Comment Total refond sa gestion des identités à l’heure du cloud
Le groupe a misé sur Usercube, convaincu par son approche privée du SaaS, mais également par la flexibilité offerte à travers son modèle de données. Un choix effectué avec toutes les précautions pour sécuriser son projet, face aux incertitudes que peuvent représenter de jeunes entreprises.
Pour son informatique, le groupe Total a défini une stratégie précise marquée notamment par la transition vers le cloud – avec une grosse partie de son SIRH – et une volonté d’intégrer la sécurité en profondeur. Et dans ce cadre, la gestion des identités s’avère essentielle. Mais celle-ci peut être transférée en mode cloud. C’est d’autant plus naturel que la transition vers le cloud va induire le provisionnement de plus en plus fréquent et régulier de comptes et d’identités dans les applications produites là.
Dès lors, explique Emmanuel Ribert, architecte d’entreprise à la DSI groupe de Total, qui s’exprimait à l’occasion de l’édition 2019 des Assises de la Sécurité, c’est assez naturellement que le groupe s’est tourné vers les solutions de gestion des accès et des identités (IAM) et de leur gouvernance (IAG) en mode cloud. Et ceci dans le but d’engager une refonte complète d’un écosystème de gestion des identités, « construit au début des années 2000 et dont l’obsolescence, le coût et la qualité n’étaient pas satisfaisants ».
Un vaste chantier d’harmonisation
Le projet peut déjà là paraître ambitieux. Mais rapporté à l’échelle du groupe Total, il prend une tout autre dimension. Emmanuel Ribert le rappelle : il faut compter avec 100 000 collaborateurs et bon nombre de prestataires. Mais tous les collaborateurs n’ont pas d’identité dans les systèmes, car beaucoup n’ont pas de poste de travail. Reste qu’il n’est pas question de les oublier parce que l’identité ne sert pas qu’à gérer les accès logiques, mais également les accès physiques : les identifiants sont stockés sur les badges et ces badges permettent de délivrer des droits d’accès sur les sites.
D’où l’impératif de diffuser les identités sur toute la population. Et puis il convient de compter avec ceux qui ont besoin d’un accès uniquement ponctuel au SI, par exemple pour les entretiens annuels, ou des campagnes de formation en e-learning.
« [Des données en définitive très] difficiles à exploiter pour la centaine d’applications auxquelles on distribue les identités aujourd’hui. »
Emmanuel RibertArchitecte d’entreprise à la DSI, Total
Techniquement, l’historique est également complexe. Pour simplifier, Emmanuel Ribert compare l’annuaire de départ à « une grosse table, avec 110 000 identités et 140 attributs pour chacune »… mais un taux de remplissage très faible, « de l’ordre de 5 % ». Des données en définitive très « difficiles à exploiter pour la centaine d’applications auxquelles on distribue les identités aujourd’hui ». Et pour ne rien gâcher, il ne faut pas compter avec une source d’identités, mais cinq, entre SIRH et systèmes spécifiques – dont progiciels. Avec en prime, les SIRH ou tableurs Excel dans certaines filiales.
Face à cela, Emmanuel Ribert décrit un objectif : « accompagner une dynamique appelée One Total », et soulignant l’appartenance de chacun au même groupe. Dans cette perspective, « l’identité doit être unique et commune. De quoi mieux gérer les externes, mais aussi les acquisitions et les cessions. Il faut que l’on soit là plus agiles ». Et pour cela, s’il faut s’assurer de la qualité des données, il faut avant tout « structurer un modèle de données ».
« Des droits qui ne sont pas retirés, c’est un risque de sécurité. Mais c’est aussi un coût, en particulier sur les licences. »
Emmanuel RibertTotal
Au-delà, cette approche implique également d’harmoniser les processus, « d’aligner tout le monde sur des bonnes pratiques », notamment pour la gestion du cycle de vie des identités : « des droits qui ne sont pas retirés, c’est un risque de sécurité. Mais c’est aussi un coût, en particulier sur les licences ». Et ce point fut d’ailleurs un levier précieux pour emporter l’adhésion : la promesse d’économies.
C’est Usercube qui a été en définitive retenu. Pour la petite histoire, Emmanuel Ribert raconte que Total a même essayé de développer en interne un IAM, sans succès, « mais nous avons retrouvé dans Usercube des concepts que nous avions imaginés ». Et de souligner au passage certains avantages spécifiques à Usercube : pour le modèle de données, « on parle objets et relations entre objets », ce qui s’avère en définitive particulièrement flexible, notamment pour gérer le cycle de vie des identités.
Une solution en cloud privé
Et puis la solution est de type SaaS, « mais privé, installé sur une instance Azure administrée pleinement par l’éditeur ». Et cela, en prime, avec « un vrai modèle de facturation à l’usage, alors que certains facturent licence puis maintenance… comme pour du on-premise ». Mieux encore, le groupe a pu négocier un tarif particulièrement avantageux pour ses petites filiales sur lesquelles « il n’y a pas provisionnement de comptes, mais uniquement de la gestion d’identités – afin qu’ils puissent nous donner leurs identités sans que cela leur coûte cher ».
