Comment Système U sécurise à la fois accès utilisateurs, clients, et API
Le groupe a misé sur les outils de Forgerock pour articuler une vision globale du contrôle des accès aux ressources de son système d’information. En tenant compte de la qualité de l’expérience des utilisateurs, mais sans compromettre la sécurité.
Le groupe U, au-delà de ce que peuvent en voir ses clients, ce sont 70 000 collaborateurs – mais pas autant d’utilisateurs du système d’information pour autant –, 2 000 serveurs exploités en interne, sans compter quelques milliers de plus dans les magasins, et 24 000 postes de travail. Le tout placé sous la responsabilité de U GIE Iris. Et bien sûr, pas question de laisser tout cela sans un contrôle des accès rigoureux, soulignait Vincent Le Guern, responsable du pôle architecture applicative chez Système U, lors de l’édition 2019 des Assises de la Sécurité. Une question de sécurité, mais aussi de confiance des clients utilisateurs des services en ligne et applications – une dizaine – proposés par Système U. Ils sont trois millions.
SSO pour les utilisateurs d’un côté
Mais voilà, la solution existante n’était pas satisfaisante, « pas fiable, trop propriétaire et fermée ». Et souvent incapable de répondre aux attentes de SSO des métiers, notamment pour les applications SaaS. Ces demandes trouvent leur origine dans un constat bien connu : multiplication des applications rime souvent avec multiplication des mots de passe et, en définitive, perte de productivité. Sans compter les appels répétés au support pour réinitialiser des mots de passe oubliés.
Pour autant, il faut aller vite : pas question de faire prendre deux semaines de retard à un projet pour intégrer le contrôle d’accès et le SSO. La solution retenue doit donc être flexible et simple à intégrer. En outre, côté client, elle doit pouvoir supporter des chemins d’enrôlement fluides, afin d’assurer des taux de conversion élevés, en s’appuyant sur l’authentification basée sur une identité de réseau social : les internautes n’aiment pas avoir de nouveaux mots de passe à retenir, et souhaitent pouvoir s’authentifier rapidement. Cela fait partie de l’expérience client, même si cela implique de collecter des informations supplémentaires au fil de l’eau, afin de répondre aux besoins du marketing.
Dans la plupart des cas, c’est surtout SAML qui est mis à contribution. Mais pour les applications Web les plus modernes, où toute la logique – en JavaScript – est exécutée dans le navigateur, c’est plutôt OpenID Connect qui est mis à profit. Et sur les applications Web internes patrimoniales, le SSO passe principalement par des cookies.
Contrôle des API de l’autre
Mais ce n’est pas tout. Système U a bien engagé sa transformation numérique. Et cela se traduit notamment par la multiplication des API : d’une dizaine à plusieurs centaines en l’espace de deux ans. Avec en particulier un bénéfice : l’accélération de la mise en production des applications. Mais bien sûr, il faut sécuriser l’accès aux API.
L’architecture retenue est simple : l’utilisateur s’authentifie et l’application reçoit en retour un jeton contenant des informations d’authentification, voire d’habilitation. Elle présente ensuite ce jeton au gestionnaire d’API, point d’entrée obligatoire pour accéder à toutes les API qui sont derrière, dans une zone réseau sécurisée : impossible d’accéder aux API en direct, sans passer par l’API manager.
L’API Manager reçoit la requête, mais ne fait pas immédiatement confiance au jeton. Il demande à son émetteur si c’est bien lui qui l’a émis et s’il est toujours valide. En cas de validation, l’API Manager ouvre les flux et continue de propager le jeton. De là, les API peuvent s’appeler entre elles directement, en utilisant le jeton, sans repasser par l’API Manager. Ce choix permet de limiter la charge sur l’infrastructure compte tenu du nombre d’appels aux API. Lesquelles se contentent donc de vérifier la signature du jeton avec une clé publique.
Une culture open source
L’API manager déployé chez Système U est WSO2. Ce n’est pas un hasard, le groupe est très attaché à l’open source. C’est en partie ce qui explique le choix de la solution de contrôle des accès : Forgerock. Mais ce n’est pas tout : ce qui a séduit, c’est également la modularité de l’offre de l’éditeur. Ce dernier offre une pile logicielle complète, « mais nous n’avons eu à souscrire qu’au module dont nous avons besoin aujourd’hui. Demain, nous pourrons souscrire à plus, à mesure que nos besoins évoluent », explique Vincent Le Guern.
« Nous n’avons eu à souscrire qu’au module dont nous avons besoin aujourd’hui. »
Vincent Le GuernSystème U
Dans la pratique, Système U distingue, de manière étanche, Internet, intranet, et extranet. La solution doit donc être déployée trois fois. Sans compter, à chaque fois, un environnement de développement, un autre de qualification, et enfin un dernier, de production. Et bien sûr, pour la partie liée à Internet, il faut prévoir une infrastructure fortement redondante pour assurer la disponibilité. De quoi laisser là entrevoir la forte composante infrastructure du projet. C’est Wavestone qui a accompagné là Système U, pour l’intégration. Mais Vincent Le Guern insiste sur la qualité du support offert par Forgerock.
À ce stade, la partie intranet est finie. Le volet Internet est prêt et entrera en production dans le courant de l’année, à l’occasion du lancement d’une nouvelle version de l’une des applications grand public. La mise en place de la plateforme extranet est quant à elle programmée pour ce semestre.
Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)
