Projets

Flex rénove son socle IAM pour rationaliser l'accès des fournisseurs à ses applicatifs

Gus Shahin, CIO de Flex : « Okta s’inscrit dans mes trois axes de travail : la cybersécurité, la productivité et une approche best of breed. »

Le sous-traitant électronique Flex a abandonné son système distribué de gestion des identités et des accès pour une solution cloud plus centralisée, fournie par Okta, qui protège mieux les données et la propriété intellectuelle. Récit de ce projet par nos collègues de CSO États-Unis.

PublicitéIl y a quelques années, Flex Ltd, sous-traitant pour plus d'un millier de clients, dont certaines des plus grosses entreprises de technologie du monde, avait besoin de gérer l'accès de ses 20 000 fournisseurs à ses propres systèmes de façon plus sécurisée.

Les milliers de partenaires de sa supply chain, répartis sur l'ensemble du globe, incluaient de toutes petites enseignes, avec à peine plus qu'une adresse Gmail, tout comme de grandes multinationales. Beaucoup utilisaient plusieurs comptes et systèmes différents pour accéder aux applications de Flex, et l'entreprise ne disposait pas d'un outil centralisé pour gérer les mots de passe ou pour provisionner et déprovisionner les accès d'un fournisseur à son réseau. La capacité de Flex à détecter des activités suspectes ou anormales était de facto limitée, à cause de la nature très distribuée de son environnement de gestion des identités et des accès (IAM) pour les fournisseurs.

Une refonte de l'infrastructure IAM

Peu de temps après la brèche massive chez Target - provoquée par des pirates ayant utilisé des identifiants volés chez un partenaire-, alors que la leçon était toute fraîche, les décideurs IT chez Flex ont décidé de mettre à niveau l'infrastructure IAM destinée aux fournisseurs.

Les dirigeants de Flex voulaient s'assurer que les informations sensibles en termes de propriété intellectuelle et les données appartenant aux clients pour lesquels le groupe conçoit, construit et déploie des produits restaient en sécurité sur ses systèmes. L'entreprise voulait aussi offrir une meilleure expérience aux fournisseurs qui accédaient à ses applications cloud et sur site. « Nous avions besoin d'améliorer les choses, à la fois pour avoir davantage de visibilité et pour être plus 'user-friendly' avec les fournisseurs qui travaillent avec nous », raconte Fritz Wetschnig, CISO et vice-président chargé des technologies de l'information chez Flex.

L'entreprise a décidé d'éliminer les multiples comptes que les fournisseurs utilisaient pour accéder à ses systèmes, en les remplaçant par un processus d'authentification unique (SSO) avec des accès restreints. « Nous voulions également de la visibilité et de la transparence sur les journaux d'accès, car si vous avez de multiples points d'accès, il est dur de détecter des déviations et des comportements suspects d'un point de vue sécurité », ajoute Fritz Wetschnig. « Pour ces raisons, nous souhaitions disposer de journaux centralisés. »

Sur le plan technique, les exigences de Flex étaient claires. Le groupe voulait une application SaaS qui pouvait fournir aux fournisseurs un accès SSO global à toute sa collection de systèmes cloud et on-premise. La technologie devait supporter le standard SAML 2.0, l'authentification multifactorielle (MFA) adaptative, l'intégration (onboarding) et la suppression (offboarding) automatisées pour les identités des utilisateurs rattachés à des tierces parties, ainsi que la collecte centralisée des logs. La solution technologique devait aussi être suffisamment versatile pour fournir une brique de gestion des identités de base, afin de servir un objectif de long terme pour Flex, la mise en oeuvre d'une authentification et d'un modèle de gestion des accès zéro trust.

PublicitéFlex a choisi Okta comme nouvelle plateforme d'IAM. Selon Fritz Wetschnig, la technologie d'Okta répondait à toutes leurs attentes en termes de MFA, de SSO, de gestion centralisée des annuaires et de suivi du cycle de vie des identités fournisseurs. « Nous avions ADFS (Active Directory Federation Services) et AD (Active Directory), mais tout était sur site, alors que 20% de nos fournisseurs passaient par des applications SaaS », détaille le CISO de Flex. « Pour nous, cela n'avait pas de sens de continuer avec une plateforme on-premise à l'heure du cloud et des services hybrides. »

Un modèle d'accès simplifié réduit les appels au helpdesk

Tout ceci remonte déjà à quatre ans. Depuis, le groupe pesant 25 milliards de dollars a migré l'ensemble de son réseau de 20 000 fournisseurs sur sa nouvelle plateforme IAM. Les collaborateurs de ces fournisseurs accèdent aux systèmes de Flex à travers une simple page d'authentification Web. Chaque utilisateur possède un seul compte et un ensemble de droits déterminant les systèmes auxquels il est autorisé à accéder. La dimension multifactorielle est renforcée comme prévu, typiquement en utilisant le terminal mobile de l'utilisateur comme second facteur d'authentification.

La plateforme a éliminé l'obligation pour les utilisateurs de se souvenir de multiples mots de passe ou de maintenir plusieurs comptes pour accéder à différents systèmes. Pour Fritz Wetschnig, « c'est un processus très léger », ainsi qu'une amélioration notable de l'expérience utilisateur globale. « Les appels à notre helpdesk ont diminué de façon significative, entre 75 à 80%, témoignant que ça fonctionne. »

D'un point de vue opérationnel, Flex accède maintenant à un référentiel centralisé de journaux que le groupe peut utiliser pour garder l'oeil sur les accès des fournisseurs à ses systèmes et données client. Cette approche entièrement basée sur le Web a éliminé le besoin d'un accès VPN pour les fournisseurs. Plus important encore, Flex dispose maintenant d'une façon bien plus efficace de provisionner et supprimer les accès à ses systèmes pour les employés des fournisseurs.

