Plus que la somme des parties : Identity Federation chez Raiffeisen Bank International

En tant que l‘un des plus importants groupes bancaires européens, Raiffeisen Bank International fait constamment progresser la numérisation de ses services – et dépend pour cela d‘une gestion des identités et des accès, solide et compte tenu des directives réglementaires strictes. Lorsque les paysages d‘identité hétérogènes des douze filiales ont été de plus en plus reconnus comme un défi pour l‘innovation, les experts internes en Customer IAM ont entrepris, en collaboration avec iC Consult, la mise en place d‘une architecture de fédération à l‘échelle du groupe sur la base de PingFederate et ont ainsi posé une base stable pour l‘avenir.

En un coup d‘oeil

Branche: Services bancaires

Région: Europe centrale et orientale

Client: Raiffeisen Bank International

A propos du client

Avec ses douze banques de réseau (NWB) en Europe centrale et orientale, la Raiffeisen Bank International (RBI), dont le siège est à Vienne, fait partie des principaux groupes bancaires du continent.

Défi

Développement d‘un Customer-IAM approprié à l‘échelle de l‘entreprise, qui consolide les paysages d‘identité hétérogènes de douze filiales et répond aux exigences élevées de la RBI en matière de sécurité et de conformité.

Produits et services

PingFederate, PingDirectory

Résultats

  • Consolidation du paysage IDP hétérogène en une solution à l‘échelle du groupe.
  • Mise en oeuvre d‘une plateforme de fédération basée sur Ping Identity pour jusqu‘à 17 millions de clients.
  • Utilisation systématique de standards industriels pour une intégration simple
  • Respect des normes de sécurité et des exigences réglementaires les plus élevées
  • Réduction durable des coûts de développement

Nous sommes toujours très fiers lorsqu‘une nouvelle NWB ou une nouvelle application bancaire est mise en ligne et que les premiers clients y accèdent. Avec les solutions de Ping Identity et iC Consult comme partenaire à nos côtés, nous avons posé une pierre angulaire importante pour notre future stratégie d‘identité – et nous nous réjouissons beaucoup de mener ensemble ce projet de modernisation ambitieux et exigeant à bien.

Yaron Zehavi
Customer IAM Product Owner chez Raiffeisen Bank International

Aperçu

Lorsque les NWB ont été regroupées au début des années 1990, il a fallu prendre une série de décisions importantes, notamment celle de savoir si la responsabilité des infrastructures informatiques devait rester au niveau local ou être centralisée. Les responsables ont choisi la première option en raison de l‘effort d‘intégration élevé et de l‘hétérogénéité des paysages – et ce modèle a connu un grand succès pendant trois décennies. Mais dans le monde numérisé d‘aujourd‘hui, les inconvénients des solutions informatiques locales apparaissent de plus en plus: Les projets d‘innovation à l‘échelle du groupe exigent une grande agilité que l‘organisation décentralisée a souvent du mal à garantir – et le manque de standardisation au sein du groupe se répercute également sur les coûts, car il n‘est pas possible d‘exploiter des potentiels d‘économie attrayants.

Afin de préparer l‘avenir, la RBI met actuellement l‘accent sur la numérisation, la standardisation et la consolidation de son informatique, comme l‘explique Yaron Zehavi, Customer IAM Product Owner à la RBI : « Notre objectif stratégique est de développer des applications bancaires omni-canal standardisées et de les réutiliser dans nos banques de réseau. Nous avions une feuille de route claire pour la standardisation des API et des solutions de streaming d‘événements. Mais ce qui nous a longtemps fait défaut, c‘est une solution de gestion des identités et des accès de bout en bout, qui permette aux clients de s‘authentifier et de s‘autoriser en toute sécurité auprès des applications mises à disposition de manière centralisée. Sans une telle solution, chaque service devait négocier les processus IAM séparément avec les ANC – ce qui entraînait des silos d‘identité problématiques et des projets d‘intégration coûteux ».

La solution

Ping Identity, mis en oeuvre avec iC Consult

La recherche d‘une fédération Customer-IAM appropriée à l‘échelle de l‘entreprise s‘est avérée tout sauf simple : il s‘agissait en effet de réunir le paysage informatique fragmenté des douze NWB avec leurs multiples solutions IDP – d‘OpenAM à Azure AAD en passant par GAAS – et leur mélange hétéroclite de topologies sur site et dans le cloud en une solution homogène. Celle-ci devait non seulement répondre aux exigences réglementaires strictes du secteur bancaire européen, mais aussi offrir la sécurité et la convivialité exigées par les clients, tout en étant évolutive en tant que service basé sur le cloud jusqu‘à 17 millions d‘utilisateurs dans sa phase finale d‘extension.

