VW : une seule carte pour le contrôle des accès physiques et logiques

Avec plus de 700 000 utilisateurs répartis dans le monde entier, le groupe Volkswagen ne peut pas se permettre de multiplier les solutions et les couches de gestion des identités et des accès, physiques comme logiques - à rien moins que 2 200 applications -, ne serait-ce que pour des questions de coûts. Il y a donc longtemps que le constructeur automobile travaille à la gestion unifiée des identités et des accès. Mario Baermann, chef de projet sécurité chez Volkswagen, explique ainsi que le groupe s’est doté d’une infrastructure PKI dès 2002. Mais celle-ci n’était qu’une base pour aller plus loin et permettre l’authentification à deux facteurs pour l’accès logique aux applications clés. Et suivant différents moyens : carte à puce à insérer dans un lecteur ad-hoc sur les postes de travail, en complétant d’un code PIN ou d’un code personnel à usage unique, mais aussi RFID pour les accès physiques aux locaux et le règlement des repas à la cantine, ou encore bande magnétique pour l’accès à d’autres services comme le remplissage de réservoirs de voitures. Le tout avec, pour les services logiques, une fonction de SSO afin d’éviter les authentifications multiples et fastidieuses. L’utilisation de codes barres est également envisagée dans des cas spécifiques, tels que le déploiement initial rapide de l’offre de service sur un site donné. Mais l’équipe de Mario Baermann pense déjà au futur : « les ordinateurs de demain n’auront pas forcément leur carte à puce. Et nous devrons supporter de nouveaux terminaux. Nous réfléchissons donc aux moyens de communication sans contact. »

Une échelle impressionnante

Au total, le groupe compte déjà 230 applications de coeur de métier supportant la carte d’accès unique, « avec une tendance à la croissance », et 300 000 badges déployés, avec un objectif de 700 000. Mais là, rien n’est simple, compte tenu de l’échelle du projet : « le déploiement n’est pas toujours très simple. Il faut les capacités IT requises, la formation, le support, etc. […] Et nous devons travailler conjointement avec les chargés de la sécurité, de la sureté et de l’exploitation des sites. Et il n’y a pas de telles unités à l’échelle du groupe. » Autant de clients aux spécificités avec lesquelles il faut donc composer, en plus des différents fuseaux horaires ou des barrières linguistiques. D’où des équipes dédiées et des consoles de gestion des cartes dans chaque fuseau horaire où le groupe est présent, « pour accélérer le déploiement et l’adoption ». Heureusement, les retours sont plutôt positifs, faisant notamment état d’une véritable simplification. Mais la personnalisation reste un point difficile, de même que la gestion du cycle de vie des cartes : « les processus associés sont complexes et susceptibles de générer des erreurs ».

Simplifier et industrialiser

C’est donc à leur simplification et à leur industrialisation que travaille actuellement le groupe. Jan-Patrick Feige, chef de projet sécurité chez Volkswagen, souligne l’importance, dans ce cadre, de communiquer avec les utilisateurs finaux, pour produire un service qui réponde à leurs besoins : « pour eux, la technologie doit être invisible alors qu’elle compte beaucoup pour nous. Nous avons donc besoin de processus flexibles et supportant une grande échelle de déploiement. Ainsi que d’importantes capacités d’intégration avec d’autres applications et services. » En outre, le groupe a besoin « de processus robustes, c’est-à-dire stables dans l’instant et stables dans le futur, même si l’environnement utilisateur change ». Et la gestion des cartes d’accès communes s’appuie sur quatre piliers : la gestion des identités et des rôles, associée à celles des droits et restrictions, la gestion des accès, la gestion du cycle de vie des identités et des rôles, et enfin l’authentification. « Nous réévaluons ces quatre services de base dans le cadre d’un processus d’amélioration continue », explique Jan-Patrick Feige. Mais également, dans ce contexte, les workflows de production des cartes à puce au sein des différentes entités du groupe : « chaque entreprise peut avoir son propre workflow, souvent avec les mêmes étapes, mais réalisées dans un ordre différent. Nous travaillons à atteindre un seul workflow simplifié », notamment pour réduire les coûts et simplifier le travail des utilisateurs.

D’où l’utilisation de Nexus Credential Manager, qui « propose un moteur de workflow solide et moderne. Il dispose de toute la flexibilité dont nous avons besoin pour construire nos processus en nous concentrant sur le client et l’utilisabilité ». En outre, grâce à son architecture multi-tenant, Nexus Credential Manager supporte des subtilités « à l’échelle du groupe, comme d’une seule équipe ». Et si cela peut « paraître simple dit comme cela, c’est très difficile », souligne Jan-Patrick Feige, précisant que le projet a du être divisé en plusieurs sous-projets. Mais à la clé, le groupe pourra même implémenter un portail de self-service de ses cartes pour ses utilisateurs finaux et disposer d’outils robustes de suivi et de reporting des accès.

« Mais ce n’est pas la fin du voyage. Nous avons utilisé un temps la combinaison nom d’utilisateur/mot de passe. Nous savons que ce n’est plus sûr aujourd’hui. Le couple PKI/OTP l'est davantage aujourd’hui. Mais les attaquants ne se reposent pas sur leurs lauriers. Nous devons donc penser à la suite, à la biométrie par exemple. Et Credential Manager est prêt pour cela. »