ArcelorMittal mise sur le Cloud pour l'authentification
Le géant de l’acier est engagé dans un vaste projet groupe d’authentification forte. Celui-ci doit lui permettre de gagner en sécurité et en flexibilité. Une offre Cloud a été retenue mais la contractualisation s’est avérée difficile.
Présentant son projet sur les Riams, Michaël Fiey, responsable groupe des programmes IT Security, souligne la variété des populations représentées chez ArcelorMittal : 250 000 employés dont 25 000 mobiles, répartis dans plus de 60 pays, avec des équipes métiers et IT, des personnels fixes et d’autres hyper-nomades, certains équipés en outils informatiques et d’autres pas. Jusque là, le groupe apportait des «réponses hétérogènes aux besoins de sécurisation des accès distants et l’absence de solution groupe pouvait constituer un frein à l’ouverture demandée ».
Sous la pression d’une menace externe de plus en plus pressante - le géant de l’acier aurait fait l’objet «d’un certain nombre d’attaques en 2012» -, sécuriser l’accès aux applications et à la messagerie devenait essentiel. D’autant que «énormément d’informations très sensibles sont échangées» par courrier électronique. Dans cette même logique, le projet d’authentification forte d’ArcelorMittal devait aussi répondre à des objectifs de flexibilité, pour permettre, par exemple, l’enrôlement dans le SI de personnels non équipés de postes informatiques, depuis l’extérieur, à l’instar d’ouvriers souhaitant accéder au portail RH depuis leur domicile.
Le choix d’une solution Cloud
Michaël Fiey s’est donc retrouvé dans l’obligation de trouver une solution répondant «de manière globale aux besoins du groupe, sous la forme d'un service » : la construction d'une offre packagée capable de s'adapter aux nouveaux usages comme la mobilité, le BYOD et le travail à domicile. Le tout, avec une contrainte forte de rapidité de déploiement et une «partie budgétaire évidemment très regardée, avec un objectif d'économies d'échelle ».
C’est donc vers la solution d’authentification forte en mode Cloud de CA Technologies qu’il s’est tourné : «le Cloud a permis de minimiser les investissements en phase de démarrage, notamment» mais aussi de réduire les phases d’architecture et de test de charge, tout en offrant une mise en production rapide, avec une structure de coûts flexible. Pour autant, «les divisions gardent le contrôle des autorisations». Seule l’authentification forte est ici externalisée dans le Cloud et «la délivrance et la révocation des accès sont gérées via le référentiel central des identités du groupe ». Peu de données se retrouvent in fine gérées dans le nuage de CA Technologies.
Une contractualisation très complexe
En fait, le volet technique ne semble pas avoir été le plus lourd, car Michaël Fiey fait état sans ambages d’une «partie contractualisation cauchemardesque ». Et d’expliquer que les discussions ont été nombreuses, notamment sur l’évaluation de la sécurisation de l’offre, en partie impossible avant la signature du contrat en raison de la certification SAS 70. Une clause au contrat a ainsi été ajoutée, permettant de le dénoncer si jamais l’évaluation, à postériori, ne s’avérait pas satisfaisante.
Les échanges ont également été importants autour des questions «de devoir d’alerte en cas de compromission de leur plateforme, en lien avec la protection des données personnelles ». Et en particulier sur le délai d’alerte. «Nous souhaitions être alertés très rapidement», explique Michaël Fiey. Le délai exact ne sera pas mentionné, tout juste saura-t-on qu’il est «relativement acceptable» mais «très loin» des 4h.
En attendant, le responsable groupe des programmes IT Security d’ArcelorMittal semble satisfait des durées maximales d’interruption de service (RTO) et de la fenêtre de sauvegarde en cas de panne (RPO) : moins de 4 et 8 heures respectivement. Sans compter sur un engagement pris sur les délais d’authentification : moins d’une seconde pour 90 % des cas; et 100 % des cas inférieurs à 2 secondes. En cas de non respect du niveau de service, «pas de notion de pénalité mais plutôt de rupture comme une non facturation du service ».
Un déploiement progressif
Au final, Michaël Fiey reconnaît avoir eu des exigences «très élevées, probablement plus que pour un projet on-premise ». Ce qui a conduit à une réécriture massive du contrat. Et CA Technologies le reconnaît bien volontiers : «c’est un marché jeune; on apprend aussi avec nos clients, même si l’on a besoin d’un cadre de départ.» Cadre que l’éditeur affirme d’ailleurs avoir fait évoluer à la suite de ses échanges avec son client.
Le projet d’ArcelorMittal est actuellement en phase pilote. Le déploiement «corp» est prévu de juillet à janvier 2014 avec, en parallèle, le déploiement en Europe, jusqu’à l’automne 2014. Le reste des implantations du groupe suivra, le temps d’impliquer les équipes locales et de suivre le déploiement de son système de gestion des identités et des accès, démarré en 2011. (photo ArcelorMittal)