Le projet de migration IAM dans le cloud du groupe Salling : 6 semaines riches d’enseignements

Le groupe danois Salling est passé d’un petit détaillant de vêtements et d’articles de mercerie en 1906 à un leader international de la grande distribution qui sert aujourd’hui 12 millions de clients par semaine . Salling possède des magasins d’alimentation dans trois pays, des grands magasins, des cafés, des restaurants et bien plus encore. Le groupe impacte quotidiennement la vie de millions de personnes. Son objectif est de simplifier la vie de ses clients tout en leur proposant la meilleure expérience d’achat possible.

Pour atteindre cet objectif ambitieux, il faut accomplir de véritables miracles au niveau du back-office. Les entreprises de l’envergure du groupe Salling doivent pouvoir compter sur des systèmes informatiques évolutifs, fiables et sécurisés, capables de s’adapter rapidement à leurs impératifs stratégiques tout en garantissant une sécurité de pointe à leurs utilisateurs, leurs systèmes et leurs données critiques.

Ces entreprises de premier rang doivent également s’adapter en permanence aux évolutions des exigences réglementaires et de conformité, ce que les anciens systèmes IAM du groupe Salling ne parvenaient pas à faire à un moment particulièrement critique.

« Notre ancienne plateforme IAM ne nous permettait pas de nous conformer aux nouvelles exigences réglementaires et administratives », explique Jérôme Thorstenson, architecte IAM au sein du groupe Salling. « Au même moment, notre PDG venait d’annoncer que l’entreprise avait l’ambition d’ouvrir 300 nouveaux points de vente dans les trois ans, ce qui coûterait environ un demi-milliard d’euros et nécessiterait l’embauche d’au moins 40 000 nouveaux collaborateurs. »

En résumé, le groupe Salling était à la recherche d’une nouvelle solution IAM en mesure de répondre aux exigences de conformité réglementaire, tout en tenant compte de la croissance rapide et des évolutions structurelles profondes de l’entreprise.

6 semaines pour passer d’une solution IAM traditionnelle déployée sur site à une solution IAM de pointe hébergée dans le cloud

Malheureusement, une précédente tentative de migration vers une nouvelle solution IAM sur site s’était soldée par un échec, laissant l’entreprise avec des ressources limitées pour pouvoir envisager une nouvelle approche. Le défi de la mise en œuvre d’une nouvelle solution IAM a également été aggravé par la nécessité pour Salling de procéder rapidement. Plus précisément, le groupe devait impérativement mettre en oeuvre la nouvelle solution en six semaines, pour la saison des fêtes de fin d’année qui commençaient avec le Black Friday.

Sous la contrainte d’un budget limité et d’un timing très serré, M. Thorstenson a constitué une équipe de trois personnes pour mener à bien cette transformation. Leur première étape a consisté à simplifier le projet.

« Nous avons commencé par redimensionner le projet », explique M. Thorstenson. « Nous l’avons ainsi réduit au produit minimum viable (MVP). Rien n’a été laissé au hasard, tout a été analysé dans les moindres détails, y compris tous les attributs des identités des utilisateurs. » En résumé, tout ce qui pouvait être reporté à une phase ultérieure l’a été.

Au lieu de déployer une nouvelle solution IAM sur site, l’équipe a décidé de migrer sa solution IAM existante vers le cloud, à l’aide de SailPoint Identity Security Cloud.

En étroite collaboration avec SailPoint, le groupe Salling a élaboré un rétroplanning de six semaines divisé en quatre phases pour le déploiement de la nouvelle solution Identity Security Cloud de SailPoint.

• La première phase fut celle de la conception et de la collaboration pour définir le MVP, coordonner les opérations avec SailPoint, délimiter le périmètre du projet et préparer l'entreprise au changement.
• La deuxième phase a porté sur les configurations et les intégrations initiales.
• La troisième phase a concerné les tests et la validation, deux aspects essentiels car de nombreux anciens systèmes ne disposaient pas d’une documentation fiable.
• Enfin la quatrième phase a porté sur le déploiement et l’assistance après la mise en œuvre. C’est à ce stade que l’équipe a doit généralement résoudre les problèmes inattendus et stabiliser le déploiement de la production.

Salling a également profité de l’occasion pour être le premier éditeur à intégrer le nouveau système de ressources humaines de l’entreprise, SAP SuccessFactors HCM Suite.

