Comment Lactalis revoit toute sa gestion des identités et des accès
Alors qu’à l’origine il s’agissait de migrer sur Office 365 pour tous les collaborateurs, l'entreprise Lactalis s’est retrouvée à consolider et moderniser toute sa gestion des identités et des accès.
Lactalis est née dans les années 30 dans l’ouest de la France en Mayenne. C’est à la fois une entreprise familiale détenue par la famille Besnier, et une multinationale qui a connu une forte expansion internationale par croissance externe, dont on connaît les marques principales que sont Président, Lactel, Galbani, Roquefort Société…
En quelques chiffres, Lactalis est le premier groupe mondial au niveau de la collecte du lait, avec 87 usines. Il a opéré 110 acquisitions sur les 16 dernières années, soit environ 7 entreprises en moyenne par an. Ses 90 000 collaborateurs participent au 20 milliards d’euros de chiffre d’affaires sur une couverture mondiale : il n’y a plus que 47 % du chiffre d’affaires qui est réalisé en Europe.
Mais cette très forte croissance externe affecte inévitablement le système d’information. La DSI est ainsi fortement décentralisée : « nous avons des divisions qui sont très souveraines et du coup des systèmes d’information disparates : il y a trois ans, plus de 50 Active Directory coexistaient ! », s’exclame Alleaume de Baglion, Directeur de projets IAM (gestion des identités et des accès) au sein du Groupe Lactalis. Sans compter les 400 applications métiers poussées à l’international pour permettre aux métiers de collaborer sur des systèmes identiques.
Début 2018, le constat était le suivant : suite à un audit, diverses difficultés ont été relevées, autour de l’expérience utilisateur, principalement, du fait que chaque application a son propre système d’authentification. Ce qui rend difficile pour les utilisateurs de retenir autant de comptes, de mots de passe et de fenêtres d’authentification. Pour l’entreprise, en termes de coût, une équipe dédiée GDA (Gestion des accès) supportait une charge de travail assez importante, qui se résumait toutefois à octroyer des droits, modifier des droits et supprimer des droits. Cette équipe se chargeait également de la gestion et l’intégration des annuaires, activité assez lourde compte tenu de la croissance externe de Lactalis.
Office 365 comme coup d’envoi
Le premier pas a été le déploiement d’Office 365. De là est né le besoin d’uniformiser toute la gestion des identités. Après avoir rencontré différents acteurs du marché et cabinets de conseil, Idento est choisi pour accompagner le groupe.
L’IAM est un vaste sujet. Pour ne pas s’y perdre, Lactalis a construit un référentiel commun et consolidé ses annuaires Active Directory, le socle technique où vient s’inscrire l’IAM. Cela a permis de lancer d’autres projets sur la fédération des identités pour les applications SaaS et les applications patrimoniales, mais aussi sur l’analyse des processus, ou encore l’automatisation.
Pour effectuer ces démarches, Lactalis s’est dotée d’un « lab » dont le rôle est double : « il joue le rôle de préproduction, de tests, avant de toucher la production. Quand on a une forêt Active Directory comme la nôtre aussi complexe et aussi mondiale, on ne peut pas se permettre de tester en production de nouveaux systèmes. Mais c’est aussi une plateforme de marketing qui nous permet de démontrer aux parties prenantes – qu’elles soient DSI ou métier – l’intérêt des mécanismes de l’IAM qui parfois peuvent être assez abstraits », indique Alleaume de Baglion.
Des collaborateurs aux profils variés
Lactalis a consolidé dans un premier temps toutes les identités de ses collaborateurs internes dans un annuaire central. Mais le groupe s’est rendu compte rapidement de la nécessité de créer aussi d’autres référentiels, par exemple pour les personnes qui ne consomment pas du tout le système d’information comme, par exemple, celles qui ont accès au SI de gestion. Or ces collaborateurs sont de plus en plus sur le devant de la scène avec les outils numériques et les métiers tels que le marketing, la communication interne. Les ressources humaines souhaitent aujourd’hui donner plus d’accès au système d’information, mais c’est une population spécifique traitée à part.
« Nous sommes convaincus que le démarrage du cycle de l’identité se fait dans les systèmes RH et donc la RH est vraiment au cœur de notre stratégie. »
Alleaume de BaglionDirecteur de projets IAM, Lactalis
S’ajoutent les clients et partenaires qui ne font pas partie du groupe Lactalis, mais qui viennent y consommer des services IT, pour lesquels la gestion du cycle de vie des accès est différente. Lactalis emploie pour eux la solution CIAM d’Ilex, IDSphere. « L’IAG (gouvernance des identités et des accès) que l’on vient de démarrer, gère les processus au sens large de l’entreprise et permet en fin de compte au système RH d’alimenter la partie IAM. Nous sommes convaincus que le démarrage du cycle de l’identité se fait dans les systèmes RH et donc la RH est vraiment au cœur de notre stratégie », explique Alleaume de Baglion.
Le point de passage à tous ces services est Sign&Go d’Ilex, qui vient aider tous les systèmes à consommer ces identités, que ce soit du BYOD ou de l’accès depuis une station de travail. Les fonctionnalités supplémentaires, comme des applications d’authentification à facteurs multiples (MFA) et le service de réinitialisation du mot de passe, sont devenues très importantes au sein du groupe, surtout avec le télétravail, et des règles de gestion de mot de passe qui sont toujours plus exigeantes.
Le CIAM pour les fournisseurs
« C’est le système de messagerie qui a tiré tous les projets », résume David Auburtin, en charge du conseil et de l’intégration de solutions en gestion des identités et des accès, chez Idento. « Nous essayons d’avancer en même temps sur ces différents sujets de manière à avoir une certaine cohérence entre la gestion des identités et des accès, les authentifications et puis la fédération. La partie CIAM est traitée pour des fournisseurs, mais pas pour les clients. Les premiers cas d’usage sont pour les transporteurs de Lactalis », continue-t-il.
Premier constat, la gouvernance est aujourd’hui là. L’infrastructure technique qui permet de collecter toutes les identités internes du groupe Lactalis est en place et constitue un socle important. La partie accès avec Sign&Go est installée, comme IDSphere. Le choix de la solution d’IAG est encore sujet à discussion, mais la stratégie est déjà définie pour toute l’année 2021, sur la fédération, et l’activation du MFA pour les applications métiers.
Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)
