Criteo répond à ses besoins de sécurité grâce à une solution cloud de Gestion des Identités

Relever le défi d’une main-d’œuvre en évolution 

La croissance de Criteo a nécessité des changements dans la manière de gérer la gestion des identités pour son personnel et ses partenaires externes. Pour Criteo, qui est cotée en bourse depuis 2013, le besoin de contrôler le cycle de vie des identités était devenu primordial, tout comme la nécessité de recertifier l’accès, de générer des rapports réguliers et d’automatiser un bloc de construction central.

Ce besoin était d’autant plus évident que le département informatique de Criteo avait à l’origine créé sa propre solution de gestion des identités, développée et déployée par ses équipes d’ingénieurs internes. Cette solution couvrait initialement quelques centaines, puis quelques milliers d’utilisateurs. Le département informatique de Criteo s’est alors rendu compte que cette approche personnalisée, créée dans l’esprit d’une start-up technologique, avait généré des coûts importants pendant plusieurs années et était finalement peu rentable. L’entreprise estimait que huit équivalents temps plein de développeurs étaient exclusivement dédiés à la gestion des identités.

« Nous avons réalisé que notre travail consistait à fournir des services informatiques plutôt qu’à développer une solution IAM propriétaire », explique Jérôme Robin, responsable de la tribu des plates-formes informatiques chez Criteo.

L’entreprise a complètement changé de philosophie en 2021, lorsque le département informatique de Criteo a décidé de remplacer sa solution historique et de passer à une approche SaaS standard.

À la recherche d’une solution IAM

La recherche d’une solution standardisée, mature et basée sur le cloud a d’abord conduit la DSI de Criteo à réaliser un benchmark du marché. S’appuyant sur des experts reconnus, notamment Gartner, les équipes ont initié une étude sur la gouvernance et l’administration des identités. Le premier défi a été de pouvoir identifier le produit exact dont les ingénieurs avaient réellement besoin en interne. « Mettre un nom sur ce dont nous avions besoin n’a pas été facile : en fait, nous ne cherchions pas un IAM (identity access management) mais une infrastructure IGA (identity governance and administration) », se souvient Jérôme Robin.

L’approche de Criteo s’est concentrée sur un modèle de déploiement, l’objectif étant de trouver une solution SaaS. Pour les équipes en charge du projet, ce type d’architecture était en effet plus pérenne et s’inscrivait dans des perspectives d’évolution. Il s’inscrivait également dans la philosophie globale de Criteo avec notamment son approche DevOps et sa capacité à générer des micro releases. Ce mode agile était un objectif majeur.

« Nous ne voulions pas d’un produit monolithique et démodé, mais d’une solution évolutive et flexible », explique Jérôme Robin.

L’entreprise souhaitait également confier la solution à l’une des plus grandes entreprises du marché, capable à elle seule de répondre à 90% des besoins exprimés. Après avoir identifié les principaux acteurs de l’écosystème, l’équipe informatique de Criteo a sélectionné SailPoint comme leader dans ce domaine.

Choisir SailPoint

IdentityNow, la solution SaaS de SailPoint, a été rapidement déployée et a séduit les équipes informatiques de Criteo. Le modèle SaaS a été un premier avantage, tant par rapport à la solution développée en interne depuis huit ans que par rapport à la concurrence. SailPoint a répondu aux besoins techniques et stratégiques de Criteo.

Un autre point fort souligné par l’équipe du projet est l’expérience utilisateur de l’outil SailPoint. « L’interface utilisateur d’IdentityNow est certainement la meilleure que nous ayons vue », déclare Jérôme Robin. Cette caractéristique est d’autant plus appréciée que l’interface utilisateur est similaire à la solution déployée en interne les années précédentes. « Pour nous, l’expérience utilisateur et le « look and feel » sont des aspects décisifs. Nous aimons cette approche intuitive, qui évite d’avoir des boutons partout. »

Le troisième point de décision fort de Criteo est l’intégration native de ServiceNow. Cette possibilité est essentielle car la solution doit être installée dans l’ensemble de l’organisation en tant que guichet unique pour toutes les demandes des utilisateurs.

Les procédures d’onboarding pour les nouvelles recrues ont également un impact positif sur l’équipe de Criteo en charge de la nouvelle solution de gestion des identités. Le système d’onboarding d’IdentityNow est plus strict et plus efficace que l’ancienne solution et permet d’envoyer un seul e-mail dès le premier contact avec un nouvel employé. Cela permet à Criteo de devenir plus efficace et plus flexible, tout en offrant des approches plus individualisées de l’onboarding.

