Capitec accélère sa transformation numérique et protège ses données financières avec Zscaler

Capitec, la plus grande banque de détail d’Afrique du Sud, se distingue de ses concurrents à plusieurs égards. Dans le cadre de sa stratégie cloud-first, la banque a récemment migré son application bancaire et son centre d’appels vers Amazon Web Services (AWS) sans interruption de service. Elle se classe également au premier rang en matière de satisfaction client en Afrique du Sud.

Depuis plusieurs années, Capitec mène sa transition vers le cloud et le Zero Trust. La banque abandonne progressivement son architecture de sécurité périmétrique existante — lente, complexe et inefficace — fondée sur des équipements hérités, des pare-feu et des VPN dans le data center, ainsi que sur des appliances virtuelles et des solutions ponctuelles non intégrées dans le cloud. Une architecture de sécurité périmétrique peut reposer à la fois sur des appliances matérielles héritées et sur des appliances virtuelles ou cloud.

Lorsque Andrew Baker rejoint Capitec en avril 2022 en tant que CTO, le déploiement du Zero Trust accuse un retard important après plus de deux ans de tentatives infructueuses avec une solution concurrente à Zscaler. Fort de ses précédents succès avec la plateforme Zscaler Zero Trust Exchange dans d’autres entreprises, il décide de déployer cette plateforme complète chez Capitec. Zscaler a considérablement simplifié l’infrastructure et prend désormais en charge 17 000 utilisateurs chez Capitec.

« Si vous ne disposez pas d’une stratégie cybersécurité solide intégrant une solution mature comme Zscaler, vous resterez en permanence en mode réactif, à ouvrir des centaines de tickets de support pour comprendre pourquoi quelque chose ne fonctionne pas. Nous avons intégré la plateforme Zero Trust Exchange dans notre environnement et déployé nos agents de sécurité Zero Trust auprès de l’ensemble de nos utilisateurs en trois mois », ajoute Andrew Baker.

Responsable de la protection des données sensibles et des informations personnelles identifiables (PII), Capitec accorde une importance primordiale à la sécurité. Pour garantir l’intégrité de ses informations hautement confidentielles, Andrew Baker et son équipe devaient s’attaquer à des enjeux fondamentaux tels que les fuites de données et la gestion des risques.
Avant d’adopter Zscaler, l’équipe ne disposait pas de la visibilité nécessaire, fondée sur les données, pour répondre à ces enjeux. En outre, la solution de Capitec était instable, lente et générait une charge opérationnelle importante. Les utilisateurs étaient mécontents et la productivité s’en ressentait.
Andrew Baker et son équipe savaient qu’il leur fallait une approche du Zero Trust plus complète et véritablement intégrée. « Avant Zscaler, nous étions exagérément concentrés sur un CASB (Cloud Access Security Broker). Or, prise isolément, cette solution était insuffisante pour déployer une stratégie Zero Trust complète pour le trafic sortant vers Internet », explique Andrew Baker.

À partir du déploiement de ZIA, Capitec a progressivement poursuivi sa transition vers une architecture Zero Trust complète, avec la certitude que Zscaler disposait des capacités nécessaires pour y parvenir. ZIA sécurise désormais le trafic Internet et l’accès aux applications SaaS telles que Microsoft 365, SAP, Salesforce et ITSM. La solution améliore également la visibilité et fournit des informations beaucoup plus détaillées. ZIA offre également une expérience utilisateur nettement supérieure, réduit les coûts réseau et renforce la posture de sécurité.

« Nous mettons régulièrement ZIA à l’épreuve pour vérifier qu’il est impossible de le contourner, et la solution n’a jamais failli. Nous sommes très satisfaits de la capacité de prévention de la perte de données, des filtres et de la correspondance des modèles. ZIA est un produit complet », déclare Andrew Baker. Trois mois seulement après son déploiement, ZIA avait déjà bloqué 744 758 menaces de sécurité et 423 172 menaces dissimulées dans le trafic chiffré.

Aujourd’hui, Capitec peut se concentrer sur les enjeux de sécurité les plus critiques et gérer les risques de manière dynamique grâce aux données fiables, précises et complètes du tableau de bord de ZIA. En comparant la posture de sécurité de la banque avant Zscaler, Andrew Baker souligne que l’équipe pilotait auparavant la cybersécurité à partir de risques recensés lors d’audits et de listes suivies dans Jira, ce qui ne donnait qu’une vision partielle de la situation.

