En tant que société de services centrale du groupe Friedhelm Loh, Loh Services GmbH, fondée en 2000, accompagne, conseille et soutient les 95 filiales du groupe sur un large éventail de fonctions transverses. Son portefeuille couvre les missions administratives classiques telles que le contrôle de gestion, la comptabilité, les ressources humaines, ainsi que la gestion des infrastructures IT. Un pilier stratégique de son activité concerne la gestion des identités et des droits d’accès des 12 100 collaborateurs du groupe, un domaine récemment structuré sur des bases solides et durables dans le cadre d’un ambitieux projet Greenfield mené avec le soutien d’iC Consult.
Defi
« Il y a encore quelques années, la gestion des identités et des droits d’accès des collaborateurs était entièrement manuelle », explique Martin Jonek, Head of Collaboration & Identity Services chez Loh Services. « Mais avec la croissance continue de nos effectifs et la digitalisation croissante des processus métiers, le temps nécessaire à cette gestion a rapidement explosé. »
« Deux éléments ont fini par déclencher notre recherche d’une solution IAM moderne et largement automatisée, à partir de mi‑2021 : d’un point de vue stratégique, l’arrivée d’un audit dans le cadre d’une nouvelle certification ; d’un point de vue opérationnel, la gestion des processus de type Joiner, Mover et Leaver (JML), qui accaparait de plus en plus de ressources au quotidien. »
Une solution IGA centralisée pour remplacer la gestion manuelle
L’objectif du projet était de centraliser la gestion des identités des collaborateurs à l’échelle de tout le groupe. À terme, l’ensemble du paysage applicatif devait être intégré dans le système IAM. Dès la première phase, la priorité a été donnée à la migration des environnements SAP et Microsoft 365 critiques pour le métier, ainsi qu’à l’intégration des environnements Citrix et VPN, afin de garantir un accès à distance sécurisé pour les collaborateurs.
L’audit imposait également d’autres exigences : notamment, la restructuration de la gestion des comptes administrateurs, de service et de test, la migration des comptes externes existants vers l’environnement OneIM, et leur intégration aux processus JML.
« Notre équipe interne étant déjà fortement mobilisée sur d’autres projets, nous avons rapidement décidé de faire appel à un partenaire externe pour l’intégration », explique Martin Jonek. « Vu l’ampleur et la complexité du projet, c’était clairement la bonne décision. Nous avons choisi iC Consult, qui nous a accompagnés de la phase de conception jusqu’au passage en production, en assurant toute la mise en œuvre. Cette collaboration s’est révélée être une véritable chance : dès le premier jour, nos équipes se sont parfaitement complétées, et nous avons tiré de nombreux enseignements précieux pour faire évoluer notre architecture. »
Analyse du cycle de vie des identités au sein de l’organisation
Comme souvent dans ce type de projet, la première phase a été entièrement consacrée à la collecte et à l’analyse des données. Les experts d’iC Consult ont examiné et documenté les processus de cycle de vie de l’organisation, en recueillant les exigences détaillées de l’équipe interne pour le futur système de gestion des identités.
Sur la base de ces éléments, les processus Joiner, Mover et Leaver (JML) ont été redéfinis pour l’ensemble du groupe via une approche itérative qui s’est étalée sur plusieurs mois.
Mario Zschaler, chef de projet chez iC Consult, explique :
« Dans un projet Greenfield de cette envergure, la définition de processus robustes dès le départ est tout aussi cruciale que le choix de la bonne technologie. Des workflows efficaces et automatisés allègent considérablement la charge de l’équipe interne tout en améliorant fortement l’expérience utilisateur, ce qui est essentiel à la réussite du projet. Par ailleurs, ces processus sont étroitement liés à la sécurité et à la conformité, par exemple, en garantissant que des politiques strictes empêchent toute élévation accidentelle de privilèges lors de changements de poste. »
Une plateforme cloud-native signée One Identity
Pour fonder le nouvel environnement IAM sur des bases solides, iC Consult a déployé One Identity Manager, une plateforme moderne basée sur Microsoft Azure Cloud, qui regroupe dans une solution unifiée la gouvernance des identités (IGA), la gestion des accès, la gestion des accès à privilèges (PAM) et l’administration d’Active Directory.
