En tant que plateforme financière mondiale, Adyen traite les transactions de certaines des marques les plus réputées au monde, telles que Meta, Microsoft et eBay. Dans le monde des services financiers où la sécurité est essentielle, l’engagement d’Adyen envers le déploiement d’une architecture Zero Trust est un principe fondamental. L’entreprise met tout en œuvre pour conserver une longueur d’avance sur les menaces en perpétuelle évolution. Récemment, l’équipe s’est fixé un nouvel objectif ambitieux : parvenir à une résistance totale au phishing dans toute l’organisation.
Pour Adyen, il ne s’agissait pas seulement de déployer un nouvel outil de sécurité. L’intention était de permettre à près de 5 000 employés d’accéder facilement et en toute sécurité aux données de l’entreprise. En déployant Okta FastPass et Identity Threat Protection, Adyen a atteint une couverture de résistance au phishing de 99,6 % sur tous les flux d’accès et une authentification 90 % plus rapide. L’entreprise a également neutralisé une attaque de phishing potentiellement dommageable qui n’a entraîné aucune compromission de compte. Bilan : une posture de sécurité renforcée, une satisfaction utilisateur accrue et une réduction des coûts opérationnels.
Au-delà de la sécurité traditionnelle
Même avec des contrôles de sécurité robustes comme Adaptive MFA, l’équipe d’Adyen savait que les cybercriminels devenaient de plus en plus ingénieux. Leandro Dimitrio, ingénieur système chez Adyen, explique : « Nous avons pris très tôt la décision de déployer FastPass de la manière la plus sécurisée et évolutive possible. » Ils ont compris que, même si Adaptive MFA pouvait signaler une connexion suspecte, les authentificateurs plus faibles, comme les SMS ou les codes à usage unique (OTP), restaient vulnérables aux attaques.
Au-delà de la connexion utilisateur, l’équipe d’Adyen a pris acte de risques supplémentaires. Elle devait sécuriser les sessions de longue durée, comme celles de Gmail, et empêcher un utilisateur, ou un attaquant potentiel, de déplacer la session d’un ordinateur portable géré par l’entreprise vers un terminal non géré.
Pour résoudre ces défis, Adyen avait besoin d’une solution capable de sécuriser la connexion initiale, de surveiller en permanence les sessions utilisateurs pour détecter les menaces, et d’appliquer des politiques de sécurité pendant et après la connexion.
Priorité à la résistance au phishing
La première étape d’Adyen a été un déploiement complet d’Okta FastPass. Pour ce faire, l’équipe a supprimé toutes les méthodes d’authentification plus faibles et guidé les utilisateurs dans la procédure d’inscription avec FIDO2 ou un passcode lié au terminal. Les authentificateurs plus faibles, tels que les SMS, les notifications push ou les OTP, ont été supprimés en tant qu’options de repli, ce qui empêche les attaquants d’exploiter facilement les comptes utilisateurs par phishing.
Cette politique couvre près de 5 000 utilisateurs sur macOS, Windows et mobiles, offrant une expérience simple, cohérente et sécurisée dès le premier jour. Elle est entièrement intégrée à leurs systèmes de gestion des terminaux mobiles et de gestion des actifs d’entreprise. Et le véritable tournant ? Le provisioning des terminaux est entièrement automatisé grâce à Okta Workflows.
Détection et réponse aux menaces d’identité basées sur l’IA
La défense d’Adyen ne s’est pas arrêtée au point d’entrée. L’équipe a implémenté Identity Threat Protection pour détecter et arrêter les attaques d’identité pendant et après l’authentification.
Avec Identity Threat Protection, Adyen suit en permanence le risque associé à la session, détectant les anomalies par rapport au comportement attendu de la session ou les menaces actives connues. Si une menace est détectée, Identity Threat Protection peut exécuter des actions en temps réel, telles que le MFA renforcé, la déconnexion universelle via la fonction Universal Logout ou des actions personnalisées via Okta Workflows.
« Identity Threat Protection contribue à ce que les terminaux restent conformes pendant la session », explique Alexander Makarov, ingénieur IAM chez Adyen. « La solution met fin aux activités inhabituelles en cours de session et empêche les collaborateurs (ainsi que les cybercriminels potentiels) de transférer les sessions de terminaux gérés vers d’autres non gérés. Cette protection est d’autant plus importante que nous détenons des licences bancaires dans différents pays et que nos ordinateurs portables sont sécurisés. »
Universal Logout est activé pour un certain nombre d’applications stratégiques d’Adyen, comme Salesforce, Google Workspace, Slack et Zoom. Cette fonctionnalité met immédiatement fin à toutes les sessions utilisateurs dans Okta et ces applications dans le but de bloquer les attaques d’identité. Ces politiques aident Adyen à maintenir en permanence une posture de sécurité d’identité robuste pour tous les utilisateurs.
