Crédit Agricole Technologies et Services modernise son infrastructure IAM
Fidèle à l’éditeur Usercube, la filiale informatique du Crédit Agricole vient de déployer la version 5 de sa plateforme de gestion des identités. Un projet mené en approche agile, qui accroît l’automatisation des processus et vient renforcer la cybersécurité de la banque.
Crédit Agricole Technologies et Services (CA-TS) est en charge de la conception, du développement et de la maintenance des systèmes informatiques des 39 Caisses régionales de la banque. À l’heure où les attaques sur la chaîne logistique IT se multiplient, la sécurité des identités et des accès de l’entité est cruciale. En 2015, CA-TS a déployé la solution d’IAM (Identity and Access Management) de l’éditeur français Usercube afin de gérer près de 5 400 identités dans la solution. Initialement déployée en version 3, la plateforme baptisée Mouv’ en interne a été migrée en version 4 puis, plus récemment, la Tribu Système d’information Interne s’est consacrée au déploiement de la version 5, une version majeure de la solution. Le projet a été baptisé MAÏGA, acronyme de Management des Accès et des Identités, Gouvernance et Administration.
Une version 5 très attendue des utilisateurs
« Le passage à la v5 avait pour objectif de traiter une obsolescence logicielle et technique, mais aussi de rajeunir l’interface de la solution », confie Catherine Gaschet, leader de la Tribu SI Interne de Crédit Agricole Technologies et Services. « La v4 suscitait de moins en moins l’adhésion des utilisateurs. Ceux-ci attendent aujourd’hui de leurs applications des interfaces beaucoup plus intuitives, fluides et stables que ce que délivrait la v4 ».
Outre une amélioration de l’expérience utilisateur et de la qualité de service, les attentes de CA-TS étaient élevées quant aux fonctionnalités de la v5 pour le renforcement du niveau de sécurité, afin d’administrer les accès au quotidien. « Nous avions de fortes attentes en termes d’automatisation et de paramétrage des connecteurs. Nous avons à gérer de plus en plus de technologies et de types de solutions. Sur ce plan, la v5 a permis d’automatiser de nombreux traitements », ajoute la responsable.
Un autre axe d’amélioration quant à la gestion des habilitations portait sur la fiabilisation des données du référentiel des identités, à l’occasion de cette migration. « La plateforme avait été l’objet de plusieurs montées de versions et cette nouvelle migration vers une version majeure était l’occasion de fiabiliser nos données ».
Enfin, CA-TS souhaitait accroître globalement ses mesures de sécurité. « Le renforcement de la sécurité est bien évidemment l’une des priorités majeures de Crédit Agricole Technologies et Services. Ce renforcement passait par la mise en place de droits à un niveau beaucoup plus fin sur les ressources informatiques ».
Un déploiement mené en méthode agile
Le projet MAÏGA a été mené en méthode agile et a fait l’objet de 29 sprints successifs. Jusqu’à 50 personnes ont travaillé sur le projet, sachant que toutes les parties prenantes ont été impliquées dans la démarche. Ce fut le cas des utilisateurs métiers, dont l’équipe de gestion des habilitations qui administre les accès. « Les équipes cybersécurité ont aussi été parties prenantes afin d’exprimer leurs besoins et leurs exigences, de même que les ressources humaines, les achats, les fonctions de contrôles et, bien évidemment, les utilisateurs finaux, car nous avons choisi une implication directe des utilisateurs ».
La solution gère près de 360 000 comptes utilisateurs, rattachés aux 8 600 identités, et 9 500 rôles, soit un volume d’activité très important (plus d’un million d’objets stockés dans nos bases de données).
Classiquement dans un projet IAM, le premier point d’attention de l’équipe projet a porté sur les processus. Ceux-ci avaient été déployés sur la version 4, mais ils sont toujours amenés à évoluer au fil de la vie des organisations et des transformations. Les processus avaient évolué petit à petit et l’un des objectifs du projet était de remettre tous ces processus à plat et les redéfinir avec les métiers.