« L’approche tout-en-un de One Identity a été un facteur décisif pour nous, car elle nous a permis d’éviter de multiplier les solutions cloisonnées », explique Martin Jonek.
« En tant que solution cloud-native, la plateforme peut être facilement adaptée à nos besoins spécifiques, notamment grâce à l’accompagnement expert d’iC Consult, qui nous a guidés dans le développement et la personnalisation des intégrations nécessaires. »
Déploiement de l’environnement avec Terraform
Pour garantir un déploiement fluide, iC Consult a d’abord intégré One Identity Manager dans un environnement de test isolé, conçu à l’aide de Terraform. Cette configuration incluait un réseau dédié, un serveur, une base de données et des ressources de répartition de charge, permettant aux développeurs, responsables qualité et chefs de projet d’ajuster et de tester en continu l’environnement sans impacter les opérations quotidiennes.
Intégration et migration
La première priorité a été de fournir les interfaces nécessaires à l’intégration dans le paysage applicatif, notamment via des connecteurs pour les domaines Active Directory, les serveurs Exchange hybrides, Azure AD et SAP. Ces connecteurs ont été soit développés spécifiquement, soit adaptés à partir de modèles existants.
Dans un second temps, les applications ont été intégrées et les données d’identité existantes migrées vers One Identity Manager, le tout dans l’environnement de développement. Cette phase s’est accompagnée de nombreux tests pour garantir un fonctionnement optimal et une expérience utilisateur de qualité lors du déploiement plus large.
Développement du front-end web avec Angular
Durant cette phase, l’équipe a également lancé un sous-projet important : iC Consult a développé une nouvelle interface web dans le portail Angular de OneIM afin de simplifier et d’accélérer la création de nouveaux comptes pour les collaborateurs externes. Grâce au single sign-on, les utilisateurs accèdent automatiquement au nouveau portail IAM. Les nouveaux arrivants se voient automatiquement attribuer les droits de base, tels que l’accès à Microsoft 365 et SAP, et peuvent demander d’autres services directement via l’interface web.
« Avec la migration des données et le déploiement du front-end, nous avions posé les bases d’un lancement réussi de la solution One Identity d’ici fin 2023 », déclare Martin Jonek.
« À ce moment-là, toutes les identités et tous les rôles de l’équipe IT avaient été migrés vers la nouvelle plateforme, ce qui nous a permis de tester en profondeur ses fonctionnalités et son ergonomie. »
Une dernière étape restait à franchir avant le lancement : s’assurer que les administrateurs, les équipes hotline et les utilisateurs finaux puissent utiliser la solution aisément dès le premier jour. Pour cela, l’équipe projet a organisé plusieurs sessions de formation afin de familiariser les collaborateurs avec la plateforme.
Le pari s’est avéré gagnant : One Identity Manager a été rapidement adopté dans toutes les régions et au sein de l’ensemble du groupe, comme alternative moderne et efficace à la gestion manuelle des droits.
Perspectives : le soulagement grâce aux services managés
Le passage en production n’a pas marqué la fin de la collaboration fructueuse entre Loh Services et iC Consult. Les deux partenaires continuent d’enrichir ensemble la solution d’identité, notamment en consolidant progressivement les annuaires Active Directory et en intégrant de nouvelles applications dans la solution IGA.
Plus encore, Loh Services a fait le choix de confier désormais l’exploitation et la maintenance de la plateforme One Identity à iC Consult.
Martin Jonek explique :
« Compte tenu de la complexité croissante de notre écosystème technologique et du contexte de menaces toujours plus dynamique, la gestion de notre infrastructure IT consomme déjà énormément de ressources. Toute aide au quotidien est donc la bienvenue.
Nous avons donc décidé d’externaliser l’exploitation à iC Consult sous un modèle de services managés. Leurs experts connaissent la solution aussi bien que nous, nous ne pouvions espérer meilleur partenaire. »
