Pour répondre à de forts enjeux de sécurité et de conformité, le groupe Galeries Lafayette a automatisé la gestion des identités et des habilitations de l’ensemble des utilisateurs du SI de la Branche Grands Magasins, en s’appuyant sur les solutions de la plateforme IAM d’Ilex.
La solution mise en œuvre :
Ilex Identity Management
Logiciel « clé en main » du cycle de vie des utilisateurs du SI et de leurs droits au sein de l’établissement
Les enjeux
- Industrialiser et sécuriser la gestion des identités et des habilitations
- Disposer d’un référentiel central d’identités
- Centraliser et tracer la gestion des droits des utilisateurs sur le SI
- Maîtriser le cycle de vie des utilisateurs du SI
- Fluidifier et simplifier les demandes de ressources des collaborateurs
Un groupe leader du commerce physique et digital aux racines françaises et au rayonnement international
Spécialiste de la mode implanté au cœur des villes, le groupe Galeries Lafayette est un groupe marchand, familial, privé, héritier de 125 ans d’une histoire bâtie dans le commerce et la distribution.
Employeur privé de premier plan en France avec 14 000 collaborateurs, le groupe a pour vocation d’agir comme une référence d’un commerce omnicanal et responsable. Avec des ventes au détail de 4,5 milliards d’euros, le groupe bénéficie aujourd’hui d’une reconnaissance internationale reposant sur ses marques emblématiques : Galeries Lafayette, BHV MARAIS, La Redoute, Galeries Lafayette-Royal Quartz Paris, Louis Pion, Mauboussin et BazarChic.
En 2017 le groupe est en pleine transformation et la DSI élabore son schéma directeur. C’est ainsi qu’un constat apparait clairement : il est impératif de mettre en place une infrastructure de gestion des identités et habilitations pour faire face aux enjeux de sécurité et de conformité auxquels le groupe est soumis.
Objectif : une identité unique et centralisée
C’est dans ce contexte que le projet SKIZOO voit le jour en 2018. Il vise à automatiser la gestion des identités et des habilitations afin de gagner en productivité, limiter les risques opérationnels de sécurité et faciliter la traçabilité requise pour se conformer aux demandes du contrôle interne, des régulateurs et des commissaires aux comptes.
« Entre les collaborateurs, les partenaires et les prestataires : nous avons au sein du groupe un turn-over et des mouvements de personnel constants ! Pour autant, nous fonctionnions à l’ancienne à l’époque : la gestion des comptes utilisateurs se faisait via des opérations majoritairement manuelles et décentralisées. Nous n’avions pas de référentiel unique d’identités, nos processus de gestion des habilitations n’étaient pas clairement définis et la gestion du cycle de vie des utilisateurs comportait quelques approximations. Cette situation était le fruit d’un manque de cadre, chacun avait donc pris l’habitude de faire comme il l’entendait, mais ça ne pouvait perdurer dans le temps… Nous nous doutions que structurer les choses allait demander une réelle conduite du changement et que nous allions devoir sensibiliser à la notion d’identité, alors bien loin des préoccupations quotidiennes des collaborateurs. »
Un projet de gestion des identités et des habilitations ambitieux et structurant mené par étapes
À la suite d’un appel d’offres éditeur, le groupe Galeries Lafayette fait le choix de la solution de gestion des identités et des habilitations Ilex Identity Management d’Ilex, et de son partenaire intégrateur Synetis.
Le projet est ambitieux puisqu’il adresse l’ensemble des utilisateurs du SI (collaborateurs, prestataires ou partenaires). Côté périmètre technique, le groupe souhaite rationaliser l’intégralité des référentiels existants et couvrir à terme plus de 75% de son parc applicatif.
Afin d’avancer sereinement sur ce projet structurant, l’équipe a commencé par dresser un état des lieux de l’existant. C’était un prérequis indispensable pour pouvoir construire l’infrastructure de gestion des identités et des habilitations sur des bases solides.