Le catalogue d‘exigences avec lequel Yaron Zehavi s‘est lancé dans l‘évaluation du marché était donc très complet et détaillé :

  • La nouvelle solution IAM à l‘échelle de l‘entreprise devait permettre une connexion unique pratique pour toutes les applications avec une authentification multifactorielle hautement sécurisée, tout en répondant aux normes de sécurité les plus élevées et à toutes les exigences réglementaires du secteur bancaire européen, de préférence sans avoir à remplacer les données d‘accès existantes des clients.
  • L‘un des principaux objectifs du projet était de réduire autant que possible les efforts d‘intégration lors du déploiement de nouvelles applications bancaires pour les banques nationales. Pour cela, la solution devait être entièrement compatible avec les infrastructures de toutes les banques du réseau.
  • La solution devait garantir une résilience, une stabilité et des performances exceptionnelles, ainsi qu‘une évolutivité quasiment illimitée.
  • L‘autorisation doit être donnée par des jetons d‘accès sécurisés et uniformes, dans un format standardisé, afin de simplifier la validation des jetons au niveau de l‘API pour l‘ensemble du groupe.
  • Enfin, sur le plan technique, l‘IAM centralisé doit être conçu pour les environnements de développement agiles et prendre en charge les procédures CI/CD modernes afin de pouvoir tester et valider en permanence les nouvelles fonctionnalités.

Mais le vaste catalogue d‘exigences n‘était pas le seul défi – le calendrier de cet ambitieux projet d‘intégration était également très serré. Yaron Zehavi se souvient : « Le coup d‘envoi du Customer-IAM a été donné chez nous en mai 2021 et notre objectif était de mettre la nouvelle solution en service quatre mois plus tard. Nous avons donc élaboré une feuille de route pragmatique et agile : Nous avons décidé d‘aborder dans un premier temps uniquement le thème critique de la sécurité de connexion, y compris l‘authentification, les identités et l‘autorisation, et de n‘intégrer que progressivement les métadonnées d‘autorisation plus complexes. Dans un troisième temps, il s‘agira d‘intégrer la gestion des autorisations pour les transactions bancaires ».

Ping marque des points avec une forte fédération

Après de nombreux entretiens et une analyse approfondie du marché, la RBI a décidé de réaliser sa nouvelle solution Customer IAM sur la base des produits de Ping Identity. La combinaison de PingFederate et de PingDirectory, basée sur le cloud et hautement disponible, promettait de répondre à toutes les exigences des clients et a su convaincre par des solutions bien pensées pour la connexion sécurisée et la gestion des autorisations.

L‘équipe de la RBI a également posé un deuxième jalon important dans cette phase précoce du projet: Compte tenu de la profondeur et de la complexité de l‘intégration, il a été décidé de faire appel à une équipe de conseil externe, iC Consult, afin de soutenir les experts internes en matière d‘identité dans la suite du projet en tant que source d‘idées et d‘impulsions.

Connexion de 60.000 utilisateurs dans deux NWBs

Le coup d‘envoi de la mise en oeuvre a été donné mi-2021 avec l‘implémentation de la nouvelle architecture IAM et la connexion des deux premiers NWB. Pour répondre aux exigences strictes en matière de sécurité et de conformité de la solution, l‘équipe de projet a mis en oeuvre une architecture multi-cloud résiliente, évolutive et hautement disponible, et a suivi de près les meilleures pratiques en matière d‘intégration IAM pour une mise en oeuvre sécurisée d‘OAuth 2.0 et d‘OpenID Connect. Les fonctionnalités AWS ELB (Elastic Load Balancing) et WAF (Web Application Firewall) assurent un fonctionnement stable et sûr, et la solution de surveillance Prometheus fournit une visibilité sans faille sur l‘environnement.

La sécurité sans compromis

« En tant qu‘institution financière, la sécurité est une priorité absolue pour nous. C‘est pourquoi nous suivons très strictement les meilleures pratiques en vigueur pour le déploiement d‘AWS Cloud lors de l‘intégration et de l‘exploitation de l‘architecture – et nous pouvons également recommander sans réserve les Cookbooks de Ping Identity comme source d‘information précieuse », explique Yaron Zehavi. « En outre, nous testons l‘infrastructure une fois par jour, après chaque déploiement, et nous la mettons à l‘épreuve une fois par an lors d‘un pen test. En tant que membre d‘OpenID, nous nous tenons constamment au courant des nouveaux projets et développements ».