Sécurité des Identité en mode SaaS

Déployé au printemps 2022, IdentityNow permet à Criteo de gérer environ 5 000 identités, composées de comptes techniques et de comptes administrateurs. Huit workflows sont enregistrés, concernant aussi bien des comptes internes qu’externes : des personnes qui quittent l’entreprise, d’autres qui reviennent après l’avoir quittée, mais aussi des sous-traitants et des partenaires dont les droits d’accès vont et viennent au gré des projets. Organisation particulièrement dynamique, Criteo est très sensible à la gestion des exceptions, d’où la personnalisation choisie à l’origine par l’équipe.

Cependant, l’entreprise est impressionnée par la standardisation d’IdentityNow, notamment grâce au gain de temps qu’elle génère. « L’une des grandes forces d’IdentityNow vient du connecteur natif (Slack, DocuSign, Salesforce, etc.) ; dès que l’on clique, le connecteur est là et c’est parti « , explique Jérôme Robin. La section Rapport est tout aussi impressionnante : elle est également native et peut être personnalisée pour garantir la facilité d’utilisation et l’efficacité. L’API disponible est jugée utile par les équipes de Criteo pour l’automatisation.

En fin de compte, en optant pour une solution cloud standardisée, Criteo doit revoir l’ensemble de sa politique de gestion des identités. L’entreprise y gagne en clarté et en simplification. Après des années de processus développés en interne, gérés en fonction des innombrables exceptions qui se présentaient jour après jour, un cadre de référence commun a été établi grâce au cloud.

« Le passage à une approche standard nous a amenés à nous interroger sur les nombreuses exceptions accumulées. Pourquoi cette identité est-elle gérée de manière spécifique ? Lorsque nous ne pouvions pas répondre à cette question, nous avons supprimé l’exception. Cette simplification nous a permis d’être plus clairs, mais aussi d’aller plus vite », explique Jérôme Robin, qui affirme avoir ainsi réduit ses coûts de fonctionnement grâce à la suppression de nombreuses exceptions.

Les avantages d’IdentityNow

Quelques mois seulement après le déploiement de la plate-forme de sécurité des identités SailPoint, Criteo a réalisé de nombreuses améliorations.

Les principaux bénéfices sont avant tout d’ordre organisationnel et financier. En réduisant la complexité technique, en simplifiant ses besoins et en standardisant son approche au travers du cloud, Criteo crée un attrait majeur auprès des équipes d’ingénieurs en charge de la gestion des identités. Depuis sa migration vers IdentityNow, l’entreprise n’a eu à allouer que 1,5 à 2 personnes à temps plein à l’IAM. « Aujourd’hui, j’ai une personne dédiée à la gestion des tickets et des bugs, et un demi-poste qui se concentre sur les aspects techniques de la solution, les choses qui ne fonctionnent pas et qu’il faut améliorer », explique Jérôme Robin. Ce résultat est à mettre en relation avec les économies réalisées par rapport à l’ancienne infrastructure interne.

IdentityNow suscite également une nette satisfaction chez les utilisateurs finaux. Bien que certains utilisateurs avancés souhaitent encore bénéficier d’exceptions aux processus standardisés, la solution de gestion des identités est globalement jugée plus facile à manipuler et à comprendre.

Sur le plan technique, IdentityNow permet d’automatiser de nombreuses campagnes de certification. Cette capacité assure la conformité des équipes de Criteo, ces dernières se déclarant d’ailleurs aidées par l’API existante pour l’automatisation.

IdentityNow comporte également de nombreuses nouvelles fonctionnalités. Par exemple, la fonctionnalité SoD (ségrégation des tâches), réalisée directement dans les applications et qui avait été identifiée lors de l’appel d’offres. C’est également le cas de la procédure d’onboarding, qui permet de fournir une communication complète sur Criteo tout en générant un lien afin de créer le premier mot de passe. La gestion des comptes d’administrateurs est également améliorée, mettant en évidence certaines différences liées aux départements dont ils dépendent ou aux profils d’utilisateurs plus ou moins techniques, et dont les sorties doivent être corrélées dans la mesure où elles sont liées les unes aux autres.

Evolution du projet

Cette année, Criteo prévoit d’exploiter les capacités de l’IA dans sa mise en œuvre d’IdentityNow. Ces outils précieux permettent aux équipes de tirer le meilleur parti de leurs heures de travail. Ce changement stratégique deviendra de plus en plus important pour les ingénieurs de Criteo à mesure que l’organisation interne continuera d’évoluer.