La Poste économise 250 000 par an en rationalisant son IAM
Lors d’un atelier organisé aux Assises de la Sécurité, début octobre, Matthieu Lamothe, directeur de projet au groupe La Poste, a expliqué comme le projet de rationalisation de la gestion des identités et des accès permet d’économiser plus de 250 k€ par an.
C’est en quelque sorte l’évolution du marché postal et la remise en question du modèle historique du groupe La Poste qui sont à l’origine d’un vaste projet de rationalisation des systèmes de gestion des identités et des accès. Le groupe a notamment décidé de prendre le virage du numérique, en lui dédiant une entité. Mais en 2011, la création d’une DSI centrale a véritablement lancé le projet. Matthieu Lamothe, directeur de projet au sein du groupe, a ainsi expliqué, lors d’un atelier organisé aux Assises de la Sécurité, début octobre, à Monaco, que cette création a été à l’origine du regroupement de « plusieurs systèmes d’information opérés auparavant sur la partie historique RH, comptable et finances, avec l’ensemble des SI du siège ». A l’époque, « chaque entité avait ses annuaires et systèmes de gestion des identités propres. C’était une source d’optimisation ». Il y avait alors cinq annuaires, deux IAM (gestion des identités et des accès) et deux systèmes de SSO (authentification unifiée).
Réduire les coûts
L’effort de rationalisation devait notamment permettre de « diminuer les coûts de licences et de maintenance, tout en traitant l’obsolescence d’une partie de l’infrastructure ». Le volet sécurité n’était pas oublié : la centralisation du contrôle des accès devait permettre de « disposer d’un point d’entrée unique pour gérer les accès aux SI et aux applications ».
Les solutions déjà en place ont donc été évaluées pour en retenir le meilleur. « Sur la partie RH, il y avait déjà un système d’IAM avec workflows, connecté au système RH, et permettant de gérer les événements collaborateurs et les accès aux applications. La gestion des identités était aussi connectée à ce système », explique Matthieu Lamothe. A cela s’ajoutait des systèmes de SSO basés sur les outils du Français Ilex, « rationalisés sur un seul ».
En tout, rien moins que 400 000 identités sont gérées dans l’annuaire, qui intègre les filiales du groupe ainsi que ses prestataires externes. Tout cela pour 33 000 utilisateurs habilités. Le SSO est géré via un portail Web Ilex intégrant à ce jour presque la totalité des 80 applications du périmètre. Un portail personnalisé pour répondre aux normes d’accessibilité internes.
Et le projet porte déjà ses fruits avec « environ 250 k€ économisés par an », explique le chef de projet, sur les licences, mais également les ressources nécessaires « au maintien en conditions opérationnelles, en réduisant l’équipe chargée des habilitations », ou encore la maintenance. Le portail Web SSO contribue également à la réduction des coûts de support informatique, grâce à un self-service « unique, unifié et intuitif, avec synchronisation des mots de passe sur l’ensemble des référentiels ». Mais ce ne sont pas les seuls bénéfices.
D’importants bénéfices
Le portail Web SSO a constitué un moyen de faire adhérer les maîtrises d’ouvrage, d’œuvre, et les utilisateurs à un projet de rationalisation de l’IAM lancé avec le soutien du DSI groupe et en collaboration avec l’ensemble des directions de la DSI centrale. La contrainte consistant à faire basculer les applications sur l’annuaire central a été de fait compensée par les gains liés au déploiement de nouvelles applications vers les utilisateurs. Et l’intégration s’est avérée simple : de 1 à 2 jours homme de travail de développement par application. Surtout, la simplification de l’accès aux applications par les utilisateurs finaux a poussé ceux-ci à se tourner vers leurs MOA pour en demander l’intégration au portail. Un effet boule de neige poussé par la base. Et mesurable : un sondage, en 2013, auprès de 1600 utilisateurs finaux a montré leur satisfaction face à l’unification des mots de passe et à la simplification apportée par le SSO.
Et Matthieu Lamothe de relever que le projet a en outre « contribué au décloisonnement du groupe en fournissant des services d’annuaire notamment accessibles aux filiales via le portail et l’extranet ».
De nouvelles perspectives
S’il reste encore quelques annuaires historiques à interfacer, la fédération des identités en cours de mise en place et la consolidation de la gestion des accès ouvrent de nouvelles perspectives, avec notamment une réflexion sur les accès mobiles ou encore l’extension du projet à l’ensemble des postiers et même l’ouverture des services Web à des personnels ayant quitté le groupe, « en particulier pour les applications liées à la retraite ».
Et en matière de sécurité, des gains supplémentaires sont à attendre : l’analyse des logs est prévue pour 2015.