Réduire les risques liés aux accès pour les tierces parties

Beaucoup d'entreprises sont désormais exposées à des compromissions exploitant des accès destinés à des tiers. Dans une enquête de One Identity datant de novembre 2019, 94% des 1000 professionnels IT interrogés ont indiqué que leur entreprise donnait à des tiers un accès à leur réseau interne - dans bien des cas, il s'agissait en prime de comptes à privilèges. Plus de six sur dix (61%) ne pouvaient pas dire si ces utilisateurs avaient accédé ou tenté d'accéder à des données non-autorisées, et seulement 21% disposaient de mécanismes permettant la révocation immédiate des accès utilisateurs de tiers, dès lors que ceux-ci ne travaillaient plus pour leur entreprise.

« La gestion des mots de passe, l'intégration ou le départ d'un prestataire » sont tous des défis auxquels les organisations sont confrontées quand elles doivent gérer les accès des fournisseurs, indique Andras Cser, analyste chez Forrester Research. « Un fournisseur faisant de la sous-traitance doit prendre en compte le départ d'un employé au niveau de tous ses systèmes, y compris ceux qui gèrent et autorisent l'accès aux applications de partenaires. Souvent les fournisseurs ne clôturent pas ces accès au moment où les employés partent, laissant à ceux-ci l'accès non seulement à leurs propres applications mais aussi aux applications de leurs partenaires », relève-t-il.

L'approche d'Okta permet à Flex de s'intégrer directement avec les systèmes de gestion des identités de leurs partenaires. Ainsi, quand l'employé de l'un de ses prestataires quitte son poste ou est licencié, l'utilisateur est automatiquement supprimé dans son propre portail fournisseur. Quand les partenaires ne disposent pas d'un système de gestion des identités, Flex peut utiliser Okta pour leur fournir un espace centralisé afin d'enregistrer et de gérer leurs identités.

Après le succès de ce projet B2B, Flex a décidé d'utiliser Okta pour unifier les accès des employés de ses sites de production, représentant près de 100 000 utilisateurs dans le monde. Contrairement aux collaborateurs dans les bureaux, les employés des usines ont seulement besoin d'accéder à un très petit nombre d'applications, comme celles permettant de gérer les temps et la présence, ou diffusant des informations générales sur le groupe.

En raison de ces besoins d'accès limités, Flex ne voulait pas créer un compte AD pour chacun de ces salariés, selon Fritz Wetschnig. « Nous n'avions pas donné de compte AD à ces collaborateurs car ce n'était pas pertinent d'un point de vue budgétaire », précise-t-il. « Si vous êtes dans les usines, vous avez seulement besoin d'accéder à ces applications une ou deux fois par mois. »

A la place, l'approche de Flex a consisté à mettre à la disposition de ces collaborateurs une application mobile Okta, leur permettant d'accéder aux applicatifs à travers une authentification Web. « L'un des atouts du modèle d'Okta est d'offrir des tarifs optimisés quand vous avez seulement besoin de droits d'accès restreints », souligne le CISO. Flex a également déployé des kiosques dans ses usines, que les salariés peuvent utiliser pour accéder à diverses informations, par exemple sur les heures supplémentaires ou la présence.

Prochaine étape : une API de gestion des accès

Pour le moment, Flex a mis en oeuvre sa nouvelle plateforme à l'échelle de l'entreprise, afin de rationaliser l'IAM pour ses employés, ses fournisseurs et ses clients contractuels. Pour Fritz Wetschnig, le plus gros défi est désormais de trouver le bon équilibre entre ce qui doit rester on-premise et ce qui peut être migré sur le cloud.

Au cours des prochaines années, l'entreprise prévoit d'utiliser Okta pour permettre la gestion des accès sous forme d'API, afin de faciliter la construction de nouveaux services et applications basés sur ses données pour des partenaires et autres tierces parties. Les usines du groupe vont également s'automatiser de plus en plus, et bientôt Flex va devoir trouver de nouvelles façons d'identifier des robots et d'autres terminaux intelligents, et de configurer des accès sécurisés pour ceux-ci.

Avec tous ces changements qui se profilent, le challenge principal pour Flex sera de déterminer ce qui doit rester proche et ce qui peut être mis dans le cloud. « De ce que j'ai vu, nous ne respectons pas suffisamment les applications legacy », estime Fritz Wetschnig. « Il y a de bonnes raisons pour lesquelles nous les avons conçues ainsi et qui font que c'est si compliqué. » Parfois, ce qui fonctionne avec une installation sur site ne peut pas aisément être reproduit dans le cloud. « Beaucoup de rapports indiquent que 90 à 95% des applications vont migrer vers le cloud. Cela ne rejoint pas mes observations personnelles », pointe le CISO de Flex. « Il subsistera toujours quelques applications legacy, de même que des applications natives pour le cloud. »

Article de Jaikumar Vijayan / CSO Etats-Unis (Adaptation et traduction par Aurélie Chandèze)