Harmoniser et tracer les accès Web : un enjeu clé pour le Groupe La Poste

SA à capitaux 100 % publics depuis le 1er mars 2010, le Groupe La Poste est structurée autour de cinq branches : Services-Courrier-Colis, La Banque Postale, Réseau La Poste, GeoPost, Numérique. Présente dans plus de 40 pays sur 4 continents elle emploie plus de 266 000 collaborateurs.

En 2009, la DSI Centrale constate qu’il existe au sein du Groupe un grand nombre d’annuaires parmi des DSI des branches et dans les directions transverses. Les applications transverses ont été déployées au fil du temps, la plupart reposant sur leur propre référentiel d’authentification. Cette architecture implique une multitude de couples login/mot de passe pour les utilisateurs, des coûts de licences, d’exploitation et d’administration conséquents ainsi que des incohérences d’information entre chaque annuaire, pouvant entraîner des problèmes de sécurité sur le SI.

C’est à partir de ce constat que la DSI Centrale lance un projet de portail Web SSO pour centraliser et coordonner les accès de ses collaborateurs à leurs applications Groupe.

Une plateforme d’accès commune pour les applications Web transverses du Groupe La Poste

En proposant à ses collaborateurs un portail Web avec authentification unique, quelle que soit l’application Groupe utilisée, La Poste répond à plusieurs objectifs.

Cette plateforme qui repose sur un référentiel central d’identités et d’autorisations pour les différentes branches, a d’abord pour but de renforcer le niveau de sécurité et de simplifier l’application des politiques de sécurité au sein du groupe.

« Le projet était ambitieux. Son périmètre concernait les applications transverses et non spécifiques à une branche : il impactait donc l’ensemble des utilisateurs du Groupe », explique Matthieu Lamothe, responsable du projet à la DSI Centrale du Groupe La Poste. « La multitude d’annuaires et de processus de gestion des habilitations au sein du groupe rendait difficile la traçabilité des accès. Nous avions besoin d’une visibilité globale afin de nous assurer que les collaborateurs disposaient bien des permissions correspondant à leur profil métier, et ceci également dans les cas de mobilité interne (ex : personne changeant de branche). »

Outre un renforcement de la sécurité, La Poste offre à ses collaborateurs un confort non négligeable en simplifiant la gestion des mots de passe. Fini la saisie d’un login/mot de passe par application : l’utilisateur bénéficie d’une authentification unique (SSO) depuis le portail.

L’enjeu pour le Groupe est donc d’améliorer la sécurité en offrant à ses collaborateurs un service à forte valeur ajoutée, tout en réduisant les coûts et en simplifiant la gestion quotidienne pour la DSI.

Ilex International, le choix d’un spécialiste reconnu sur le marché de la gestion des accès et des identités

Après un appel d’offres européen, Le Groupe La Poste a confié la gestion de ses accès à Ilex International, éditeur français spécialiste de la gestion des identités et des accès depuis plus de 25 ans.

« Le choix Ilex nous est apparu comme une suite logique. Nous avions déjà collaboré avec l’éditeur pour la mise en place de l’annuaire groupe. L’expertise et la réactivité de ses équipes n’étaient plus à prouver » poursuit Matthieu Lamothe. « De plus, Ilex avait déjà travaillé sur des projets de cette dimension, ce qui était un atout considérable. »

Le portail WAG (Web Applications Groupe) est basé sur la technologie Sign&go qui offre un service d’authentification unique vers les applications Web transverses du groupe. Il permet aux collaborateurs des différentes branches de la Poste d’accéder de façon transparente aux applications autorisées pour leurs profils, qu’ils se connectent en interne ou depuis l’extérieur.

« Aujourd’hui, on compte 48 applications Web, regroupées par catégories, et en moyenne 1000 connexions/jour sur le portail WAG », souligne Matthieu Lamothe. « Afin d’offrir plus d’autonomie aux utilisateurs, le portail dispose d’un module de self-service qui leur permet de réinitialiser leur mot de passe simplement, sans passer par le support. Un gain de temps considérable pour l’utilisateur comme pour nous ! »

Un retour sur investissement très positif

La solution a largement séduit les collaborateurs et a également convaincu la DSI Centrale en optimisant la sécurisation des accès. Le retour sur investissement du projet est bien réel : la rationalisation des annuaires a considérablement réduit les coûts de licences, d’exploitation, d’administration et d’hébergement. Les gains directement liés au traitement de problèmes de mots de passe par le support sont estimés entre 150k€ et 200k€ par an.
Les politiques de sécurité appliquées sont dorénavant homogènes. La gestion des habilitations est maîtrisée et centralisée : le Groupe La Poste est ainsi en conformité avec les réglementations et les risques opérationnels sont limités.

Par ailleurs, la solution garantit la traçabilité des accès des collaborateurs du Groupe et permet de répondre de façon instantanée au besoin d’audit.

« Mots de passe applicatifs renforcés, politiques de sécurité cohérentes, traçabilité et audit précis, tout est là ! » conclut Matthieu Lamothe.

Enjeux
Renforcer le niveau de sécurité
Simplifier la gestion des mots de passe pour l’utilisateur
Rationaliser les processus de gestion des habilitations au sein du groupe
Faciliter la traçabilité des accès

La solution : Sign&go
Solution d’authentification forte, contrôle d’accès, global SSO (Web SSO et eSSO) et de fédération d’identités

Les bénéfices
Augmentation du niveau de sécurité
Garantie de la traçabilité des accès
Harmonisation de la gestion des accès et des droits applicatifs
Réduction des coûts d’administration
Simplification et confort utilisateurs