Le système PKI de M&T Bank, bien que sécurisé, avait du mal à suivre la croissance de la banque. Avec l'augmentation du nombre d'appareils et de certificats, il est devenu difficile de les gérer et de les suivre, ce qui a entraîné un manque de visibilité et de contrôle.
HISTOIRE DU CLIENT
M&T Bank gagne en souplesse en matière de sécurité grâce à l'automatisation du cycle de vie des certificats.
Entretien avec Joshua Nash, directeur de la technologie et premier vice-président de l'ingénierie de la sécurité, M&T Bank
LES DÉFIS
La sécurité à l'épreuve du temps
Présentation de l'entreprise
M&T Bank est une banque américaine classée au Fortune 500, basée à Buffalo, dans l'État de New York, et dont les actifs s'élèvent à plus de 155 milliards d'euros. Fondée en 1856, M&T Bank a toujours été une entreprise axée sur la communauté, servant à l'origine les fabricants et les commerçants et exploitant aujourd'hui plus de 780 succursales dans l'est des États-Unis. En 2021, la banque a dévoilé M&T Tech Hub, une nouvelle initiative visant à stimuler la collaboration et l'innovation avec les personnes et les entreprises qu'elle sert.
Défis
Adopter l'agilité et la transformation sans perturbation
"Notre objectif est de devenir plus agile dans notre approche de la sécurité. Nous voulons favoriser une nouvelle façon de penser - être plus efficace, favoriser l'automatisation partout où c'est possible et former notre personnel aux bons principes de sécurité", déclare Joshua Nash, responsable technologique de l'ingénierie de sécurité chez M&T Bank.
L'infrastructure à clé publique (PKI) jette les bases de la confiance et de l'authentification, et l'importance de l'agilité ne fait pas exception. M&T Bank s'appuie sur PKI et sur des certificats numériques pour connecter en toute sécurité des appareils et des applications sur l'ensemble de son empreinte numérique. Mais au fil des ans, la technologie et la cryptographie ont considérablement évolué, créant de nouveaux défis.
M&T s'est initialement associé à Keyfactor en 2010 - à l'époque un service de conseil PKI connu sous le nom de Certified Security Solutions (CSS) - pour l'aider à accomplir la tâche colossale de migrer de SHA-1 à SHA-2 et de reconstruire l'intégralité de son site PKI à partir de la base.
"Chez M&T, nous avons décidé de faire évoluer la façon dont nous gérions PKI", explique M. Nash. "Keyfactor nous a aidés à reconstruire notre PKI de la bonne manière, y compris une hiérarchie d'AC appropriée avec séparation des tâches. Nous avons également réduit les trois racines de confiance à une seule racine et l'avons connectée à nos autorités de certification émettrices, ce qui était beaucoup plus facile à gérer et à maintenir."
Cependant, le nombre d'appareils et de charges de travail augmentant rapidement, le nombre de certificats requis pour l'ensemble de l'environnement s'est également accru. L'augmentation du volume et de la vitesse d'émission des certificats a rendu leur suivi difficile. Selon Nash, "établir les bases de notre site PKI était un pas dans la bonne direction, mais au fur et à mesure de notre croissance, il est devenu beaucoup plus difficile de maintenir la visibilité et le contrôle sur les certificats émis par notre site PKI et d'autres autorités de certification. Nous ne savions pas vraiment quels étaient les certificats en circulation".
Solution
Une plateforme unique pour la visibilité et l'automatisation des certificats
L'équipe de M&T savait qu'elle avait besoin d'une solution de gestion des certificats, et Keyfactor a retenu son attention en raison de la facilité avec laquelle elle a pu reconstruire son site PKI. Lorsque l'équipe s'est adressée à Keyfactor, elle a trouvé la bonne solution.
Nous sommes passés de 2 000 certificats à plus de 350 000 certificats. C'est beaucoup à suivre, mais Keyfactor nous aide à tout garder en vue et nous a permis d'évoluer massivement.
Joshua Nash, directeur de la technologie et vice-président chargé de l'ingénierie de la sécurité, M&T Bank
La découverte et l'inventaire des certificats étaient la priorité numéro un. "Nous ne pouvons pas gérer ce que nous ne pouvons pas voir", explique M. Nash. La deuxième priorité était la visibilité continue des certificats sur leurs multiples plates-formes et solutions d'autorité de certification, et pas seulement des certificats inscrits automatiquement sur leur site interne PKI. Enfin, l'équipe avait besoin d'une solution évolutive. "Elle devait s'adapter à nos exigences, et nous avons beaucoup de certificats... beaucoup", déclare Nash.
En 2014, M&T a déployé Keyfactor Command pour obtenir une meilleure visibilité de leur inventaire de certificats et définir des alertes de base pour rappeler aux utilisateurs de renouveler les certificats à un moment donné avant l'expiration. Au fur et à mesure de l'évolution du produit, M&T a continué à déployer de nouvelles fonctionnalités, qui comprennent désormais la découverte du réseau, l'inscription en libre-service, les API et les flux de travail automatisés pour le renouvellement et le provisionnement des certificats.
