IAM : Comment Valeo a bâti une « Identity Factory » pour ses 110 000 employés
L’équipementier automobile a fait le choix de la plateforme Memority afin de gérer le cycle de vie des identités de ses 110 000 collaborateurs. Un projet qui s’est élargi aux cols bleus et aux partenaires de l’industriel.
Présent dans 29 pays, Valeo compte 110 000 employés dans 183 usines, 65 centres de R&D et 18 centres logistiques. Le rythme des embauches, des départs et des signatures de nouveaux fournisseurs est incessant, de l’ordre de 25 000 mouvements par jour. La gestion des identités chez Valeo représente de l’ordre de 160 000 identités, réparties en 5 grands types : les employés, les partenaires, les workers (ouvriers), ainsi que les comptes externes et comptes techniques.
L’infrastructure informatique réalise 100 000 authentifications par jour et gère 350 000 accès applicatifs au quotidien. Pour faire face à une telle activité, la DSI a initié une réflexion en 2014 pour se doter d’une solution permettant d’automatiser la gestion du cycle de vie des identités. « Nous nous sommes aperçus que nous avions de plus en plus d’applications » explique Laurent Cossard, Group IS Cybersecurity CoE Director chez Valeo. En outre, « l’ouverture au cloud se développait de manière exponentielle, et chaque application avait son propre référentiel d’authentification avec ses propres bases de comptes et d’identifiants ».
Devant cette diversification du système d’information, mais aussi devant l’essor du nomadisme et du télétravail (Valeo compte 50 000 collaborateurs qui travaillent à distance), ainsi que l’évolution réglementaire qui oblige les DSI à savoir qui accède à quoi, l’IAM est apparu comme la solution pour répondre à ces enjeux.
Un cahier des charges est alors rédigé pour un système d’authentification complètement centralisé afin de gérer l’ensemble des applications et des utilisateurs : « nous voulions absolument provisionner de manière automatique et en temps réel les identités dans toutes nos applications et renforcer notre système de carte à puce SSO, avec une authentification forte à l’extérieur et transparente à l’intérieur ». En effet, le groupe avait déjà déployé 80 000 cartes à puces sur ses sites et voulait capitaliser sur ce parc afin d’intégrer le jeton Kerberos directement dans la fédération d’identité.
De 2015 à 2016, après une analyse de risque, l’appel à propositions est envoyé aux éditeurs pour évaluer le marché interne, ainsi que la faisabilité d’une approche full SaaS, sur des dizaines de serveurs ou hybride : « nous avons lancé notre RFP sur la base de notre cahier des charges. Nous avons sélectionné Memority, car nous avons pris le parti de partir sur une solution SaaS ». Ce choix du cloud n’est pas nouveau chez Valeo puisque l’équipementier est sur Google Workspace depuis une quinzaine d’années.
3 jalons clés dans le projet
Le projet est lancé en 2017 avec 3 jalons importants. D’une part, l’équipe projet devait capitaliser sur l’existant, notamment les cartes à puce déjà en circulation et provisionner l’Active Directory du groupe, avec une forêt Valeo contenant plus de 100 000 utilisateurs. Le deuxième point clé du projet était de mettre en place une synchronisation totale entre le SIRH et la gestion des identités pour avoir le référentiel d’identité le plus parfait possible. Troisième point, enfin : réaliser la transition de la connectivité login/password de Google vers quelque chose de complètement transparent pour les utilisateurs. « Ces trois jalons ont été réussis et c’est ce qui a permis de lancer le reste du projet et de s’attaquer à la fédération de l’ensemble des applications Valeo », explique Laurent Cossard.
À partir de 2018, l’équipe projet s’est attachée à raccorder l’ensemble des applications du groupe à la plateforme d’IAM avec plus ou moins de réussite : « faire de la fédération d’application en appliquant les standards et les protocoles, c’est très simple. Par contre, faire du provisioning dans des applications qui n’exposent pas nécessairement toutes leurs API complique les choses. La maturité des applications n’est pas uniforme, notamment du côté des applications métiers ».
Côté organisationnel, l’ensemble du cycle de vie des identités est géré par les ressources humaines du groupe. Pour le responsable, ce point qui doit rester inamovible : les RH sont responsables du cycle de vie des identités et non pas la DSI. Jean Roy, Group IS Infrastructure Director chez Valeo ajoute : « nous avons une très bonne adhésion des RH sur le système. La création d’un nouvel employé est automatiquement provisionnée dans tout le SI de manière très rapide, de même que le départ d’un utilisateur est répercuté très rapidement. Quand quelqu’un quitte l’entreprise, il perd automatiquement tous ses accès sur les 110 applications qui sont fédérées dans le système ».