Test et validation en continu

Afin d‘éviter les pannes après le déploiement d‘applications, de mises à jour ou de modifications, l‘équipe de projet a en outre mis en place un environnement de test, hautement performant, dans lequel chaque modification est rigoureusement testée avant sa mise en oeuvre. La pile de test – un IDP NWB de démonstration avec un client de démonstration – comprend plus de 150 scénarios de test avec des erreurs et des cas limites côté client et IDP, et permet à la RBI de tester les environnements de manière proactive et légale.

La mise à disposition de nouvelles fonctionnalités s‘effectue de manière agile selon les principes du Continuous Delivery. « Afin de ne pas mettre à l‘épreuve la patience des clients avec des mises à jour manuelles et de ne pas obliger l‘équipe à travailler inutilement de nuit, les nouvelles versions sont désormais testées, vérifiées et mises à disposition de manière automatisée », explique Henrik Kroll, consultant IAM chez iC Consult. « La procédure fonctionne si bien que la RBI peut s‘occuper de 3 millions de clients sans problème de qualité pendant que les pods PingFederate et PingDirectory sont rechargés. C‘est vraiment impressionnant, et cela donne naturellement une toute nouvelle liberté lors de la planification des déploiements ».

Poser des jalons pour l‘avenir

La solution Ping a été mise en ligne fin 2021 et les deux premières applications bancaires y ont été connectées entre-temps. Dès le premier jour, l‘architecture fédérée s‘est révélée extrêmement intuitive et flexible, et s‘est rapidement imposée au sein du groupe comme le standard de facto en matière d‘identité client. Les clients apprécient particulièrement l‘amélioration de l‘expérience utilisateur, qui leur permet d‘utiliser les offres numériques de la RBI à tout moment et de manière confortable – sans nouvelles données d‘accès, via l‘interface familière et dans la langue locale.

Conclusion

En implémentant Ping Identity, la RBI a posé avec succès les bases d‘une mise à disposition sûre et efficace d‘applications bancaires standardisées pour ses douze banques de réseau, indépendamment des technologies d‘identité qu‘elles utilisent et pour une fraction des coûts qui auraient été engendrés par le développement d‘intégrations individuelles.

Le bilan intermédiaire provisoire de Yaron Zehavi est donc positif : « Nous sommes toujours très fiers lorsqu‘une nouvelle NWB ou une nouvelle application bancaire est mise en ligne et que les premiers clients y accèdent. Avec les solutions de Ping Identity et iC Consult comme partenaire à nos côtés, nous avons posé une pierre angulaire importante pour notre future stratégie d‘identité – et nous nous réjouissons beaucoup de mener à bien ensemble ce projet de modernisation ambitieux et exigeant ».

Calcul des coûts :

Économies potentielles de la plateforme d‘identité à l‘échelle du groupe

Si la RBI avait décidé de mettre en place sa propre solution d‘identité pour chaque NWB, cela aurait signifié le développement de 240 intégrations (20 applications bancaires dans 12 NWB). En estimant à 3 le nombre de personnes par mois de développement par intégration, cela correspond à 720 personnes-mois ou à environ 6 millions d‘euros .

En outre, ce scénario aurait inévitablement entraîné des retards considérables et des perturbations organisationnelles – soit parce que les ressources en personnel auraient manqué dans le développement, soit parce que des développeurs auraient été retirés d‘autres départements pour le projet. Et les clients auraient eux aussi été directement touchés, puisqu‘un échange des données d‘accès aurait été inévitable.

En revanche, le développement et la mise en oeuvre de la solution IAM à l‘échelle du groupe n‘ont nécessité que 24 personnes-mois . Même si l‘on calcule de manière conservatrice que l‘intégration des applications bancaires et des NWB nécessitera 96 mois de travail supplémentaires (3 mois pour 12 NWB et 20 applications), auxquels s‘ajoutent encore 96 mois de travail pour la maintenance et l‘entretien, le coût de la solution consolidée s‘élève à seulement 216 mois de travail, soit 1,6 million d‘euros . C‘est moins d‘un tiers du coût du modèle alternatif, pour une sécurité et un confort nettement accrus.

Vous souhaitez lancer votre projet IAM[nbsp]?

Nos experts sont impatients de discuter avec vous.

Contactez-nous