St.Galler Kantonalbank AG (SGKB) recherchait une nouvelle solution pour mieux sécuriser et contrôler l'accès aux propres applications de la banque en déplacement et depuis l'étranger. Avec Swisscom, SGKB a mis en place un concept d'Apportez votre propre appareil pour les employés et a combiné la convivialité avec un haut niveau de sécurité qui répond aux exigences strictes de la banque – à moindre coût et avec moins d'efforts administratifs.
En tant qu'établissement financier leader en Suisse orientale, la St.Galler Kantonalbank (SGKB) propose depuis plus de 150 ans des services financiers complets aux particuliers et aux entreprises. Elle emploie au total 1 200 personnes à son siège de Saint-Gall et dans les 38 autres succursales. Parmi eux, environ 300 employés de banque et environ 100 employés externes ont régulièrement besoin d'accéder aux applications de la banque en dehors du bureau. Il s'agit notamment des frontaliers en Autriche et en Allemagne ainsi que des administrateurs système, dont certains ont besoin d'accéder à des applications depuis l'étranger.
La sécurité au détriment de la convivialité
Guido Kölliker est Chief Information Security Officer chez SGKB depuis le 1er juillet 2017 et, à ce titre, est responsable de la sécurité des informations de la banque. L'un des premiers défis en tant que CISO était d'améliorer la sécurité de l'authentification à 2 facteurs de l'accès à distance ainsi qu'un contrôle plus fort de l'accès régional depuis l'étranger. Jusque-là, les employés qui souhaitaient se connecter en déplacement le faisaient avec un jeton RSA ou un SMS comme deuxième facteur en plus du mot de passe. Le jeton physique générait un code de sécurité à six chiffres que l'utilisateur devait entrer pour se connecter. Il en était de même pour le SMS, qui générait un code à quatre chiffres.
Cependant, le jeton RSA était impopulaire auprès des managers et du personnel pour plusieurs raisons. D'une part, cela signifiait un appareil supplémentaire que les employés devaient emporter avec eux à tout moment pour accéder aux applications. Deuxièmement, la fonction de géolocalisation basée sur IP était facilement contournée par les VPN et ne fournissait donc pas à elle seule le niveau de sécurité nécessaire pour l'accès depuis l'étranger. Par conséquent, comme alternative, l'authentification par SMS a été testée comme deuxième facteur pour remplacer l'appareil supplémentaire et pour inclure davantage les appareils privés des employés (smartphones).
"Dès qu'un employé oubliait son jeton RSA chez lui, il ne pouvait pas travailler", se souvient Kölliker. "C'est pourquoi je cherchais une solution qui incluait le smartphone des employés. Après tout, vous emportez toujours votre smartphone privé avec vous. Par SMS, nous avons établi les appareils des employés comme un deuxième facteur, mais cette méthode n'offrait pas la solution souhaitée niveau de sécurité, car il a été prouvé qu'il pouvait être exploité dans le passé."
Recherché : sécurité, convivialité et contrôle
La nouvelle solution devait donc offrir un niveau élevé de sécurité, de convivialité et un meilleur contrôle sur l'accès étranger dans une égale mesure. La recherche de la technologie appropriée s'est d'abord révélée difficile. Une solution basée sur une application qui utilisait le bruit de fond pour la vérification a été exclue car les microphones requis sur l'ordinateur privé de l'utilisateur auraient entraîné des coûts supplémentaires. Les solutions basées sur les appareils qui utilisaient une carte à puce comme deuxième facteur, par exemple, étaient également inadaptées car elles entraînaient les mêmes problèmes que le jeton RSA et impliquaient beaucoup d'administration.
Au cours de la recherche, Kölliker s'est également entretenu avec Swisscom, avec qui SGKB travaille déjà avec succès depuis des années. D'une part, Swisscom exploite l'infrastructure ICT et les postes de travail de SGKB; d'autre part, les postes de travail des employés ont été migrés vers Windows 10 à cette époque et renouvellent actuellement l'infrastructure avec des ordinateurs de bureau, des ordinateurs portables et des clients légers. Depuis quelque temps, il y avait des discussions sur la possibilité de mettre en place une authentification forte à 2 facteurs en même temps que le renouvellement des postes de travail. Cependant, en raison de dépendances de planification, cela a été reporté à une date ultérieure.
