L’expression « pris entre le marteau et l’enclume » vient à l’esprit pour décrire deux défis auxquels le bureau du DSI d’IBM était confronté. Tout d’abord, imaginez que vous deviez fournir des services d’authentification d’identité et d’accès à plus d’un demi-million d’employés d’IBM dans le monde entier, avec une plateforme hautement personnalisée, à locataire unique et sur site. Dans le même temps, elle devait fournir des services d’identité et d’accès similaires à plus de 26 millions de clients IBM dans le monde avec une solution IDaaS (Identity as a Service) de première génération, distincte et obsolète.
Vous commencez peut-être à comprendre ce à quoi le bureau du DSI d’IBM était confronté : deux plateformes distinctes de gestion des identités et des accès (IAM) offrant des technologies différentes et des niveaux de maturité, de fiabilité et de fonctionnalité différents.
L’ampleur du défi peut être difficile à imaginer. L’équipe Assured Identity and Cybersecurity Operations d’IBM a pris en charge 5 000 applications, plus de 600 entreprises clientes fédérées et leurs personnels, et plus de 150 000 groupes d’autorisation. Au cours d’un trimestre de 2021, les services d’authentification d’IBM ont pris en charge 35,7 millions de connexions.
Et dans l’environnement concurrentiel d’aujourd’hui, les règles du jeu sont en constante évolution. Comme le souligne Daniel Opoku-Frempong, directeur de l’équipe Assured Identity and Cybersecurity Operations, « l’organisation du DSI IBM fournit des services d’identité essentiels à l’ensemble du personnel d’IBM, à des millions de clients et, désormais, à Kyndryl ».
La transformation des services d’authentification d’IBM nécessiterait une modernisation et une consolidation importantes de l’infrastructure afin d’assurer efficacement la fiabilité et la sécurité à grande échelle. D. Opoku-Furgong décrit la difficulté : « Nous devions orchestrer un changement fondamental dans la manière dont nous capturions, engagions, gérions et administrions l’identité et l’accès des utilisateurs à travers nos millions d’utilisateurs dans le monde. Nous ne pouvions plus justifier le faible retour sur investissement et la lenteur de la mise sur le marché qui hantaient chaque workflow touché par les anciennes solutions. »
Évolutivité améliorée
Évolutivité à plus de 27 millions d’identités internes et externes
Capacités améliorées
Fournir des fonctionnalités QR ou FIDO2 sans mot de passe pour plus de 800 000 authentifications depuis la migration
Ed Klenotiz, architecte de l’identité assurée, et ses collègues ont ouvert le bal. « Nous avons réalisé une analyse concurrentielle des principaux fournisseurs pour proposer des services d’identité entre entreprises et employés et entre entreprises, déclare-t-il. L’utilisation d’une plateforme d’authentification standard basée sur le cloud serait une première étape essentielle de modernisation des services d’identité pour les employés d’IBM et nos clients, à l’échelle. »
Et tout comme IBM le recommanderait à ses propres clients, l’équipe Assured Identity and Cybersecurity Operations a recueilli toutes leurs exigences en matière d’identité et d’accès et a comparé plusieurs solutions du marché.
Après avoir recueilli les exigences et examiné toutes les options, l’équipe Assured Identity and Cybersecurity Operations a choisi IBM Security™ Verify (SaaS) pour ses millions d’utilisateurs internes et externes. La première raison ? En tête de liste, les API ont permis une migration transparente des applications. Et la deuxième ? Elle pourra personnaliser l’interface utilisateur pour répondre à ses besoins exacts sans épuiser leurs ressources de développement.
En adoptant IBM Security Verify comme plateforme de services IAM cloud standard pour toutes les identités B2E et B2B, IBM serait prêt à déployer des capacités d’identité plus modernes avec une sécurité, une évolutivité et une expérience utilisateur améliorées.
