de nouvelles intégrations avec Azure Sentinel ont permis de détecter des menaces qui passaient auparavant inaperçues.
Comme l’explique Vaibhav Nigam, Managing Director chez SDG Corporation : « Idira EPM (anciennement CyberArk) a été capable de détecter des types d’attaques que le SIEM existant ne voyait pas. Les attaques simulées ont déclenché des alertes dans EPM, mais pas dans le SIEM en place. Cela nous a confortés dans la capacité du produit à détecter les menaces. »
Pour répondre à ses enjeux d’accès à privilèges, Northern Trust a mis en place un programme centré sur les identités humaines, élargissant considérablement son périmètre de sécurité dans ce domaine. L’entreprise est passée d’une instance unique sur site à deux instances auto-hébergées dans Azure, afin de dissocier la gestion des identités humaines de la gestion des secrets associés aux identités machine. Elle a également assaini ses données de comptes, résolu les problèmes liés au Central Policy Manager (CPM) et développé un tableau de bord PowerBI en temps réel pour le reporting de conformité.
Sur le volet des identités machine et non humaines, Northern Trust a intégré près de 400 applications avec Idira Secrets Manager (en mode auto-hébergé), renforçant fortement la protection de ces environnements. L’entreprise a aussi intégré Idira Certificate Manager (en mode auto-hébergé) pour sécuriser davantage la gestion de ses certificats numériques, avec une politique imposant le renouvellement de tous les certificats SSL tous les six mois. Northern Trust utilise également Idira Code Sign Manager afin de signer de manière sécurisée le code Microsoft et les applications Java.
– Manish Dixit
Director of Information Security Engineering, Northern Trust
RÉSULTATS
Northern Trust a pu intégrer les 50 000 terminaux en seulement 16 jours, sans le moindre incident. Plus remarquable encore, la conformité en matière de rotation des mots de passe est passée de 40 à plus de 95 %, réduisant fortement l’un des risques les plus critiques pour l’institution bancaire.
« Idira EPM (anciennement CyberArk) propose des listes d’autorisation, des listes de blocage, des accès JIT et bien plus encore. Notre équipe Risques nous en remercie », explique Manish. « La granularité des contrôles et l’automatisation ont permis à notre support d'économiser de nombreuses heures. » Les droits d’élévation des privilèges ont été réduits de plus de 30 %, tandis que des écarts de conformité critiques ont été comblés en étendant la couverture aux images parentes des VDI non persistants. Le déploiement n’a pas seulement renforcé la sécurité et la conformité : il a aussi rationalisé les opérations, sans compromettre l’expérience utilisateur. L’intégration aux systèmes SIEM et ITSM a encore renforcé la gouvernance et réduit la charge du support.
« Nous avons créé des tableaux de bord personnalisés à partir des logs EPM, des données d’utilisation des applications et des données AD », explique Nikhil Rao. « Cela nous a aidés à déployer de véritables contrôles, et pas seulement à déployer un logiciel », confirme-t-il.
Le programme PAM amélioré a été déployé avec succès et gère désormais environ 70 000 comptes – soit une croissance d’environ 250 %. La posture de conformité s’est nettement renforcée grâce au reporting en temps réel, aux données rationalisées et à une gestion plus fiable des identifiants. L’architecture modernisée et évolutive déployée dans Azure permet à l’entreprise de poursuivre sa croissance et d’intégrer de futures améliorations.
Les initiatives engagées pour protéger les identités non humaines et machine ont permis d’élargir de 300 % la couverture de sécurité des applications, tout en consolidant nettement la posture de sécurité de Northern Trust. En réduisant la durée de validité des certificats, l’entreprise a limité son exposition aux risques liés aux éléments compromis ou obsolètes, et posé les bases d’une gestion plus agile, plus automatisée et mieux maîtrisée de leur cycle de vie.
En repensant la gestion des privilèges sur les terminaux, des accès à privilèges et des identités machine, Northern Trust a dépassé ses objectifs de sécurité et de conformité. L’institution a fixé un nouveau standard. Cette réussite montre qu’avec les bonnes technologies, les bons partenaires et une exécution rigoureuse, une transformation à grande échelle peut être rapide, sûre et transparente pour les utilisateurs. Une démarche qui a valu à Northern Trust le prix 2025 Identity Security Impact Award for Cyber Risk Reduction.
- Efficacité – Suppression de la charge liée à la complexité et aux licences de l’ancien EPM, avec 50 000 terminaux sécurisés en 16 jours.
- Expérience utilisateur – Le modèle de coexistence a permis une migration complète, sans interruption ni temps d’arrêt.
- Conformité et gouvernance dans le secteur financier – Les droits d’élévation des privilèges ont été réduits de 30 %, tandis que la conformité en matière de rotation des mots de passe est passée de 40 à plus de 95 %. Des contrôles prêts pour l’audit et des capacités de détection ont été intégrés à ServiceNow et Microsoft Sentinel.
