Transformation digitale : Lush dépoussière son système d’authentification

Une approche familiale et éthique jusque dans l’IT

Petit retour en arrière. Dans les années 1990. Fondé en 1995, Lush est alors une des toutes premières marques à adopter une approche « vertueuse » des cosmétiques. Elle produit et elle emballe elle-même ses produits, qui se veulent éthiques et écologiques (sans test sur les animaux, etc.). La marque aménage ses magasins comme ceux des primeurs, avec des étals attrayants et colorés de savons, de billes de bain, de masques pour visages, etc. avec un parfum agréable souvent perceptible depuis la rue.

Ce que l’on sait moins, c’est qu’en coulisses, cette approche éthique est omniprésente dans l’entreprise.

« Lush est une entreprise familiale avec la mentalité d’une grande famille : tout le monde met la main à la pâte et touche un peu à tout pour que ce qu’il y a à faire soit fait », raconte Simon Ince, Creative Technology and Innovation Lead chez Lush. « Avec le développement de l’entreprise […], nous avons voulu avoir une visibilité totale sur la manière dont les choses étaient faites, parce que, à l’évidence, si vous voulez être “éthique”, il faut savoir d’où viennent les choses et comment elles sont faites. »

Depuis 27 ans, cette philosophie familiale a aussi conduit Lush à développer une culture d’autonomie : tout est fait en interne (dans la mesure du possible), du développement et des tests produits jusqu’à la recherche de nouveaux types de plastiques pour les emballages. Des activités que d’autres enseignes n’hésiteraient pas à confier à un spécialiste.

De manière quelque peu inhabituelle, cette approche vaut également pour l’informatique. Là encore, Lush garde la maîtrise de nombreux aspects de sa stratégie IT que d’autres externalisent.

Et lorsqu’elle travaille effectivement avec des partenaires IT, le spécialiste des cosmétiques et du savon privilégie les solutions open source et met un point d’honneur à contribuer à la communauté en retour. Elle recherche également des partenaires qui ont, eux aussi, des principes éthiques forts. Par exemple, l’entreprise qui gère son centre de données utilise 100 % d’énergie renouvelable.

L’approche de Lush en matière de technologie éthique englobe également la gestion des données clients (principalement issues de son activité en ligne).

« Lush est une entreprise familiale avec la mentalité d’une grande famille : tout le monde met la main à la pâte et touche un peu à tout pour que ce qu’il y a à faire soit fait. »

Pour Simon Ince, l’engagement de Lush pour le respect de ces données va au-delà de la simple conformité au RGPD. « Nous ne les utilisons pas pour une quelconque forme de marketing ciblé ni pour autre chose d’ailleurs. Et nous ne les partageons avec personne », assure-t-il.

C’est d’ailleurs ce souci des données clients qui a conduit Lush à revoir une pierre angulaire de son SI : l’authentification.

L’entreprise a en effet constaté qu’elle intégrait de plus en plus des plateformes et, confie Simon Ince, cette évolution rendait les choses délicates.

« Nous avions une architecture orientée services avec beaucoup de microservices », explique-t-il. « Or, tous ces services utilisent des normes d’authentification différentes – l’un peut être sur OpenID, un autre peut exiger un token JWT, un troisième sera sur OAuth. Le problème ne se limitait pas à essayer de maintenir une seule couche d’authentification, il fallait ensuite essayer de gérer chaque norme différente pour chaque service. C’était tout simplement devenu trop de travail. »

Les choses se sont précipitées à l’occasion du développement d’une nouvelle fonction de chat avec les clients. L’équipe de Simon Ince rencontre alors un problème. Intégrer le chat et le système d’authentification « maison » de Lush se révèle être un casse-tête.

Pressé par le temps, Simon Ince commence à se pencher sur les standards ouverts qui pourraient être des alternatives à sa solution maison.

« Pour faire avancer le projet le plus vite possible, j’ai cherché un moyen rapide de mettre en place l’authentification dans l’application », se souvient-il. « J’ai opté pour Auth0 parce qu’il est en Python, de sorte que le gros du travail consistait à récupérer la bibliothèque Python, à coller un exemple tiré de la documentation, à configurer quelques clés et une page de paramètres », explique-t-il. « Et en moins d’une heure, nous avions notre procédure de connexion. »

Faciliter la tâche des développeurs

« Notre objectif a toujours été de faire gagner du temps aux développeurs pour qu’ils se concentrent sur le cœur de métier de leur entreprise », renchérit Steven Rees-Pullman, SVP de Auth0.

Chez Lush, la facilité de mise en œuvre a en tout cas éveillé l’intérêt de l’équipe IT, notamment parce que la technologie lui permettrait de réduire considérablement le temps qu’elle passait à gérer son système d’authentification développé en interne.

Logiquement, Lush évalue alors la solution d’Auth0 pour d’autres domaines. En particulier sur deux grands projets structurants pour son expérience client : la refonte de son site web et la centralisation des systèmes de ses terminaux en points de vente (PoS) afin de créer une expérience d’achat plus fluide et plus sécurisée.

Avec Auth0, deux développeurs ont suffi pour ajouter un système d’authentification au site web, sans aucune incidence sur le calendrier ou la feuille de route du projet, se réjouit aujourd’hui Simon Ince.

« Nous utilisons une plateforme de commerce open source appelée Saleor. Elle prend en charge l’authentification OpenID. [Mais] ce qu’il y a de bien avec Auth0, c’est que l’on peut tout centraliser pour chaque utilisateur. Par exemple, avec son ID et son mot de passe, un utilisateur peut s’authentifier dans des systèmes qui utilisent OpenID, ou OAuth, ou d’autres choses. Auth0 gérera l’authentification pour ces protocoles et ces plateformes », explique-t-il.

« Donc même si on a plusieurs plateformes, on se connecte au site, qui derrière va communiquer avec les différents systèmes pour la gestion des stocks, ou pour les informations produits. Chaque système a sa propre méthode pour identifier le client. Chaque système a son propre protocole et ses propres clés. Mais Auth0 gère tout cela comme par magie ».

Développements futurs

Au-delà de l’expérience client en ligne, Lush envisage d’utiliser Auth0 pour ses employés qui doivent s’identifier aux caisses, dans ses magasins. L’objectif est qu’ils puissent le faire avec une clé NFC et le standard de la FIDO Alliance, qu’Auth0 prend également en charge.

« Nous étudions cette possibilité de connecter nos employés avec un badge qui les identifierait – avec la même couche d’authentification unique – de la même manière que s’ils rentraient un nom d’utilisateur et un mot de passe », confie Simon Ince.

« Si nous devions le faire nous-mêmes, ce serait titanesque. Mais avec Auth0, nous allons activer quelques bibliothèques, ajuster quelques paramètres, et cela devrait être bon. »