« Tous les métiers ont été placés autour de la table pour réévaluer les processus et participer à la fabrication de notre produit qu’est le service IAM », commente Catherine Gaschet. « Nous avons pris en compte plus de personae dans cette mise en œuvre de la v5. Nous avions bien évidemment plusieurs processus différents : gestion des habilitations, gestion des ressources humaines, pilotage de la sous-traitance ». En outre, certains des processus n’étaient pas outillés de A à Z et comportaient encore certains volets manuels. Le projet devait donc permettre d’outiller et intégrer au maximum les parcours et gérer les exceptions qui ne manquent pas d’apparaître dans chaque processus.
Enfin, cette migration était l’occasion pour l’équipe projet de traiter un problème classique de l’IAM, celui de la qualité des données. « Nous avons fait en sorte que la v5 puisse accéder à des données beaucoup plus fiables. Une des tâches [importantes] du projet a été d’améliorer la qualité des données collectées dans plusieurs référentiels de notre SI et de les réconcilier pour traiter les processus de bout en bout ».
L’IAM est pleinement entré dans l’approche DevOps
Un autre point d’attention du projet MAÏGA portait sur « l’agilisation » de la fabrication du service. La Tribu SI interne a souhaité devenir totalement autonome dans l’intégration du progiciel Usercube. Ce projet fut donc une importante phase de montée en compétences de l’équipe afin de développer et intégrer MAÏGA dans un cadre 100 % agile.
Les autres sujets sont plus communs à ce type de projet : il y a les aléas techniques, les retards, mais les deux points les plus importants furent ces processus métiers et la montée en compétence de l’équipe interne pour être autonomes sur la solution.
Catherine GaschetLeader de la Tribu SI Interne, Crédit Agricole Technologies et Services
« Le déploiement a été mené sur nos infrastructures, ce qui demande plus d’efforts pour suivre les releases de l’éditeur. La montée en compétence de la tribu SI Interne a permis de constituer une bonne maîtrise de la solution, ce qui permet d’accélérer les montées de version et la livraison des nouvelles releases. Passer en mode agile et découper l’application en composants nous permet aujourd’hui de réaliser les livraisons en continu ».
Cette montée en compétences permet à CA-TS d’accompagner les releases beaucoup plus fréquentes de l’éditeur, et le rythme de livraison adopté par la Tribu SI interne est tout à fait adapté pour à la fois prendre en compte les retours utilisateurs, et faire face à l’arrivée de nouvelles fonctionnalités.
Objectif atteint vis-à-vis des utilisateurs
Catherine Gaschet tire un premier bilan après ce déploiement : « la bonne surprise est venue des utilisateurs finaux. Si ceux-ci ne voient que la partie visible de l’iceberg, nous avons eu les premiers retours positifs de nos utilisateurs sur l’interface graphique. Les améliorations par rapport à la v4 sont sensibles. La fiabilisation des données est aussi un point très positif : nous avons pu alimenter avec succès notre référentiel d’identités depuis d’autres solutions. C’est un vrai plus dont nous ne disposions pas avec la v4 ».
MAÏGA a atteint ses premiers objectifs, mais la squad continue de travailler sur l’IAM et la plateforme continue d’évoluer au rythme des releases de l’éditeur. L’une des prochaines livraisons porte sur des parcours personnalisés, une interface développée en interne CA-TS. Cette personnalisation doit renforcer encore un peu plus l’expérience utilisateur.
Enfin, un autre gros chantier porte sur le modèle de droits mis en place par CA-TS. Une solution va permettre de construire et d’administrer complètement le modèle de droits. « Nous avons migré le modèle tel qu’il existait, mais nous avons estimé que ce modèle de droits nécessite un outillage spécifique. Ceci afin de mieux l’administrer au quotidien et de renforcer encore la protection contre les risques liés à la production. Mais aussi d’aller un peu plus vers le “juste droit” et un modèle dont la gestion sera beaucoup plus automatisée », ajoute Catherine Gaschet.
L’objectif de cette prochaine évolution est bien de renforcer le niveau de sécurité des accès aux produits et solutions au sein de CA-TS. « Notre objectif reste de renforcer les règles et les critères d’affectation de ces droits et, en matière de sécurité et de contrôle, de pouvoir renforcer la maîtrise des droits accordés », conclut la leader de la Tribu SI Interne.