Sanofi consolide sa gestion des identités avec Sailpoint

Sanofi emploie plus de 100 000 personnes, dans une centaine de pays, le fruit d’un développement conduit notamment avec force opérations de croissance externe. Cet historique a longtemps conduit à la gestion décentralisée de bon nombre d’activités, dont la gestion des identités. Mais une telle approche présente des limites et, depuis le début de la décennie, une ambitieuse stratégie de consolidation de l’IT a été lancée. C’est dans ce cadre qu’a été engagée la rationalisation de la gestion des identités, même si, en fait, la principale motivation à cela était la sécurité des systèmes d’information.

Car, comme le relève Christophe Vernant, responsable global des activités d’IAM de Sanofi, « il y a quinze ou vingt ans, la sécurité IT reposait sur le fait qu’il fallait, pour accéder au SI, un câble réseau, un PC configuré et maîtrisé, ainsi que des identifiants sur les systèmes ». Mais là, les temps ont bien changé : « le télétravail s’est développé et le câble réseau n’est plus une obligation, et puis la mobilité s’est imposée, avec « la volonté stratégique de permettre de se connecter de n’importe où et avec n’importe quel type d’appareil, physique ou virtualisé ». Et à ce stade, « la sécurité ne repose plus que sur la gestion des identités ».

Cette prise de conscience a conduit à la mise en place de Sailpoint, retenu dès 2015 pour gérer les identités, standardiser et sécuriser les processus de « on-boarding » et de « off-boarding » ainsi que pour « gérer les processus de ré-initialisation des mots de passe », explique Christophe Vernant. Depuis, les équipes de Sanofi travaillent à consolider les différents environnements de gestion des identités présents dans le groupe. Avec un bémol : la partie SAP continue d’être traitée avec des outils dédiés.

La gestion des comptes à privilèges est passée sur Sailpoint au printemps dernier. L’authentification unique (SSO) est active sur l’ensemble du portefeuille applicatif, en s’appuyant sur les outils de Ping Identity, combinés à ceux d’InWebo pour l’authentification à facteurs multiples. Au total, ce sont rien moins que 165 000 identités qui sont gérées, avec en particulier les processus joiner/mover/leaver confiés à Sailpoint.

La gouvernance des identités est toujours réalisée sur une plateforme patrimoniale Oracle dont la migration est prévue pour 2020. Si là, les choses ne vont pas plus vite, « c’est parce qu’il y a beaucoup de développement personnalisé et que nous voulons limiter cela dans Sailpoint », explique Christophe Vernant. Dès lors, « certaines choses qui étaient réalisées sur la plateforme d’Oracle devront l’être ailleurs ».

Mais Christophe Vernant tire déjà d’importants enseignements de ce vaste projet : « la mise œuvre d’un projet comme celui-ci nécessite un gros travail sur l’identification des sources de données et la qualité des données utilisées, et une source de données globale ne garantit pas que la qualité des données soit au rendez-vous, ou que les processus à l’origine de la production de données soient respectés en toute circonstance. Même 1 % d’écart peut être très pénalisant ». Alors avec une certaine humilité, il reconnaît : « nous avons un peu fait preuve de naïveté là-dessus ».

« Il faut vérifier que les processus afférents fonctionnent comme attendu et le cas échéant savoir traiter les déviations ».

Car si le passage à un système de ressources humaines unique dans l’entreprise « est une opportunité » facilitant la mise en place d’un IAM, « il faut vérifier que les processus afférents fonctionnent comme attendu et le cas échéant savoir traiter les déviations ». Dans la pratique, justement, « nous avons eu le tort de ne pas avoir fait cette analyse et de ne pas avoir mis en place les délégations aux équipes opérationnelles pour traiter les problèmes liés aux déviations. Du coup, énormément de choses ont été remontées aux équipes de niveau 3, et cela a contribué à ralentir notre déploiement ».

Christophe Vernant partagera de manière plus étoffée son expérience avec les participants à l’édition 2019 des Assises de le Sécurité, à Monaco, lors d’un atelier le 10 octobre prochain, à 16h.