Abeille Assurances fait confiance aux solutions SailPoint pour accélérer l’internalisation de ses activités de cybersécurité

Intégration de la solution de gestion des identités en un temps record

En 2021, suite à son rachat, la compagnie d’assurance Abeille Assurances a dû internaliser la totalité des activités de cybersécurité en un temps record. Désormais une marque du Groupe Aéma, fin 2022, l’équipe informatique de l’entreprise souhaitait simplifier leur SI pour améliorer l’expérience des utilisateurs, mais surtout arrêter d’utiliser à la fois des fichiers Excel et un outil « maison » pour gérer les recertifications. Elle souhaitait aussi mettre en place l’automatisation des entrées et sorties des collaborateurs. Le challenge à relever était de taille, car non seulement le temps imparti pour effectuer la transition était très court, mais les habitudes de personnalisation des solutions étaient bien ancrées chez les utilisateurs.

« Concernant les challenges, non seulement il fallait faire cette migration rapidement, mais il fallait aussi convaincre sur le fait qu’une solution SaaS était la bonne option pour Abeille Assurances. Il s’agit tout de même d’une solution de cybersécurité. Heureusement, le secteur de l’assurance est en train de se transformer. Notamment au niveau de la règlementation avec NIS 2 et Dora qui exigent de mettre les moyens en termes de cybersécurité », raconte Geoffroy Andrieu, Responsable IAM chez Abeille Assurances.

Le choix d’Abeille Assurances s’est porté sur la mise en place d’une solution SaaS leur permettant une transition rapide vers l’utilisation d’outils plus standardisés, quitte à faire des concessions sur quelques fonctionnalités. Défi relevé grâce à la solution SailPoint dont le déploiement a été effectué en moins d’un an.

« Avant, nous avions un peu tendance à traiter le spécifique avant la généralité. En choisissant une solution SaaS, cela nous a permis d’avoir une démarche un peu plus terre-à-terre pour simplifier la gestion des identités. C’est à mon avis un atout majeur de la solution SailPoint, le produit nous oblige à faire des choses plus simples et cela nous facilite la vie », explique Alexandre Mazars, responsable IAG SI chez Abeille Assurances.

Adoption massive de la solution par les utilisateurs dès le démarrage

Les outils utilisés auparavant étaient certes très personnalisés, toutefois ils étaient très contraignants pour les managers en plus de ne pas être ergonomiques. L’équipe SSI a dû faire face à quelques remarques négatives de la part des plus réticents, toutefois, elle considère que c’est une réussite compte tenu du challenge car les attitudes ont vite changé une fois que les bénéfices ont été compris.

« La solution à tout de suite démontré la plus-value qu’elle pouvait apporter aux utilisateurs », se souvient Geoffroy Andrieu. À titre d’exemple, les managers en charge de valider les recertifications devaient le faire à la date anniversaire des demandes pour chacun des membres de leurs équipes. Dans les faits, la recertification était donc un sujet qu’ils devaient gérer tout au long de l’année en fonction des dates d’arrivée de leurs collaborateurs. La mise en place de la solution SailPoint a permis de condenser toutes les recertifications sur un mois et de les planifier en amont. Ainsi, les managers peuvent s’organiser et prévoir le temps nécessaire à leur réalisation.

Dès le démarrage du projet, les utilisateurs ont donc reconnu les bénéfices de la solution pour simplifier leurs tâches. Parmi les fonctionnalités les mieux accueillies, il y a notamment la mise en place d’une interface unique pour effectuer les demandes et attributions de droits désormais plus facilement compréhensibles, la possibilité de mettre en place des délégations de validation et l’intégration des fiches descriptives des rôles métiers.

La rapidité d’attribution des habilitations est également un point saillant dans la mise en place de SailPoint Identity Security Cloud : « Avant d’utiliser la solution SailPoint, il fallait compter cinq à dix jours entre le moment de la demande de création de l’identité et le moment où le collaborateur pouvait effectivement commencer à travailler. Désormais, le délai est d’un à deux jours, car certaines demandes restent manuelles et d’autres ont été automatisées. » explique Geoffroy Andrieu.
Une fois que les accès aux applications sont validés, la personne concernée reçoit une notification incluant le lien vers l’application et la documentation afférente.

Autant de bénéfices qui facilitent la vie des utilisateurs sans rogner sur la sécurité et la traçabilité. En effet, l’ensemble des actions réalisées sont traçables et il est impossible de valider sa propre demande.

