Le groupe de négoce de matières premières vient de remplacer sa solution de protection des comptes à privilèges. Une modernisation rendue nécessaire par le niveau d’exigence des utilisateurs de plus en plus élevé et les coûts prohibitifs de sa solution existante.
Le groupe Louis Dreyfuss Company est présent dans le commerce du grain, du café, du coton, du riz et du sucre. Il transporte de l’ordre de 80 millions de denrées chaque année dans une centaine de pays.
Le groupe compte 18 000 collaborateurs et disposait depuis de nombreuses années d’un système de gestion des accès à privilèges (PAM) pour protéger les infrastructures critiques de l’entreprise en surveillant les comptes privilégiés.
Sébastien Carriere, global head of Technology & Operations chez Louis Dreyfus Company (LDC), souligne le périmètre de cette solution : « ce système bénéficie à environ plus de 600 utilisateurs au sein de l’écosystème de LDC, sur différents niveaux d’accès, y compris les collègues de l’informatique, les sous-traitants et les groupes administratifs spécifiques, en ciblant les rôles qui interagissent directement avec les actifs critiques ou qui nécessitent des privilèges élevés, tels que les équipes de soutien à l’infrastructure et aux applications ».
Pour le responsable, le PAM déjà en place n’était plus à même de répondre aux attentes du groupe : « la précédente version du système PAM était devenue inadaptée en raison de la complexité de la maintenance, de la mauvaise expérience des utilisateurs et de l’adaptabilité limitée à nos besoins organisationnels actuels ».
Une modernisation dans le cadre plus large de la transformation numérique
Le groupe est impliqué dans une démarche de transformation numérique avec le déploiement d’un nouvel ERP, d’un front office commun entre les activités gains, sucre et riz, et enfin d’un effort d’harmonisation et de digitalisation des processus. Dans ce cadre, un projet de remplacement du PAM est lancé afin de rationaliser le contrôle des accès, à l’échelle du groupe, afin notamment de réduire les accès privilégiés permanents et de se conformer aux normes de sécurité et de réglementation, tout en répondant aux exigences de l’assurance cyber.
« Le nouveau système a été introduit par le biais d'une phase pilote initiale avec des groupes d'utilisateurs clés afin d'assurer une adoption en douceur. »
Sébastien CarriereGlobal Head of Technology & Operations, Louis Dreyfus Company
Pour choisir une nouvelle plateforme PAM, la Louis Dreyfuss Company a privilégié 3 critères clés. D’une part, le système devait être facilement accessible aux utilisateurs et ne pas entraver leur productivité ; un point essentiel pour l’adoption d’un tel système et pour minimiser les frictions.
Le second critère porte sur le TCO (Coût total de possession) et la maintenance de la solution : « nous avons cherché une solution avec des exigences de maintenance minimales, permettant à notre équipe de sécurité allégée de se concentrer sur des tâches à haute valeur ajoutée », explique Sébastien Carriere.
Enfin, l’équipe projet s’est assuré de la compatibilité du logiciel avec ses solutions SaaS et du soutien de ses fournisseurs.
Delinea, un PAM de nouvelle génération
LDC a évalué d’autres solutions PAM de premier plan susceptibles de répondre à ses besoins et deux démonstrateurs (PoC) ont été organisés pour évaluer les solutions quant à leur la compatibilité avec le système d’information, leur facilité de déploiement et les fonctionnalités spécifiques requises pour l’infrastructure du groupe.
C’est le PAM Delinea qui est finalement sorti vainqueur de ces évaluations et a finalement été choisi. À l’issue des 4 mois de RFP et PoC, le projet d’implémentation est lancé. Celui-ci va durer 7 mois auxquels il faut ajouter une période de 4 mois de transition pour son déploiement dans l’organisation.
« Un PAM classique est généralement très restrictif et lourd. »
Sébastien CarriereGlobal Head of Technology & Operations, Louis Dreyfus Company
Pour le responsable, ce qui différencie ce PAM « moderne » d’un PAM « classique » porte sur plusieurs points : « un PAM classique est généralement très restrictif et lourd, compromet l’adoption, manque d’adaptabilité pour les environnements cloud et implique souvent une contribution manuelle plus importante, assortie d’une complexité dans l’expérience de l’utilisateur. Il nécessite également une infrastructure lourde et une équipe d’assistance pour le gérer ».
Pour Sébastien Carriere, un PAM moderne doit donc pouvoir s’intégrer de manière transparente à l’infrastructure cloud (SaaS, en particulier), fournir une intégration automatisée et une rotation des mots de passe, prendre en charge la gestion et la surveillance des accès à plusieurs niveaux, être conviviale et facile d’utilisation et, bien évidemment, délivrer le niveau de sécurité requis.
Un déploiement qui reçoit le satisfecit des utilisateurs
La mise en œuvre de ce nouveau système a été effectuée dans plusieurs datacenters en Europe, au Brésil et en Chine, avec des passerelles locales.
« Nous l’avons introduit par le biais d’une phase pilote initiale avec des groupes d’utilisateurs clés afin d’assurer une adoption en douceur », précise Sébastien Carriere. « Nous avons sélectionné des utilisateurs de différents domaines fonctionnels et sites et nous nous sommes engagés très tôt avec ceux qui rencontraient le plus de problèmes avec les solutions précédentes, afin de construire ensemble la solution cible ».
« Nous avons sélectionné des utilisateurs de différents domaines fonctionnels et sites […], afin de construire ensemble la solution cible. »
Sébastien CarriereGlobal Head of Technology & Operations, Louis Dreyfus Company
Le déploiement initial couvrait plus de 60 applications critiques et plusieurs groupes de soutien ont été chargés de valider la solution avant de la déployer à plus grande échelle. Et là, bonne surprise : « depuis le début de l’année 2024, lorsque nous avons commencé à utiliser la solution, nous avons constaté une plus grande satisfaction des utilisateurs par rapport à la solution précédemment en place, grâce à une gestion du changement conviviale ».
L’impact a été palpable sur le support, avec une diminution de 50 % du nombre de tickets ouverts : « grâce à des opérations plus fluides, nous avons pu améliorer le contrôle d’accès avec des permissions claires pour les gestionnaires d’applications. À ce jour, la compatibilité avec notre logiciel actuel est étendue et nous n’avons rencontré aucun obstacle ».
Au total, la solution bénéficie à plus de 600 utilisateurs, qui ont été recertifiés. Elle permet au groupe de gérer plus de 4 000 comptes dans différents groupes d’accès, avec des politiques strictes d’audit et de rotation.
Pour autant, le projet n’était pas encore achevé à l’automne 2024. Les étapes suivantes consistent à intégrer tous les comptes de service restants et à renforcer les règles de rotation des mots de passe.
« Nous allons étendre la portée de la solution pour inclure les applications à privilèges élevés restantes », indique ainsi Sébastien Carriere qui conclut : « enfin, nous comptons éliminer les connexions directes au serveur par les comptes d’utilisateurs pour les tâches administratives, afin de réduire encore les vecteurs d’attaque. »
Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)