Gestion des identités : Galeries Lafayette opte pour l’IDaaS
Le secteur de la distribution a une gestion RH particulièrement complexe, avec des collaborateurs à temps partiel et une partie des vendeurs détachés par les marques elles-mêmes. Une complexité qui se traduit très directement dans la gestion des identités.
Si tout le monde connaît son flagship du boulevard Haussmann à Paris, le Groupe Galeries Lafayette compte une cinquantaine de magasins en France, ainsi qu’une forte présence sur Internet. La moitié du parc est détenue en propre et l’autre moitié appartient à des affiliés. Le groupe développe sa marque au Moyen-Orient, en Asie, en Chine et va ouvrir son premier point de vente en Inde.
Une des particularités des grands magasins est d’être ouverts sur des amplitudes horaires relativement larges, de 10h du matin à 20h30 et 7 jours sur 7, pour certains. De ce fait, énormément de salariés et de collaborateurs des marques présentes n’ont pas de contrat de travail complet. De plus, si les effectifs du groupe comptent officiellement 8 500 collaborateurs, le nombre de personnes employées dans les magasins est bien plus important.
« Je gère de l’ordre de 22 000 identités, car toute personne qui rentre dans un point de vente pour travailler a besoin d’un badge d’accès, que ce soit le collaborateur interne ou le collaborateur d’une des marques avec lesquelles nous travaillons », explique Laurent Théry, RSSI des Galeries Lafayette.
En effet, les marques de luxe veulent avoir leur propre personnel dans les points de vente du groupe, en raison de codes bien précis à suivre. Ce même badge va leur permettre d’accéder à leur propre réserve, car des pièces parfois très coûteuses peuvent y être stockées et ne doivent pas être accessibles à tous. « Les accès doivent être contrôlés, mais tous les employés sont là dans un même but : faire des ventes », ajoute le RSSI. S’il faut laisser entrer les employés des marques pour des raisons métiers, il faut également décommissionner leurs comptes lorsque les personnes s’en vont.
« Initialement, nos identités étaient gérées en on-premise, elles sont maintenant dans le cloud. Ce n’est pas un sujet à partir du moment où on met des contre-mesures en place ».
Laurent ThéryRSSI, Galeries Lafayette.
Outre ce volet sécurité des accès, le RSSI doit aussi tenir un engagement de délai quant à l’enrôlement des nouveaux collaborateurs externes qui viennent animer le stand de leur marque. Ceux-ci sont, par essence, amenés à changer de magasins très fréquemment. Or très rapidement ceux-ci doivent pouvoir entrer dans les locaux et se connecter aux applications. « Il faut que, 2h après leur entrée dans le magasin, ils puissent aussi badger sur une caisse pour commencer à encaisser des ventes », explique Laurent Théry.
Un premier système IAM on-premise avant de basculer dans le cloud
Les Galeries Lafayette ont commencé à mettre en œuvre l’IAM à partir de 2018, dans le cadre de la mise en conformité avec le RGPD. « La réglementation nous pousse à être meilleurs, mais surtout à nous poser des questions sur les données. Sont-elles vraiment nécessaires ? Comment sont-elles collectées et pour quels usages ? Est-il nécessaire de les conserver aussi longtemps et comment mieux les sécuriser ? La réglementation pose des contraintes, mais nous tire positivement vers le haut », affirme le RSSI.
Depuis, le distributeur a entrepris un vaste programme de transformation numérique qui a vu la part du cloud grignoter sur un système d’information jusque-là on-premise : « initialement, nos identités étaient gérées en on-premise ; elles sont maintenant dans le cloud. Ce n’est pas un sujet à partir du moment où on met des contre-mesures en place, que l’on s’assure que tout est sanctuarisé, que l’on a le bon niveau d’exigence sur le sujet. Il n’y a aucune raison que le fait que ce soit une solution cloud soit un facteur bloquant », souligne le RSSI.
Ce choix est le fruit d’une évolution dans la doctrine de l’entreprise. En effet, lorsque les Galeries Lafayette ont initié leur stratégie cloud en signant avec Google, il n’était pas possible pour l’enseigne de traiter des données personnelles sur GCP. « Google ne pouvait nous garantir que nos données seraient hébergées en Europe. Leurs systèmes de réplication répartissent les données dans leurs datacenters à l’échelle mondiale pour des raisons de résilience. La consigne était que nous pouvions utiliser GCP, mais qu’aucune donnée à caractère personnel ne devait partir sur Google ».
Depuis, ce dogme a évolué et Laurent Théry a pu opter pour la solution d’IDaaS du Français Memority, une solution 100 % cloud, pour gérer les identités des collaborateurs du groupe.
Une sécurité accrue et une expérience employé améliorée
Avec cette nouvelle infrastructure, le RSSI peut garantir qu’un nouvel utilisateur pourrait se connecter à n’importe quelle caisse d’un des magasins du groupe en moins de 2 heures. De même, sachant qu’il y a des dizaines, voire des centaines de caisses dans certains magasins, les directions métier ont l’assurance que lorsqu’un collaborateur quitte la société, tous ses accès sont coupés. Cette réactivité permet de contrer toute tentative de fraude de la part d’un employé interne ou externe sur le départ.
Pour les collaborateurs eux-mêmes, les gains de cette nouvelle infrastructure de gestion des identités sont évidents : « il est satisfaisant pour les collaborateurs de ne plus devoir saisir de multiples mots de passe en fonction de ses applications. Nous avons mis en place le SSO, mais aussi le MFA adaptatif. Le niveau de contrôle varie selon que le collaborateur se connecte à une ressource qui n’est pas sensible ou si le contexte de connexion est inconnu de la solution ou encore si ce contexte est considéré comme suspect ».
Le RSSI avoue qu’il a le sujet du « passwordless » en tête depuis quelques années, mais qu’il n’a pas encore franchi le pas.
Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)
