En moins de 6 mois, RWE migre sa solution de sécurité des identités en mode SaaS et ajoute l’IA

Au cours de ces dernières décennies, avec son investissement et une stratégie de croissance axés sur l’écologie, le producteur international d’énergie RWE a considérablement étendu sa position sur le marché. Aujourd’hui, le groupe réalise un chiffre d’affaires de 40,3 milliards, emploie plus de 19 000 personnes et possède plusieurs filiales, succursales, bureaux, centrales électriques, fermes éoliennes et solaires, et d’autres installations dans plus de 80 sites dans le monde.

Sous la houlette de sa directrice de la cybersécurité Sue Walker, RWE a construit un programme de gestion des identités abouti qui lui a permis de migrer en douceur de son outil hébergé sur place, SailPoint IdentityIQ, à SailPoint IdentityNow, hébergée dans le cloud, et à la sécurité des identités par l’IA à grande échelle.

Se lancer dans la gouvernance des identités et des accès

Il y a plus d’une dizaine d’années, RWE s’était équipé d’IdentityIQ, une solution tournant sur place, pour assurer la conformité aux règlementations dans son activité Approvisionnement et Échanges. Elle avait tablé sur la technologie de SailPoint pour automatiser les demandes de provisioning et d’accès ainsi que la certification, avec d’excellents résultats.

Conformément à la stratégie générale de la Société privilégiant le cloud, RWE a ensuite fait migrer IdentityIQ vers un environnement AWS ultraperformant. Méticuleusement planifié pendant trois mois, l’hébergement du système dans le cloud en un week-end a été une réussite, et d’importants avantages en ont découlé dès le premier jour.

En transférant les données d’IdentityIQ dans l’AWS, RWE a mené à bien la première étape de sa migration dans le cloud.

À ce moment-là, dans les autres entités du groupe, on continuait à créer manuellement des profils d’utilisateurs et à les saisir dans des systèmes ad hoc. Mais cela n’allait pas tarder à changer.

L’amplification avec le SaaS

« Il y a cinq ans, nous avons décidé de poursuivre sur notre lancée avec IdentityIQ et de centraliser la gestion des identités dans toute l’organisation, explique Sue Walker. Cela supposait de passer de 2500 utilisateurs à environ 25-30 000. »

La complexité de l’organisation était un redoutable défi. Suite à une série d’acquisitions au début des années 2000, RWE se composait de près de 90 entités. Après une consolidation et des cessions, il y reste aujourd’hui 30 sociétés en activité dans RWE, chacune pouvant avoir plusieurs services et sites géographiques.

En s’appuyant sur l’expérience de migration dans l’AWS cloud et la décennie de réussite avec SailPoint IdentityIQ, l’étape suivante pour Sue Walker a été de passer à une solution entièrement SaaS visant à la gouvernance des identités à l’échelle de toute la société. Elle devait fonctionner en parallèle avec IdentityIQ, qui tirerait les données d’IdentityNow et serait conservée comme solution sur mesure pour l’activité Approvisionnement et Échanges.

« IdentityIQ peut s’utiliser à grande échelle, c’est sûr, mais il était plus rapide et plus économique pour nous d’utiliser une solution SaaS, explique-t-elle. Aujourd’hui, nous en faisons bénéficier dix fois plus de personnes qu’avant et nous élaborons des processus et cas d’usage inédits, avec des environnements de production, de la mise en rayons et du développement. »

Le passage de RWE à SailPoint IdentityNow lui a permis d’étendre son infrastructure, telle que les serveurs de tâches, et de se recentrer sur les tâches essentielles : normaliser les processus et former les utilisateurs. Un autre avantage décisif a été le support 24 heures sur 24 de SailPoint. Pour Sue Walker, il est bien plus facile sur le plan opérationnel de gérer une solution SaaS parce qu’elle peut compter sur SailPoint pour prendre en main la totalité de l’infrastructure en fin de course.

Dans l’ensemble, la migration vers la solution SaaS a pris moins de six mois. Elle a comporté des tâches d’audit, de redéveloppement et, dans certains cas, de remplacement des processus d’entrées et de sorties dans l’entreprise pour les nouvelles embauches, les mutations et les départs (NEMD). Aujourd’hui, la totalité des entités de RWE travaillent sur le même domaine avec les mêmes processus, avec un total de près de 1 800 profils d’accès. L’automatisation a été primordiale dans ce projet.

« Du point de vue des coûts et du support, la migration a fait une énorme différence. La gestion des identités dans le cloud a changé la façon dont nous consommions des données et abaissions les coûts. En outre nous n’avons pas eu à gérer l’architecture sous-jacente, ce qui nous a donné toute liberté de consacrer nos efforts opérationnels ailleurs. Et les utilisateurs n’y ont vu aucune différence », fait remarquer Sue Walker.

Gagner du temps grâce à l’automatisation

Quand nous avons démarré, le délai d’accueil des nouveaux embauchés était de 15 à 25 jours, se rappelle Sue Walker. Avec SailPoint nous l’avons d’abord ramené à deux jours. Aujourd’hui, il ne prend plus que trois heures ! »

À présent, RWE fixe à deux fois par jour le traitement des identités. Plus besoin de responsables de saisie de données pour déclencher la procédure d’accueil, ils sont remplacés par un accès automatisé selon la date de naissance. Non seulement cela garantit l’uniformité dans la qualité des données et l’erreur humaine mais cela a aussi des avantages sur le plan opérationnel. Le service informatique a cessé de faire la chasse aux tickets et les utilisateurs peuvent commencer à travailler dès le premier jour. Pour que les choses se passent bien pour les nouveaux embauchés, il est important que les ressources humaines aient assez de temps pour récupérer le matériel informatique, planifier les formations et prendre d’autres dispositions d’orientation.