Avec Mobile ID, Swisscom proposait une solution qui répondait à toutes les exigences de SGKB. Il permet un contrôle interne de l'accès à distance en permettant aux propres employés de la banque d'accorder et de révoquer temporairement des autorisations d'accès de différents pays via une liste blanche/noire. Une autre avancée significative est que la vérification n'est pas basée sur IP, mais s'effectue via le réseau mobile. "Essayer de simuler un emplacement différent ici nécessiterait un degré élevé d'énergie criminelle, car l'emplacement est déterminé sur la base de la tour radio et du fournisseur du pays respectif. C'est beaucoup plus difficile à contourner", déclare Guido Kölliker avec la satisfaction.
De plus, Mobile ID fonctionne indépendamment du terminal et peut être utilisé sur les smartphones des employés sans application supplémentaire, ce qui réduit considérablement les coûts et les efforts administratifs. Lors de la connexion, l'utilisateur saisit ses données, puis reçoit une notification sur le smartphone (qu'il soit allumé ou éteint) et confirme la connexion via Mobile ID avec un code PIN à six chiffres, qui est défini individuellement à l'avance et peut être modifié à tout moment.
Adaptation aux exigences individuelles
Le passage à Mobile ID a commencé en septembre 2018 et s'est déroulé sans encombre, même si quelques obstacles sont encore survenus lors de la mise en œuvre.
"Les exigences de la solution étaient uniques dans la mesure où SGKB voulait gérer elle-même l'administration du geofencing, mais l'infrastructure fonctionnait sur la plate-forme Citrix de Swisscom. Nous n'avons jamais eu une telle situation dans le passé", commente Swisscom. "Nous devions nous assurer que Mobile ID était compatible avec l'environnement Citrix et que les changements d'Active Directory étaient correctement adoptés dans le backend de Mobile ID. Nous avons dû intégrer ces changements à la volée, mais nous avons très bien réussi à le faire dans le En fin de compte, le projet a été réalisé comme prévu.
Dans le cadre du changement, les 300 employés et 100 externes qui ont besoin d'accéder à l'application bancaire pendant leurs déplacements ont reçu de nouvelles cartes SIM compatibles Mobile ID pour leurs appareils privés, qui étaient liées à leur compte utilisateur à la banque. Ceux qui n'étaient pas déjà clients des fournisseurs partenaires Swisscom ou Mobile ID ont reçu une carte SIM supplémentaire pour se connecter.
Depuis avril 2019, les employés utilisent désormais exclusivement Mobile ID comme deuxième facteur pour se connecter en déplacement. Guido Kölliker exprime sa satisfaction face au changement : "Il était particulièrement important pour moi que le contrôle de l'accès étranger soit entre nos mains et que les employés suivent également le chemin, sinon cela n'aurait pas fonctionné. C'est pourquoi je suis très heureux que nous avons trouvé une solution qui a été très bien accueillie par le personnel et qui offre en même temps la sécurité nécessaire dans l'environnement bancaire."
Seul le premier pas
Après l'introduction réussie de Mobile ID pour les employés à distance, Guido Kölliker souhaite introduire cette forme d'authentification à 2 facteurs à tous les employés du bureau également d'ici fin 2019 afin de renforcer la sécurité générale dans la banque. Il est également accompagné en interne par la DRH qui souhaite également intégrer plus fortement les smartphones privés dans le quotidien professionnel afin de mieux enregistrer les heures de travail par exemple. Il tire donc une conclusion intermédiaire tout à fait positive :
"Avec Mobile ID, nous avons pu montrer que les concepts d'apporter votre propre appareil peuvent également très bien fonctionner dans l'environnement bancaire sans compromettre la sécurité. De plus, nous avons jeté une base importante pour de nouveaux progrès numériques et, à l'avenir , nous pourrons traiter facilement les signatures électroniques qualifiées ou les déclarations d'intention via le smartphone, ce qui sera plus pratique pour les clients.