"Nous sommes clients de Keyfactor depuis plus de 10 ans", explique-t-il. "Au fur et à mesure que Keyfactor a évolué de ses racines dans le conseil PKI à une plate-forme complète pour PKI et la gestion des certificats, nous avons évolué nous aussi. De la reconstruction de notre PKI à l'obtention d'une visibilité et d'une automatisation complètes pour tous nos certificats, Keyfactor est un élément essentiel de notre infrastructure de sécurité."
Impact sur les entreprises
Élimination des angles morts en matière de certificats
Dans un premier temps, Keyfactor a intégré directement les autorités de certification Microsoft de M&T Banks afin de fournir une visibilité et une surveillance en temps réel de tous les certificats émis à partir de leur site interne PKI. Cette découverte initiale a permis à la banque de disposer d'un moyen beaucoup plus efficace d'inventorier et d'auditer son paysage de certificats.
"Avant Keyfactor, nous devions exporter manuellement une feuille de calcul Excel de notre autorité de certification, puis effectuer une recherche dans un inventaire massif de certificats auto-enregistrés pour trouver des anomalies", explique M. Nash. "Désormais, nous pouvons voir tous nos certificats en un seul endroit et rechercher et identifier facilement un certificat parmi des centaines de milliers en quelques secondes.
Après avoir intégré Microsoft CA, l'équipe de Keyfactor a aidé M&T à découvrir les certificats inconnus dans son réseau. Grâce aux fonctionnalités d'analyse du réseau intégrées à Keyfactor Orchestrator, l'équipe a rapidement obtenu un aperçu approfondi de tous les certificats, y compris des détails tels que la propriété, l'expiration et tous les emplacements où ils ont été installés.
Nash explique : "D'emblée, nous avons pu identifier et éliminer 50 % des certificats auto-signés dans notre environnement. Désormais, nous ne sommes plus à la poursuite de fantômes et nous avons été en mesure d'informer les utilisateurs de manière proactive sur les raisons pour lesquelles ils devraient opter pour des certificats émis par une autorité de certification plutôt que pour des certificats auto-signés. Cela a permis de réduire considérablement notre taux d'erreur".
Des processus rationalisés pour la cybersécurité et les développeurs
Comme de nombreuses entreprises, chez M&T Bank, l'équipe responsable de la gestion des certificats SSL/TLS de confiance publique est différente de l'équipe interne PKI . Keyfactor a comblé le fossé en s'intégrant à Entrust CA pour fournir à l'équipe de cybersécurité la même expérience transparente pour l'inscription des certificats et la gestion du cycle de vie.
Désormais, l'équipe de cybersécurité peut étiqueter les certificats avec des métadonnées uniques, les organiser efficacement et avertir les propriétaires d'applications avant que leurs certificats n'expirent. Selon M. Nash, "la fonction de métadonnées de Keyfactor Command est incroyablement puissante. Nous pouvons désormais marquer les certificats avec des données pertinentes telles que les courriels des propriétaires de certificats et des personnes chargées de les approuver, ce qui nous permet de les suivre avec beaucoup plus de précision".
Parallèlement, Nash a travaillé avec les développeurs et les équipes opérationnelles de M&T pour réduire les processus manuels liés à la demande et au provisionnement des certificats. "Nos développeurs peuvent simplement utiliser l'interface Swagger API de Keyfactor pour fournir des certificats beaucoup plus rapidement et sans aucune friction. Ils utilisent plus de certificats que jamais car le processus est désormais beaucoup plus rapide et efficace."
Plutôt que de poursuivre les développeurs et les administrateurs de systèmes qui utilisent des certificats de type "wildcard", qui ne sont pas conformes à la politique interne, ils peuvent fournir une alternative facile pour des certificats de courte durée qui restent dans les limites de leur politique.
Passage à plus de 350 000 certificats sans le moindre problème
Aujourd'hui, M&T Bank dispose de plus de 350 000 certificats actifs dans toute l'entreprise, ce qui inclut l'inscription automatique, ainsi que des certificats pour les appareils mobiles, les serveurs web, le réseau et l'infrastructure en nuage. Pour parvenir à une gestion des certificats à cette échelle, M. Nash explique que les performances et l'évolutivité de la plateforme Keyfactor Command ont été déterminantes.
"Nous ne cherchions pas à réduire les coûts ; même si nous l'avons fait, notre objectif était de passer à l'échelle supérieure. Et c'est exactement ce que Keyfactor nous a permis de faire", explique M. Nash. "Il nous permet d'utiliser plus de certificats pour mieux sécuriser les appareils et les charges de travail. Il n'y a vraiment aucune limite à ce que nous pouvons accomplir avec la plateforme.
Passez à l'étape
étape suivante
Découvrez comment nous pouvons vous aider à établir la confiance
confiance numérique avec une solution PKI hautement évolutive et fiable.