Andrew Baker revient sur l’impact de ZIA : « Je ne vois pas comment on peut gérer une entreprise de services financiers sans la visibilité fournie par Zscaler. J’ai utilisé les « informations exploitables » d’autres fournisseurs de sécurité, mais ils apportaient peu de valeur. Ceux de Zscaler, en revanche, sont réellement exploitables et beaucoup plus utiles. De plus, Zscaler examine régulièrement la qualité de notre implémentation et nous aide à faire évoluer notre déploiement en adoptant les nouvelles fonctionnalités pertinentes. »

Avant d’adopter une architecture Zero Trust, Capitec utilisait un VPN pour connecter les utilisateurs aux applications et aux serveurs, et un système de détection d’intrusion pour surveiller le trafic. La gestion de ces outils était lourde, largement manuelle et difficile à maintenir, en particulier lorsque des problèmes de connectivité touchaient les utilisateurs distants. Conséquences : une posture de sécurité fragile, une productivité en baisse et des utilisateurs mécontents.

Dans le cadre d’un déploiement progressif, Capitec a déployé Zscaler Private Access (ZPA) peu après le déploiement de ZIA afin de remplacer ses VPN et de sécuriser le trafic entre les appareils des utilisateurs, les data centers sur site et les applications de cloud privé. ZPA permet un accès direct aux applications basé sur des politiques, conformément au principe du moindre privilège. Avec Zscaler, les utilisateurs ne sont jamais placés sur le réseau de l’entreprise, ce qui réduit la surface d’attaque et empêche le déplacement latéral des menaces.

Zscaler a également simplifié l’administration tout en offrant une visibilité complète sur les menaces, réduisant ainsi la charge pesant sur les équipes IT et sécurité.

L’expérience utilisateur s’est également nettement améliorée, notamment pour les collaborateurs qui travaillent à domicile. Andrew Baker n’avait pas pleinement mesuré la piètre qualité de la connectivité à distance avec un VPN avant que la banque ne passe à Zscaler Z-Tunnel 2.0. La différence a été spectaculaire : l’architecture de tunneling Z-Tunnel 2.0 s’appuie sur le protocole Datagram Transport Layer Security (DTLS), largement utilisé en Afrique du Sud pour protéger la confidentialité des données et empêcher toute altération.

« Nous ne nous attendions pas vraiment à constater une amélioration de la connectivité à distance. L’utilisation du chemin le plus direct vers les applications privées, sans passer par le backhauling du trafic via un VPN, a nettement amélioré la satisfaction des utilisateurs. La prise en charge du protocole DTLS est particulièrement utile pour nous en Afrique. Nous cherchons désormais à éliminer les risques liés au maintien d’un réseau de confiance, car nous laissons ZPA activé même lorsque nous sommes au bureau », explique Andrew Baker.

Pour tirer le meilleur parti de la plateforme Zscaler, Andrew Baker a également déployé Zscaler Digital Experience (ZDX). « Avec ZDX, la visibilité sur l’expérience utilisateur est remarquable et s’est révélée très précieuse pendant la migration, car nous avons pu résoudre nous-mêmes de nombreux problèmes. »

Dès qu’Andrew Baker et son équipe ont commencé à utiliser ZDX, ils ont pu résoudre un problème d’expérience utilisateur persistant. Chaque jour, les calendriers Microsoft des utilisateurs ne se synchronisaient pas correctement ou se figeaient, obligeant les utilisateurs à les resynchroniser. La situation était particulièrement frustrante pour ceux qui gèrent jusqu’à dix calendriers, comme les assistants personnels ou les responsables administratifs.

Dans un premier temps, Andrew Baker et son équipe ont ouvert des tickets auprès de Microsoft, sans parvenir à identifier la cause profonde du problème. Lors de la migration de l’application vers AWS, Andrew Baker se souvient également avoir observé une évolution du score ZDX au cours d’une même journée. À 7 heures du matin, il atteignait 90/100 — un bon score — mais à mesure que les collaborateurs arrivaient au bureau, le score de l’application Microsoft Calendar chutait. Une fois les collaborateurs rentrés chez eux, le score revenait dans la zone « good ».