« Grâce à la nouvelle solution, nous avons pu élargir le choix des utilisateurs internes en matière d’authentification », explique M. Opoku-Frempong. « L’authentification à deux facteurs (2FA) protège de manière significative contre la compromission des mots de passe, mais elle est souvent fastidieuse pour les utilisateurs. Nous avons donc mis en place des fonctionnalités adaptatives de 2FA qui se sont appuyées sur l’analyse en arrière-plan pour déterminer quand et où il faut demander une authentification supplémentaire. Le passage aux fonctionnalités 2FA d’IBM Security Verify a permis aux utilisateurs d’IBM de bénéficier d’un plus grand choix d’options d’authentification sans mot de passe, telles que le code QR et FIDO2 pour TouchID et Windows Hello. C’était déjà un changement radical en soi. »
Mais ce n’était pas la seule pression. Historiquement, l’équipe DSI d’IBM a investi dans le développement de son annuaire d’entreprise afin de se conformer aux International Traffic in ARM Regulations (ITAR), un régime réglementaire américain visant à restreindre et à contrôler l’exportation de technologies de défense et de technologies liées au secteur militaire. Il était hors de question de supprimer et de remplacer l’ancienne solution IAM dans le monde entier en une seule fois. Les ingénieurs d’IBM Security Verify avaient anticipé cette exigence. Le Security Verify Bridge associé au Bridge for Directory Sync a permis à l’équipe DSI d’IBM d’appliquer son investissement existant et les processus associés. De plus, cela leur a permis d’élaborer un plan de migration soigneusement échelonné, avec un impact minimal.
Opoku-Frempong poursuit : « D’autres fonctionnalités de migration ont facilité la transition. La bibliothèque d’API améliorée d’IBM Security Verif a permis la migration d’applications en libre-service par nos propriétaires d’applications, réduisant ainsi l’impact sur d’autres workloads. De plus, la couche de contrôle renforcée autour de l’accès privilégié aux API nous permet de mieux contrôler la sécurité de l’environnement, ce qui réduit davantage les vecteurs d’attaque. C’est un avantage indéniable pour nous. »
Opoku-Frempong et son équipe avaient de nombreuses raisons de se réjouir. En adoptant IBM Security Verify, l’entreprise a pu améliorer l’expérience utilisateur tout en renforçant la sécurité de ces mêmes utilisateurs et du réseau, des données et des applications de l’entreprise, à grande échelle. Lee Ann Rodgers, responsable du programme IBMid, l’explique ainsi : « Les fonctionnalités d’IBM Security Verify nous ont permis de fournir à nos clients des fonctionnalités extensibles pour une sécurité renforcée avec des méthodes MFA flexibles, une gestion améliorée de la gestion des mots de passe, une gestion du cycle de vie des identifiants utilisateur et des soins personnels, une gestion des applications, une notification flexible des modifications aux utilisateurs et un service de notification d’événements. »
En outre, il existe aujourd’hui une vision pour l’avenir, une promesse de valeur accrue. Au fur et à mesure que se poursuit la démarche d’IBM en matière d’authentification de l’identité et de l’accès, le personnel et les clients d’IBM peuvent s’attendre à davantage d’avantages :
- Expérience utilisateur transformée sans mot de passe
- Protection renforcée pour les utilisateurs privilégiés dans les environnements multicloud
- Méthodes d’authentification multifacteur (MFA) flexibles, gestion améliorée des mots de passe et gestion du cycle de vie des ID utilisateur
- Intégration avec les appareils et les solutions de gestion des appareils mobiles pour prendre en charge la stratégie Zero Trust d’IBM
- Architecture de microservices IBM Security Verify pour une tolérance aux pannes et une évolutivité améliorées de la solution
- Plans multi-sites pour une fiabilité accrue
- Concentration continue sur l’expérience utilisateur et de marque avec un engagement renforcé en matière de sécurité et de confidentialité
Gary Schmader, directeur principal d’Assured Identity, résume la situation : « Nous nous appuyons sur notre propre solution disponible dans le commerce pour répondre à un besoin essentiel à la mission à grande échelle. Avec IBM Security Verify, toute personne qui interagit avec IBM peut désormais bénéficier d’un accès fluide, sécurisé et de pointe aux ressources d’information… et ce n’est que le début. »
IBM est le leader mondial du cloud hybride et de l’IA, au service de clients dans plus de 170 pays. Plus de 3 500 clients utilisent notre plateforme cloud hybride pour accélérer leur transformation numérique et, au total, plus de 30 000 d’entre eux se sont tournés vers IBM pour tirer le meilleur parti de leurs données. Cette liste de clients comprend neuf des dix plus grandes banques du monde. Sur cette base, nous continuons à tirer parti de Red Hat OpenShift en tant que plateforme leader pour répondre aux besoins commerciaux de nos clients : une plateforme cloud hybride ouverte, flexible et sécurisée. Guidée par des principes de confiance, de transparence et de soutien à une société plus inclusive, IBM s’engage également à gérer la technologie de manière responsable et à apporter le bien dans le monde.