« Avant de mettre en place la solution, nous avons dû cartographier et consolider les différents référentiels existants au sein du SI. C’est un travail qu’il ne faut absolument pas sous-estimer ! Nous avions de nombreux référentiels au sein de l’infrastructure mais aucun ne provisionnait leurs informations depuis un processus identique. Les données utilisateurs présentes dans ces différents référentiels étaient disparates et pouvaient contenir des erreurs. Avant de connecter les applications sur l’IAM, il a fallu tout rationaliser et corriger, supprimer les doublons, les comptes orphelins, réconcilier et harmoniser les données. »
Une fois l’existant rationalisé et le schéma cible défini, l’équipe projet travaille par itération : le premier lot du projet SKIZOO est dédié à la mise en place d’un premier socle technique et au raccordement des systèmes les plus structurants : SIRH, Active Directory, LDAP, Intranet. Le lot 2, quant à lui, a pour objectif de modéliser les droits et automatiser les processus de gestion des habilitations. Pour finir, le dernier lot permet de raccorder progressivement les applications au socle technique, via la mise en place de mécanismes de provisioning automatique et de réconciliations pour une trentaine d’applications du SI.
« Nous avons rapidement compris qu’il était impératif de placer la DRH au centre du dispositif. Cela nous a permis de disposer de données fiables et pérennes pour alimenter la solution de gestion des identités. Concrètement, la solution Ilex Identity Management est aujourd’hui alimentée par le SIRH et provisionne ensuite les comptes et les droits dans les différents annuaires techniques du SI de la branche Grands magasin. Nous avons modélisé les droits en nous basant sur les groupes AD ou LDAP existants. Pour les demandes de ressources, les workflows sont pragmatiques : une validation Manager / Correspondant Informatique est requise à minima pour un profil standard et nous rajoutons une validation administrateur fonctionnel pour les profils avec pouvoir.
Si je devais résumer le rôle d’Ilex Identity Management, je dirais qu’il est en quelques sortes l’orchestrateur de l’identité numérique au sein de notre groupe. »
Lors de la dernière étape, il a fallu composer avec un parc hétérogène : les applications n’étaient pas toutes connectées aux annuaires en place (LDAP et AD) et étaient parfois soumises à une gestion locale des comptes et des droits.
Une fois le process de raccordement défini et industrialisé, les équipes IT, et notamment les responsables applicatifs et les équipes supports, ont été sensibilisées à l’intérêt de la gestion des identités et des habilitations et du nouveau fonctionnement en place. L’équipe projet a notamment communiqué via des ateliers, des supports type guide d’utilisation de la solution, présentation du procédé pour raccorder une nouvelle application, etc.
« En toute transparence, sur l’aspect purement technique, le projet a été challengeant ! Ce que nous avons particulièrement apprécié chez Ilex et Synetis c’est leur disponibilité et leur agilité. Tous les intervenants impliqués dans notre projet étaient présents pour faire face aux problèmes rencontrés et ont su trouver des solutions pour y remédier rapidement et limiter les impacts sur notre SI.
En interne, nous avons également dû relever quelques défis et lever quelques freins liés à l’arrivée de nouveaux process, tant au niveau de l’équipe IT qu’au niveau de l’ensemble du personnel. C’est pour cela que nous avons fait en sorte de proposer plusieurs modes d’utilisation : des APIs comme des interfaces utilisateur intuitives et faciles d’utilisation. »
Un socle de gestion des identités robuste et évolutif
Aujourd’hui la solution Ilex Identity Management permet de gérer près de 32 000 identités et provisionne plus de 30 applications en totalité (gestion des accès, des droits, profils métier, etc.) mais aussi toutes celles dont l’accès se limite à l’existence d’une identité dans les annuaires techniques. Les applications orphelines sont progressivement raccordées et l’objectif est de couvrir à terme l’ensemble des applications du SI du groupe.
« La solution est en mode run depuis plus d’un an et ne cesse d’évoluer. Si je devais faire un bilan, je dirais que cela n’a pas été de tout repos, et qu’il reste encore des choses à faire ou à affiner, mais que nos objectifs de départ sont atteints puisque nous disposons aujourd’hui d’une infrastructure nous permettant de maîtriser et tracer nos identités et leurs droits. Nous avons mis en lumière notre vision de l’identité au sein du groupe et avons pu nous appuyer sur des experts passionnés du sujet. »
Synetis est un cabinet de conseil et d’expertise technologiques exclusivement dédié au domaine de la Cybersécurité. Nos experts possèdent de larges compétences technologiques et de nombreuses expertises qui nous permettent de proposer à nos clients une grande variété de solutions en : Gouvernance, Risques & Conformité, Gestion des identités et des accès, Sécurité opérationnelle et Audit.
Les bénéfices
- Sécurité renforcée
- Traçabilité et audit simplifiés
- Amélioration de l’expérience utilisateur
- Gain de productivité pour les équipes IT