Étude de cas : Raiffeisen-IT GmbH

Session Monitoring pour sécuriser les accès privilégiés. Mise en oeuvre avec Syteca chez Raiffeisen-IT GmbH.

Nos études de cas consacrées à Raiffeisen-IT GmbH offrent un regard direct sur des projets clients réels. Elles montrent comment nos solutions fonctionnent dans la pratique, de manière fiable, évolutive et traçable. Nous décrivons des cas d’usage concrets, les défis et la valeur ajoutée obtenue. Vous obtenez ainsi une impression authentique de l’usage de solutions modernes d’IT et de sécurité dans diverses organisations. Nous remercions nos clients pour leur confiance et leur volonté de partager publiquement leur expérience.

À propos de Raiffeisen-IT GmbH

La Raiffeisen-IT GmbH, basée en Allemagne, fournit en tant que prestataire IT une gamme complète de services pour plusieurs sociétés actionnaires, notamment des services IT pour les applications bureautiques, l’exploitation de l’infrastructure et des réseaux, ainsi que des Managed Services pour les systèmes d’exploitation, les bases de données et la base SAP. Les prestations sont assurées de manière centralisée depuis les sites de Kassel et de Karlsruhe. (www.raiffeisen-it.com).

Situation initiale & motivation

La complexité croissante du paysage IT, notamment en raison de la responsabilité centrale des processus IT externalisés des sociétés actionnaires, exigeait un niveau élevé de standardisation, de transparence et de pilotage. Chez Raiffeisen-IT GmbH, les exigences issues des audits des comptes annuels, ainsi que les prescriptions internes de gouvernance, rendaient indispensable l’ancrage de mesures techniques et organisationnelles. Cependant, il fallait aussi en garantir la preuve durable. Par conséquent, la gestion des utilisateurs privilégiés et des droits d’administration est devenue un sujet prioritaire pour Raiffeisen-IT GmbH. L’objectif était d’assurer la traçabilité des activités et, en parallèle, de prévenir efficacement toute manipulation.

Marc Golenko

Chef d’équipe exploitation SAP

« Avec Syteca, nous avons une transparence totale sur les activités de nos administrateurs et de nos prestataires externes. Dans l’environnement SAP en particulier, c’est un gain réel, y compris au regard des exigences des auditeurs. La solution est stable, s’intègre bien au quotidien et a rapidement fait ses preuves. Techway nous a soutenus dès le départ, de manière pragmatique et compétente. »

Défi

Trois domaines clés pour les contrôles ont été mis au centre :

Gestion des accès (ZM), notamment dans AD et Azure AD
Gestion des changements (AM), par exemple dans les paysages systèmes SAP
Réseau & infrastructure (NI), y compris les composants centraux pour la fourniture de services

Afin de sécuriser les accès privilégiés, par exemple à la base de données SAP, il manquait jusqu’alors un instrument garantissant une traçabilité complète et conforme aux exigences d’audit. Or, dans un environnement fortement régulé, cela constituait une lacune majeure pour Raiffeisen-IT GmbH. En conséquence, les contrôles de sécurité conformes aux normes ISO ne pouvaient pas être démontrés avec la rigueur requise.

Objectifs

Dans le contexte de l’ISO/IEC 27001:2022, les exigences suivantes devaient être prises en compte :

Objectif	Axe	Norme / référentiel
Traçabilité des activités privilégiées grâce à une documentation complète des sessions et des actions.	Session Recording (écran/frappes/métadonnées applicatives)	ISO 27001 Privileged Access Rights ISO 27001 Assessment of Events
Réaction rapide aux incidents de sécurité grâce à la détection et au confinement en temps réel d’actions à risque.	Analyse en temps réel & réponse automatique (blocage/arrêt de processus)	ISO 27001 Response to Incidents ISO 27001 Monitoring Activities
Conservation des preuves pour les audits et la forensique grâce à des données de session exportables, protégées et conformes aux exigences d’audit.	Export conforme aux exigences d’audit & préparation audit/forensique	ISO 27001 Collection of Evidence
Contrôle d’accès basé sur les rôles afin d’éviter les conflits de rôles, ainsi que l’abus de comptes partagés.	RBAC, règles de contexte & authentification secondaire	ISO 27001 Segregation of Duties ISO 27001 Information Access Restriction
Surveillance en direct et alerting pour détecter précocement des accès privilégiés suspects ou non autorisés.	Session Monitoring, alertes & escalades	ISO 27001 Monitoring Activities

Solution

Pour atteindre ces objectifs, Raiffeisen-IT GmbH a déployé le logiciel de Syteca. Il s’agit d’une plateforme de Session Monitoring privilégié & PAM, que l’éditeur a conçue, selon ses indications, pour répondre de manière ciblée aux exigences de l’ISO/IEC 27001:2022.