Outre cette synchronisation entre le référentiel d’identité et le SI RH, un certain nombre de rôles et de tâches ont été modélisés pour permettre aux utilisateurs de demander des accès à des applications, déclencher des workflows via un portail. Dans une approche self-service, un maximum de tâches a été automatisé sur le portail afin de rendre les utilisateurs autonomes. En backoffice, via un provisioning automatique, l’utilisateur a un accès direct à l’ensemble des applications SaaS ou on-premise auxquelles il a droit.
« En termes de gestion de l’identité à l’échelle du groupe, cela représente de l’ordre de 25 000 mouvements par jour. Il nous fallait donc une solution industrielle capable d’absorber un tel flux. »
Laurent CossardGroup IS Cybersecurity CoE Director, Valeo.
Pour son volet authentification, l’ambition du projet était de rendre la plus transparente possible l’authentification des utilisateurs à l’ensemble de leurs applications. L’utilisateur qui est dans les locaux de l’entreprise va se connecter sans login ni mot de passe à n’importe laquelle des 110 applications fédérées par Memority. S’il se trouve hors des murs de l’entreprise, sa connexion sera sécurisée par MFA. Le système s’appuie alors sur l’enrôlement préalable de son navigateur Web et une authentification par l’application mobile Memority lorsqu’il se connecte.
Une infrastructure élargie aux partenaires et aux ouvriers
Francis Grégoire, co-fondateur de Memority précise l’architecture déployée pour son client : « nous sommes une plateforme SaaS multitenant et Valeo a fait le choix pour gérer ses employés et ses partenaires de s’appuyer sur 2 tenants différents. Le tenant AppsforYou qui s’adresse à tous les employés et un tenant PartnerID où sont les identités de tous les partenaires. C’est un choix de cloisonnement très fort, car on ne peut pas croiser les données ».
Les fournisseurs doivent avoir des accès au système d’information de Valeo, notamment en tant que contributeurs, afin de déposer leurs fichiers de réponse à appel d’offres. Toute la difficulté pour Valeo est de vérifier que l’utilisateur est bien toujours un collaborateur de son fournisseur : « nous avons fait le choix de fédérer ces identités et leur proposer une identité digitale couplée à un système de MFA », explique Laurent Cossard. Ce système d’authentification à facteurs multiples est « basé sur le contrôle de l’email professionnel et permet de s’assurer que son identité est toujours valide. S’il ne peut saisir le pin code, il n’y aura pas de connexion. »
Outre cet élargissement aux partenaires de l’entreprise, Valeo vient d’intégrer les ouvriers dans sa gestion des identités, des utilisateurs qui ne disposent traditionnellement pas d’un poste informatique en propre : « nous avons décidé d’injecter 45 000 workers dans le système d’authentification pour leur donner une identité digitale et accéder à une partie du système d’information, sans devoir payer pour l’ensemble des licences ». Ainsi, les « cols bleus » ont accès à une dizaine d’applications, des applications de communication interne, de RH pour consulter leur feuille de paie, etc.
Une haute disponibilité mise à l’épreuve
Tous les accès au système d’information de Valeo transitant par la plateforme IAM de Memority, toute indisponibilité de celle-ci aurait des conséquences désastreuses pour son activité industrielle. Or la haute disponibilité de cette plateforme a été mise à l’épreuve en 2021 lors de l’incendie du datacenter d’OVH à Strasbourg. 50 % des serveurs d’authentification gérés par Memority ont été détruits lors du sinistre…
Francis Grégoire, raconte cet événement exceptionnel : « nous étions historiquement chez OVH sur 2 datacenters en actif/actif, l’un à Roubaix et l’autre à Strasbourg. Nous avons perdu la moitié de notre infrastructure dans l’incendie de Strasbourg. Nous ne tournions alors plus que sur un seul data center. Nous avons demandé à OVH un second datacenter afin de répliquer notre infrastructure, mais ils n’ont pu nous proposer qu’une seconde salle à Roubaix… Ce n’était pas acceptable en termes de résilience. Nous avons tout réinstallé en une semaine chez AWS pour avoir une infrastructure actif/passif, puis nous sommes passés complètement chez AWS en actif/actif et nous allons ouvrir sur S3ns, la JV entre Thalès et Google ».
L’incendie n’a eu aucun impact pour les clients de Memority et a permis à Valeo de s’assurer de la fiabilité de son partenaire. L’infrastructure est aujourd’hui répartie entre les 3 data centers d’AWS à Dublin et sur la région de Paris avec 3 autres datacenters actifs. Une redondance qui doit permettre à Memority d’assurer la disponibilité de son service, quelles que soient les circonstances.
Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)