Une meilleure gestion de la mobilité interne

Toujours sur le sujet des recertifications, en cas de mobilité interne incluant un changement de manager et d’équipe en même temps, l’équipe SSI a décidé d’utiliser le module de Workflows pour rajouter des fonctionnalités manquantes à date. Une micro-recertification est désormais déclenchée automatiquement afin que le nouveau manager réalise la revue des accès du collaborateur.

Le manager ne connaissant pas nécessairement les habilitations de son nouveau collaborateur peut transférer la demande de recertification à l’ancien manager plus au fait sur le sujet.

« Pour certains managers qui occupent des postes de directeur ou de VP, nous avons aussi fait en sorte que les notifications de demande de recertifications de l’outil (en cas d’arrivée des collaborateurs, de recertifications…) soient aussi adressées à leurs backups », précise Alexandre Mazars, responsable IAG chez Abeille Assurances. Dans ce cas de figure, le module Workflows utilise les données d’identité (RH) de Workday afin d’identifier les contacts associés aux différents directeurs et de les inclure dans le processus de notification.

Mise en place de connecteurs pour accélérer le provisionnement des accès

Jusqu’à la mise en place de la solution SailPoint, une équipe support de quatre personnes était entièrement dédiée aux demandes d’habilitation. L’équipe est toujours en place, car certaines habilitations spécifiques doivent encore être attribuées manuellement. Toutefois, un seul connecteur AD (Active Directory), a permis d’économiser jusqu’à un équivalent temps plein et demi (ETP) sur une année.

À date dans toute l’organisation, près de 300 applications sont utilisées et 70 % d’entre elles sont déjà rattachées à l’Active Directory. Avec seulement un seul connecteur, il a été possible de toucher 70 % du parc applicatif. 60 applications ont d’ailleurs déjà entièrement été déployées dans Identity Security Cloud, ce qui veut dire qu’elles sont demandables en self-service dans SailPoint, elles sont recertifiées et raccordées aux identités. Cela a été fait en l’espace d’un an.

Les bénéfices constatés après la mise en place des solutions SailPoint :

Facilité de demande

• Interface unique
• Tri réalisé par Application
• Droits plus facilement compréhensibles

Gestion des congés

• Possibilités de superviser l’ensemble des demandes en cours et de les forwarder pour le support (IAM)
• Possibilité de mettre en place des délégations de validation

Rapidité d’exécution

• Provisioning réalisé automatiquement en quelques secondes
• Faible taux d’erreurs (-2% des demandes, solutionnées en moins de moins de 24h)

Simplicité de déploiement

• Déploiement technique nul pour les applications reposant sur AD, AD LDS et Azure AD
• Catalogue de connecteurs SailPoint étendu pour couvrir l’ensemble des systèmes
• Développement de connecteurs API aisé

Sécurité & traçabilité

• Traçabilité de l’ensemble des actions réalisées
• Pas d’auto-validation possible

Le rôle métier : un chantier majeur en cours de développement

Si le chantier des recertifications a été prioritaire sur l’année passée, c’est désormais sur les rôles métiers que l’équipe SSI se concentre et cette fois encore, les solutions de SailPoint vont pouvoir l’accompagner. Toujours dans un objectif d’améliorer l’expérience utilisateur, l’équipe souhaite refondre la totalité des rôles métiers existants au sein de toute l’entreprise. En effet, si une moitié de l’entreprise s’appuie déjà sur des rôles métiers, pour l’autre moitié tout reste à faire.

Afin d’atteindre leur objectif, l’équipe s’appuie déjà sur les outils d’Intelligence Artificielle (IA) notamment le module Role Mining de SailPoint. Le module permet de remonter des indicateurs, des éléments de statistique sur les droits des utilisateurs : le nombre de rôles métiers dans l’entreprise, le contenu, le nombre de droits dans un rôle métier. Un travail qui va d’une part améliorer la qualité des données grâce notamment à l’aide des managers, et leur permettre par la suite d’utiliser également le module Access Recommandations. Et d’autre part, il permettra également plus d’automatisation dans l’ajout des rôles métiers afin que les nouveaux collaborateurs récupèrent les accès dont ils ont besoins sans avoir à les demander. L’utilisation de ce module se fait dans une optique d’amélioration de l’intégration des nouveaux employés et de l’expérience utilisateur.