Grâce à ZDX, Capitec a identifié un problème sur son réseau local (LAN). En approfondissant l’analyse, l’équipe réseau a découvert qu’une mauvaise valeur avait été saisie lors de la configuration de la connectivité Internet du réseau. Cette erreur provoquait des pertes de trafic sur le réseau haute capacité de Capitec, qui entraînaient des ralentissements. Le problème a été corrigé rapidement en saisissant la valeur correcte.

« La visibilité apportée par ZDX nous permet de passer d’un mode réactif à une approche beaucoup plus proactive et nous fournit des indications précieuses pour améliorer l’expérience utilisateur à mesure que nous adoptons AWS. ZDX a été déterminant dès le moment où nous avons commencé à l’utiliser », explique Andrew Baker.

Avec Zscaler, la migration des data centers sur site vers AWS a marqué une étape majeure. Capitec a réécrit son application bancaire — utilisée régulièrement par 11 millions de clients — puis l’a migrée de son infrastructure sur site vers AWS. La migration n’a duré que trois secondes, sans aucune interruption de service, et grâce à Zscaler Cloud Connector, aucun incident de sécurité n’a été constaté.

Avant la migration, Capitec a souscrit à Zscaler via AWS Marketplace afin de sécuriser l’ensemble de ses applications cloud. Avec Zscaler et AWS, aucune application hébergée sur AWS n’est exposée publiquement. Capitec contrôle les régions auxquelles les utilisateurs peuvent accéder et sécurise les communications entre workloads.

Capitec a également identifié un autre avantage de l’intégration Zscaler-AWS : la simplicité de souscription et les avantages associés. Souscrire à Zscaler directement via AWS Marketplace simplifie le processus d’achat, centralise la facturation et permet à Capitec de bénéficier de remises.

« Le fait que les équipes produit travaillent dans un cloud privé virtuel (VPC) où elles ne peuvent pratiquement pas se tromper, est un véritable atout. AWS gère l’infrastructure et Zscaler la sécurité, ce qui nous permet de mettre facilement des outils et des services à disposition des équipes produit », explique Andrew Baker. « Maintenant que nous n’avons plus à nous préoccuper des risques liés aux sous-réseaux publics ou privés, ni des accès SSH possibles, notre productivité et la vitesse d’exécution de nos workloads ont considérablement augmenté. »

« Un autre levier d’innovation a été l’utilisation d’indicateurs de performance avant et après la migration. Cela a permis à l’équipe d’identifier plus rapidement, avec beaucoup moins d’essais et d’erreurs, les actions à mener pour améliorer l’expérience utilisateur des applications migrées », ajoute Andrew Baker.

Andrew Baker estime également que Zscaler facilitera les futures opérations de fusion-acquisition. La plus récente acquisition de Capitec, réalisée avant le déploiement de Zscaler, consistait en un projet de migration de domaine qui a demandé beaucoup de temps et d’efforts à l’équipe de sécurité.

« Zscaler rendra les fusions-acquisitions bien plus simples qu’une migration de domaine. Lorsqu’il s’agit d’intégrer deux entités, on ne fait pas mieux que Zscaler en termes de rapidité d’exécution. C’est clairement la voie la plus logique », confie Andrew Baker.
Pour la suite, Andrew Baker s’intéresse à Zscaler Risk360™, un cadre complet de quantification et de visualisation des risques qui exploite des données issues de l’environnement Zscaler ainsi que de sources externes afin d’améliorer la compréhension des risques et la prise de décision.

Comme le souligne Andrew Baker, les zones rurales d’Afrique du Sud souffrent souvent d’infrastructures vieillissantes et d’une connectivité Internet lente. À cela s’ajoutent des délestages électriques quotidiens et planifiés, destinés à soulager le réseau électrique. Zscaler continue toutefois d’investir en Afrique du Sud pour améliorer la qualité de service, allant jusqu’à déployer un point de présence local dédié à Capitec au Cap.

« Capitec a fait un bond en avant considérable en tant qu’entreprise », ajoute Andrew Baker. « L’impact sur l’entreprise est profond. Du point de vue de la cybersécurité, nous adoptons une approche volontairement prudente. Notre priorité est de protéger nos clients. Nous nous demandons donc en permanence : « Quelle est la meilleure chose que nous puissions faire pour les servir ? » Et, utiliser Zscaler est la meilleure chose que nous puissions faire. »