Pourquoi Syteca chez Raiffeisen-IT GmbH ?

Le choix de Syteca est intervenu après une évaluation ciblée de plusieurs approches de surveillance des accès privilégiés. Comparé au logging classique et aux méthodes basées sur un SIEM, Syteca a convaincu, notamment, par la combinaison de Session Recording, d’un contrôle granulaire des droits et d’une surveillance intelligente en temps réel. De plus, la solution a réuni des exigences techniques, organisationnelles et liées aux audits dans un seul outil. Ainsi, Raiffeisen-IT GmbH a évité de complexifier l’environnement ou de créer de nouveaux risques opérationnels.

Intégration fluide dans l’exploitation IT de Raiffeisen-IT GmbH

Un critère déterminant était aussi la facilité d’utilisation au quotidien. Syteca s’est intégré sans rupture dans les processus existants. Par ailleurs, la courbe d’apprentissage pour les administrateurs est restée courte. Aujourd’hui, Raiffeisen-IT GmbH peut surveiller de bout en bout, y compris les prestataires externes, tout en respectant la protection des données. En particulier pour des systèmes pertinents pour la comptabilité, comme SAP, un niveau de contrôle orienté risque a ainsi été établi. Il répond aux standards internes et, en même temps, aux attentes des auditeurs externes.

Valeur ajoutée fonctionnelle pour la sécurité et la gouvernance

Le tableau ci-dessous illustre des domaines fonctionnels centraux de la plateforme Syteca, tels qu’ils sont utilisés chez Raiffeisen-IT GmbH. Ensemble, ils garantissent que les événements sensibles sont documentés de manière conforme aux exigences d’audit. Ils permettent aussi d’identifier tôt les actions suspectes. Enfin, ils assurent une gestion contrôlée et traçable des droits d’accès privilégiés. Cela constitue un élément essentiel de la structure de gouvernance conforme à l’IKS et à l’ISO 27001 de l’entreprise.

Fonction	Description
Session Recording avec lecture en temps réel	Les activités des utilisateurs privilégiés (p. ex. administrateurs SAP) sont entièrement enregistrées et stockées de manière consultable.
Analyse des métadonnées et Event Logging	Chaque interaction est documentée avec des données de contexte (p. ex. applications lancées, frappes au clavier, périphériques USB)
Analyse des métadonnées et Event Logging	Chaque interaction est enrichie de données de contexte (p. ex. applications lancées, frappes au clavier, périphériques USB).

Rôle de Techway GmbH

La Techway GmbH agit en tant que partenaire de distribution autorisé de Syteca dans la région DACH et a accompagné Raiffeisen-IT GmbH tout au long du projet, sur les plans technique et méthodologique. En tant que partenaire d’intégration, Techway a pris en charge l’installation et la mise en service de la plateforme Syteca, y compris la conception du système, la configuration et les adaptations spécifiques aux usages. La mise en oeuvre s’est faite en étroite coordination avec les responsables opérationnels et de gouvernance. Ainsi, Syteca a pu être intégré sans heurts dans le système de contrôle existant et dans les processus de services IT de Raiffeisen-IT GmbH.

Conclusion

Avec Syteca, Raiffeisen-IT GmbH a non seulement comblé une lacune centrale dans la mise en oeuvre de l’IKS, mais a aussi amélioré de manière ciblée la conformité à l’ISO/IEC 27001:2022. La solution fournit une base robuste pour la transparence, la responsabilité et l’auditabilité dans la gestion des accès privilégiés. En outre, elle offre la flexibilité nécessaire pour faire évoluer le système de contrôle interne de Raiffeisen-IT GmbH en fonction des exigences réglementaires.

Planifier un entretien de conseil sans engagement.

Pour un premier échange sans engagement ou pour des offres portant sur des services et des produits logiciels destinés à des projets de Cyber Security, veuillez nous écrire un message. Ensuite, notre équipe vous contactera dans les plus brefs délais. Nous nous réjouissons de votre demande.

Demander maintenant

Nous sommes volontiers à votre disposition : écrivez-nous

Pour un premier entretien sans engagement et des références concrètes, veuillez nous écrire un message. Vous pouvez aussi nous contacter par téléphone.

Nous restons à votre disposition et nous réjouissons de votre message !