« L’extraction de toutes les données des employés issues de SuccessFactors a été particulièrement éprouvant, mais nous y sommes parvenus avec l’aide précieuse de SailPoint », a déclaré M. Thorstenson. « Forts de leur expérience, ils savaient exactement quelles questions poser à notre équipe SAP et à notre architecte RH. »

Résolution des problèmes et optimisationx

Une fois le système mis en place et testé, l’équipe a opté pour une première mise en service silencieuse afin de faire remonter les éventuels bogues initiaux. Au bout d’une semaine, elle a officiellement annoncé la mise en service de la nouvelle solution. Presque simultanément, de nouveaux problèmes liés à la taille du groupe sont apparus, comme par exemple la nécessité d’effectuer près de 2 500 intégrations d’employés au cours de la première semaine. Cette opération a d’ailleurs mis en défaut Microsoft Active Directory qui fut trop fortement sollicité.

En collaboration avec SAP, l’équipe a identifié une solution de contournement qui a permis de résoudre le problème.

« Nous sommes devenus les meilleurs amis du service d’assistance de SAP, car nous savions que nous allions au devant d’autres problèmes, mais nous ne savions pas encore lesquels », déclare M. Thorstenson. « Par la suite, tout s’est déroulé sans accroc. »

Au départ, l’équipe n’avait créé que 9 rôles, ce qui correspondait au nombre de postes de chaque magasin. Ces 9 rôles ont fini par couvrir près de 2 000 de leurs points de vente. Ensuite, l’équipe a commencé à ajouter des rôles d’accès spécifiques à chaque magasin.

« C’est à partir de ce moment là que mon équipe s’est particulièrement distinguée », explique M. Thorstenson. « Elle a commencé par créer de nombreux rôles pour les différents magasins, si bien que nous sommes devenus la source de référence pour plus de 60 000 collaborateurs du groupe. Nous gérons actuellement plus de 66 000 droits d’accès et près de 2 000 rôles distincts. »

Résultats tangibles et perspectives d’avenir

Même si toutes les entreprises n’éprouvent pas le besoin d’évoluer aussi rapidement que le groupe Salling, les résultats probants que ce dernier a obtenus grâce à la migration éclair de son IAM initialement déployé sur site vers une solution cloud, parlent d’eux-mêmes.

« Notre temps d’intégration est passé de trois ou quatre jours à cinq à quinze minutes », déclare M. Thorstenson. « Cela représente un gain de temps et d’argent considérable à l’échelle de notre groupe. »

L’entreprise est parvenue à effacer la dette technique de l’ancien système IAM qui l’empêchait d’évoluer. « Notre informatique a fait un bond en avant de plusieurs années par rapport à ce qu’elle était », a déclaré M. Thorstenson. « Grâce à ce système, nous prévoyons de mettre en place notre portail en libre-service pour les employés afin qu’ils puissent commencer eux-mêmes à demander des rôles. »

Principaux enseignements d’une migration réussie de l’IAM vers le cloud

Après avoir réalisé une migration rapide et réussie vers une solution IAM hébergée dans le cloud, M. Thorstenson formule quelques bonnes pratiques à l’intention des autres entreprises :

• « Assurez-vous que votre éditeur sait qu’il s’agit d’un partenariat à long terme et non d’une simple migration ponctuelle. Il sera ainsi plus à même de vous aider à mettre en œuvre votre feuille de route sur le long terme. »
• « N’ayez pas peur de dire non, afin de délimiter précisément le périmètre du projet et de tenir vos engagements dans le respect du budget et des délais impartis. »
• « Maîtrisez parfaitement votre infrastructure et communiquez rapidement et clairement avec toutes les parties prenantes. C’est en les impliquant suffisamment en amont dans le projet que vous gagnerez leur confiance. »
• « Ne compliquez pas trop les premières procédures et ne procédez à aucune personnalisation complexe. Commencez par un produit minimum viable pour poser des bases saines du premier coup. »
• « Ne lésinez pas sur la formation. Ne pas former ses équipes à un nouveau produit est l’un des principales erreurs constatées. »

La transition stratégique vers une solution IAM hébergée dans le cloud produit des résultats tangibles

La transition stratégique effectuée par le groupe Salling vers une solution SaaS IAM basée sur le cloud lui a permis de moderniser rapidement son infrastructure et d’obtenir des résultats opérationnels tangibles. En adoptant une approche MVP ciblée et en s’engageant dans un partenariat collaboratif avec SailPoint, le groupe Salling a transformé son entreprise, lui permettant de surmonter sa dette technique, de renforcer sa conformité et d’accroître son agilité opérationnelle.