Avec SailPoint IdentityNow, les nouveaux embauchés de RWE reçoivent leurs acès dès le premier jour et tout est totalement automatisé.

« C’est toujours l’objectif, précise Walker. Réduire l’effort opérationnel lorsqu’il n’est pas nécessaire, car nous avons bien trop à faire par ailleurs. »

Gagner en visibilité grâce à l’IA

Améliorer la synchronisation entre les systèmes informatiques et RH permet en outre à RWE d’appliquer les solutions IA de sécurité des identités de SailPoint aux outils qu’il a mis en place, IdentityIQ et IdentityNow. Il a fait bon usage des données sur les accès (Access Insights) tout en utilisant également la modélisation des accès (Access Modeling) et en se mettant à utiliser les recommandations d’accès (Access Recommendations).

• Access Insights et Data Explore ont été adoptés pour examiner la qualité des données mais ils ont été source de nombreux avantages opérationnels par ailleurs. Le service de Sue Walker utilise des tableaux de bord pour étudier diverses mesures de NEMD, qui permettent aux décisionnaires de divers services de visualiser les données. Par exemple, l’équipe chargée d’accorder des licences de logiciels est plus à même de réguler les coûts quand elle peut prédire des changements de personnel et l’impact de l’octroi de licences sur un gros projet. SailPoint a également aidé RWE à créer des tableaux de bord sur Data Explore pour permettre aux équipes informatique et opérationnelles de vérifier si les droits dont jouissent les groupes fonctionnels dans SailPoint proviennent d’un système précédent. Ils montrent quels droits sont derrière quel profil d’accès et à quelles applications ils sont liés, ce qui permet aux utilisateurs de soumettre une demande en self-service si nécessaire.
• Access Modeling donne à l’équipe la possibilité de prendre connaissance des rôles, de les évaluer et de les affiner. Il procède à un suivi des administrateurs locaux et des comptes privilégiés pour que des mesures correctives puissent être prises en cas de droits anormaux ou de comptes inactifs ou orphelins.
• Access Recommendations est mis en place pour donner de l’autonomie aux utilisateurs et au certificateur. Nous n’en sommes qu’au début et il faudra du temps pour définir des valeurs repères et gagner en vitesse sur des ensembles de produits.

« Dans l’ensemble, cela a été bénéfique d’ajouter l’IA à notre programme parce que cela nous apporte plus de visibilité sur ce qui se passe dans nos systèmes et dans nos environnements et nous éclaire sur la façon de continuer à nous améliorer », note Sue Walker.

La communication et la formation sont déterminantes pour une réussite à grande échelle

Walker est catégorique sur l’importance du passage à la phase de reprise du travail courant dans un projet informatique, au bon moment et en ayant défini les bons objectifs.

« Vous avez un bon projet, vous avez les bons professionnels et vous avez vos cas d’usage et vos livrables. À présent, il faut revenir au travail courant et parvenir à l’amélioration continue. Nous sommes tout aussi occupés avec le retour au travail habituel que nous le sommes en mode projet, mais avec des objectifs différents. »

Dans cette phase, l’équipe de Walker a soigneusement pris en compte l’état d’esprit de ses utilisateurs, des collègues qui utilisent les systèmes de gestion des identités de SailPoint chaque jour, et les difficultés qu’ils risquaient de rencontrer dans l’adoption des nouveaux processus normalisés avec la solution SaaS de SailPoint.

Du coup, elle a mis au point des plans marketing élaborés comprenant des campagnes de sensibilisation et une formation en plusieurs langues. Elle est passée par l’application de messagerie interne de RWE pour délivrer régulièrement un flot de communiqués ciblés très pertinents, et vient de boucler une campagne de publicité sur IdentityNow très bien perçue, projetée sur les écrans vidéo des bureaux de la société.

L’équipe de cybersécurité a également installé une plateforme centrale servant de référentiel pour l’information, y compris les vidéos d’aide, que les utilisateurs peuvent consolter ou auxquels on peut les renvoyer. Les parties prenantes peuvent aussi prendre rendez-vous avec des informaticiens sur cette plateforme et avoir rapidement accès aux experts les plus susceptibles de les aider.

Walker attribue la réussite de l’équipe de gestion des identités et des accès – Karsten Weber, Khaled Mosharraf, Iyad Habra et André Bornhofft – à ses relations étroites avec des collègues des RH, de la conformité, des audits, et d’autres. Elle les associe à chaque étape du cycle de vie du projet informatique, de la création de cas d’usage à la composition de messages marketing, et demande de l’aide et une assistance avant le début du travail afin d’anticiper et d’éviter les faux-pas. En outre elle mène toujours des pilotes avec des gens qui connaissent leur travail et sont disposés à donner honnêtement leur avis.

« La gestion des identités et des accès, ce n’est pas l’informatique. C’est un processus vivant qui aura lieu qu’on le veuille ou non. Il faut établir des relations avec les bonnes équipes pour être sûr que les données qui affluent dans votre système proviennent d’une source autorisée », conclut Walker.

« Nous cherchons toujours à apporter des améliorations à notre espace des identités. Nous sommes reconnaissants à SailPoint pour ce partenariat avec lui et pour son attitude pionnière dans l’adoption de caractéristiques et de technologies. »