« Pour accroître la visibilité et optimiser les réponses du SOC, tous les événements d’Identity Threat Protection sont transmis en continu au SIEM d’Adyen, ce qui permet à l’équipe SOC de trier et d’examiner rapidement les incidents de sécurité », poursuit Alexander Makarov. « Ce modèle en couches améliore la visibilité, réduit la fenêtre de réponse et aligne notre réponse aux menaces sur les modèles d’attaque modernes. »
Adyen est également impatient de voir davantage de fournisseurs SaaS proposer une fonction de déconnexion universelle prête à l’emploi, qui assurerait une protection plus stricte et cohérente à toutes leurs applications.
Résultat : des effectifs sécurisés et plus productifs
La puissance combinée de FastPass et d’Identity Threat Protection a permis à Adyen de répondre à divers défis :
- Aucun compte compromis : lors d’une campagne de phishing sophistiquée qui imitait la page de connexion Okta, Adyen n’a subi aucune compromission de compte. Comme il n’y avait pas d’option de mot de passe à usage unique à exploiter, les attaquants n’ont pas pu voler d’identifiants. Cela a validé la politique stricte d’Adyen en matière d’authentification FastPass dans un scénario réel.
- Couverture de résistance au phishing de 99,6 % : Adyen a atteint une couverture quasi totale sur tous les flux d’accès collaborateurs en activant FastPass dès le premier jour et en guidant les utilisateurs tout au long de la transition. Une désactivation progressive des authentificateurs inutilisés comme Google Authenticator et les SMS a contribué à favoriser une adoption de 99 % en 100 jours.
- Authentification 90 % plus rapide : si la sécurité était la priorité, l’expérience utilisateur a également connu une amélioration significative. Les délais d’authentification sont passés de 30 secondes à seulement 3 secondes par application, soit une amélioration de 90 %.
- Gain de temps et productivité : l’automatisation des workflows d’identité, du provisioning sécurisé à l’offboarding, a permis à l’équipe d’ingénierie de gagner 13 à 15 heures par semaine. Elle a également contribué à accélérer les processus d’audit, à améliorer le débit global du cycle de vie des utilisateurs et à accroître la fiabilité.
- Amélioration de la satisfaction des utilisateurs : le Net Promoter Score (NPS) du nouveau système a grimpé à 82 %, ce qui témoigne que la sécurité et la convivialité peuvent aller de pair.
* Toutes les données sont basées sur les données du client.
Alexander Makarov explique : « Avec Identity Threat Protection et Okta FastPass, c’était gagnant-gagnant. Nos utilisateurs apprécient l’expérience intuitive, fluide et sans mot de passe, et notre posture de sécurité a énormément progressé. »
Le plan d’Adyen pour réussir la stratégie Zero Trust
Voici les quatre principales bonnes pratiques d’Adyen pour toute entreprise qui souhaite suivre leur exemple :
- Authentification résistante au phishing : réduisez l’exposition au phishing grâce à des méthodes d’authentification plus faibles, en déployant une authentification résistante au phishing auprès de tous les utilisateurs.
- Inscription des terminaux basée sur des politiques : automatisez l’inscription des terminaux selon des exigences strictes de conformité et de posture.
- Application continue des politiques de sécurité des terminaux : appliquez en permanence les politiques de Device Assurance pour détecter quand une session bascule d’un terminal géré à un terminal non géré.
- Surveillance continue des risques : surveillez le comportement des utilisateurs et des sessions pendant et après l’authentification afin de détecter, prévenir et neutraliser immédiatement les menaces, telles que le détournement de session.
- Formation et sensibilisation des utilisateurs : formez les collaborateurs afin qu’ils comprennent les nouveaux workflows et puissent reconnaître les tentatives de phishing.
Le parcours d’Adyen avec FastPass et Identity Threat Protection est un exemple emblématique de la façon dont une stratégie proactive de défense en profondeur peut créer une posture de sécurité hautement résiliente et efficace. Cela signifie que vous pouvez implémenter une solution qui fonctionne pour votre technologie et correspond aux besoins de vos effectifs. Pour une entreprise aussi axée sur l’avenir qu’Adyen, ce socle leur permettra d’évoluer en toute confiance, quelles que soient les nouvelles menaces qui émergeront.
Pour en savoir plus sur Identity Threat Protection, consultez notre plateforme produits ou programmez une démonstration.
Pour en savoir plus sur le témoignage client d’Adyen, regardez la vidéo.