Notes de bas de page
© Copyright IBM Corporation 2022. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Produit aux États-Unis, janvier 2022.
IBM, le logo IBM, ibm.com et IBM Security sont des marques commerciales d'International Business Machines Corp., déposées dans de nombreux pays.Les autres noms de produits et de services peuvent être des marques d’IBM ou d’autres sociétés. La liste actualisée de toutes les marques d’IBM est disponible sur la page Web « Copyright and trademark information » à l’adresse suivante : http://www.ibm.com/fr-fr/legal/copytrade.
Red Hat et OpenShift sont des marques ou des marques déposées de Red Hat, Inc. ou de ses filiales aux États-Unis et dans d’autres pays.
Les informations contenues dans le présent document étaient à jour à la date de sa publication initiale. Elles peuvent être modifiées sans préavis par IBM. Les offres mentionnées dans le présent document ne sont pas toutes disponibles dans tous les pays où la société IBM est présente.
Les données de performance et les exemples de clients cités sont présentés à titre informatif uniquement. Les résultats des performances peuvent varier en fonction des configurations et des conditions de fonctionnement. LES INFORMATIONS CONTENUES DANS LE PRÉSENT DOCUMENT SONT FOURNIES « EN L’ÉTAT », SANS AUCUNE GARANTIE EXPLICITE OU IMPLICITE, NOTAMMENT SANS AUCUNE GARANTIE DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER ET AUCUNE GARANTIE OU CONDITION D’ABSENCE DE CONTREFAÇON. Les produits IBM sont garantis conformément aux dispositions des contrats qui régissent leur utilisation.
Déclaration de bonnes pratiques de sécurité : la sécurité des systèmes informatiques consiste à protéger les systèmes et les informations par la prévention, la détection et la réponse aux accès inappropriés, qu’ils proviennent de l’intérieur ou de l’extérieur de votre entreprise. Tout accès non autorisé peut conduire à la modification, à la destruction, au détournement ou à l’utilisation abusive d’informations, mais aussi à l’endommagement ou à l’utilisation abusive de vos systèmes, notamment pour attaquer d’autres personnes. Aucun système ou produit informatique ne doit être considéré comme entièrement sécurisé, et aucun produit ou mesure de sécurité ne peut être totalement efficace pour empêcher les accès ou l’utilisation non autorisés. Les systèmes, produits et services d’IBM sont conçus pour fonctionner dans le cadre d’une stratégie de sécurité globale et conforme à la loi qui implique nécessairement des procédures opérationnelles supplémentaires, et peuvent avoir besoin d’autres systèmes, produits ou services pour optimiser leur efficacité. IBM NE GARANTIT PAS QUE LES SYSTÈMES, LES PRODUITS ET LES SERVICES SONT PROTÉGÉS CONTRE LES AGISSEMENTS MALVEILLANTS OU ILLÉGAUX D’UN TIERS OU QU’ILS PROTÉGERONT VOTRE ENTREPRISE CONTRE DE TELS AGISSEMENTS.