Emmanuel Ribert relève au passage des capacités de personnalisation « poussées sans développement, par paramétrage », et de préciser que le groupe Total n’a finalement eu recours qu’à très peu de développements spécifiques. Et puis, « ils sont leur propre intégrateur ». Un point non négligeable, car « cela évite les conflits entre parties qui se renvoient la balle ».
Mais l’entreprise française est également flexible : « ils n’étaient pas certifiés ISO 27001. Nous leur avons demandé de le devenir, dans le contrat. Ils l’ont fait ». En fait, par contrat, le groupe Total a cherché « à tout faire pour se protéger d’écueils éventuels liés à une petite structure », entre niveaux de service et pénalités, notamment. Sans compter le service achats « qui s’est occupé de vérifier leur solidité financière ». Et à cela s’est ajouté « un engagement fort sur la réversabilité », que ce soit pour les données ou les paramétrages, jusqu’à une éventuelle réinternalisation hors cloud.
Emmanuel Ribert apprécie aussi l’architecture de Usercube : « c’est très simple, avec un composant applicatif et une base de données. Tout ce que l’on installe chez nous, c’est un agent qui sert de passerelle entre le monde Total et le monde Usercube ». Cet agent stocke « les comptes de service des applicatifs que l’on provisionne ». Ceux-ci sont donc inconnus de la plateforme Usercube. Et il n’y a pas de flux entrants : « l’agent initie la connexion et récupère les actions à traiter ». Du côté de la plateforme cloud, la base de données est chiffrée : « les administrateurs de Usercube n’ont pas accès aux données ».
« Nous avons mis en place une solution d’authentification fédérée, de type SAML v2, qui permet de gérer les accès conditionnels ».
Emmanuel RibertTotal
Les utilisateurs du système d’information se connectent quant à eux chez Usercube, par Internet : « nous avons mis en place une solution d’authentification fédérée, de type SAML v2, qui permet de gérer les accès conditionnels ». Autrement dit, « c’est transparent sur le réseau Total, et de l’extérieur, il faut passer par un VPN avec certificat et code PIN ».
Clé de voûte du projet : le « gap board »
Le projet a en particulier reçu le soutien de la DSI, « qui porte le plan stratégique, avec toutes les DSI du groupe qui participent au financement ». Un coordinateur de maîtrise d’ouvrage rendait compte aux ressources humaines, aux moyens généraux, à la sûreté, mais aussi aux équipes de cybersécurité et aux représentants de branches. Mais l’une des clés de voûte du projet a été le « gap board », un comité qui arbitre les écarts entre le besoin exprimé par Total et le standard Usercube. De quoi limiter les développements spécifiques.
Emmanuel Ribert décrit un projet engagé fin 2017 et proche de son terme. Mais bien sûr, ce n’est pas trivial : pour lui, ce type de projet revient à « remplacer un organe vital sur un patient vivant ; on ne peut pas se permettre de couper le service ». La plateforme Usercube a donc été construite à côté de l’existant, avant une migration graduelle.
« [Ce type de projet revient à] remplacer un organe vital sur un patient vivant ; on ne peut pas se permettre de couper le service ».
Emmanuel Riberttotal
L’une des premières étapes du projet a ainsi consisté en la construction du modèle de données, avec reprise et normalisation des données existantes, et mise en place de la passerelle entre l’ancien et le nouveau monde des identités de Total. Ce qui impliquait des échanges de données quotidiens. De quoi migrer progressivement toutes les sources d’identités, puis dans un second temps, les consommateurs.
Le modèle de données lui-même a profité d’une cure de jouvence, tombant à 40 attributs, « mais presque tous sont obligatoires ». Et bien sûr, chaque reprise et normalisation de données d’identités a été l’occasion de nettoyages. L’été 2019 a été l’occasion d’une étape importante, avec le raccordement du SIRH et, en même temps, le premier provisionnement des badges. Ce qui n’a pas forcément été sans difficulté : « avec le recul, nous aurions pu choisir plus simple… nous avons réussi à bloquer le badge du nouveau DSI lors de son changement de poste… Mais cela a été vite réglé ».
Entre connecteurs Json et exports, notamment, les applications consommatrices sont progressivement rebranchées sur Usercube – voire même par échange d’e-mail avec un administrateur, dans une logique de ressource virtuelle. Et cela vaut pour l’Active Directory : « là, on prend notre temps, parce que nous n’avons pas le droit à l’erreur ». La prochaine étape consistera à gérer le provisionnement « en profitant du pragmatisme de Usercube, en combinant contrôle d’accès par utilisateur, rôle, et attribut ».
Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)
