Currys réduit son profil de risque et automatise la sécurité des identités avec SailPoint

Les technologies de la vente au détail évoluent rapidement, tout comme Currys. Le détaillant londonien de produits électroniques et de services propose tout, des machines à laver aux ordinateurs portables, en passant par les téléphones et les services de téléphonie, dans plus de 800 magasins répartis dans huit pays.

Les associés de Currys, qui aident les consommateurs à prendre des décisions éclairées et à faire des choix judicieux parmi un large éventail d'options technologiques, constituent un élément essentiel de l'activité de l'entreprise. Leur objectif est de guider les clients vers les bonnes technologies, à des prix abordables, afin qu'ils puissent en profiter. Pour aider les clients et faire le meilleur travail possible, les employés de Currys doivent avoir accès à divers systèmes et applications.

Mais gérer cet accès et s'assurer que les employés n'ont accès qu'à ce dont ils ont besoin, et non à des ressources dont ils n'ont pas besoin, peut s'avérer complexe et chronophage. Currys savait qu'elle avait besoin d'une gestion efficace et efficiente des identités et des accès pour ses plus de 28 000 employés.

« Ce qui a motivé notre besoin de sécurité des identités, c'est la nécessité de veiller à ce que les bonnes personnes aient accès aux bons systèmes au bon moment, tout en garantissant fondamentalement la sécurité de nos données et de nos systèmes », a déclaré Nicholas Rossiter, responsable des risques technologiques chez Currys. « En tant qu'entreprise, il est impossible de sécuriser les données si l'on ne sait pas exactement à quoi les gens ont accès ».

Le défi de la sécurisation et de l'audit des accès sans outil

Comme Currys est un grand détaillant qui possède des centaines de magasins, le nombre de ses employés augmente et diminue en fonction des ajustements saisonniers. Ces changements obligent l'entreprise à ajouter, supprimer et modifier l'accès de ces employés en fonction de leur statut et de leur rôle. Pour Currys, il s'agissait d'un processus manuel qui prenait beaucoup de temps.

« Notre plus grand défi était le processus de provisionnement, de déprovisionnement et de gestion des migrations. Tout cela était très manuel et basé sur des fichiers Excel », explique M. Rossiter. « C'était un processus lent et compliqué, et nous ne réussissions pas toujours du premier coup ».

L'équipe de Currys créait manuellement de nouveaux comptes sur la base d'un rapport quotidien provenant de son système de ressources humaines, de sorte que le temps de réponse était d'au moins une journée. Pour compliquer les choses, une fois qu'un nouvel employé était ajouté, plusieurs équipes devaient être contactées pour ajouter l'accès aux différents systèmes nécessaires, ce qui ajoutait de la complexité et augmentait le risque de problèmes.

Il n'existait pas non plus de bon modèle pour la création de nouveaux comptes d'utilisateurs. Les administrateurs dupliquaient souvent un compte existant dans le même département, risquant ainsi de surprovisionner les nouveaux utilisateurs. De plus, le processus manuel d'ajout, de modification ou de suppression d'accès rendait difficile la production de rapports d'audit complets sur les changements d'accès.

Dernier point, mais non des moindres, étant donné les processus compartimentés et manuels, l'organisation ne disposait pas d'un moyen efficace pour calculer pleinement le risque d'accès ou pour effectuer une analyse efficace du risque d'accès.

Résoudre les problèmes de gouvernance des identités avec SailPoint

Après avoir entrepris un processus d'appel d'offres pour évaluer les options possibles, Currys a choisi SailPoint pour résoudre ses défis en matière de sécurité d'accès et d'identité. Currys a déployé SailPoint Access Risk Management pour fournir une analyse efficace et efficiente des risques liés aux accès et donner à l'entreprise une visibilité granulaire et une conformité améliorée.

« L'outil de gestion des risques liés aux accès de SailPoint fait tout ce dont nous avons besoin » déclare M. Rossiter. « Il est fourni avec un livre de règles et se connecte facilement aux systèmes SAP S4 et ECC. Il nous a permis de remporter des victoires rapides et faciles ».

Les capacités d'intégration du produit ont été une considération essentielle pour Currys lors de la sélection de SailPoint. Currys a utilisé les intégrations de SailPoint pour se connecter à SAP ECC et S4 sans heurts. « Les connecteurs et les intégrations de SailPoint ont bien fonctionné pour nous », indique M. Rossiter. « Ils ont été l'un des facteurs de réussite de notre déploiement. Nous avons même utilisé des appels API pour automatiser les intégrations avec certains de nos anciens systèmes, et cela a très bien fonctionné ».

En plus d'utiliser les capacités de provisionnement de SailPoint, Currys exploite également les fonctionnalités de séparation des tâches et de certification d'accès de SailPoint.

Les avantages commerciaux de la gestion automatisée des accès

Un avantage significatif de la solution SailPoint est que l'accès des utilisateurs peut être accordé instantanément, contrairement à la solution manuelle précédente qui ne permettait pas toujours aux employés d'obtenir l'accès à temps.

« SailPoint nous a aidés à réduire le temps nécessaire au provisionnement, au déprovisionnement et aux changements. Maintenant, nous pouvons le faire en quelques minutes sans erreurs », déclare M. Rossiter. « SailPoint a vraiment aidé à éliminer tous les changements manuels de gestion des accès que nous devions faire auparavant. Maintenant, avec SailPoint, c'est un processus fluide qui est intégré à nos autres systèmes ».

Un autre impact positif du déploiement de SailPoint pour Currys a été l'exhaustivité de ses rapports d'audit. Les rapports d'audit sont désormais disponibles presque immédiatement et à partir d'une seule source, au lieu de devoir être rassemblés à partir de plusieurs outils et platesformes disparates.

« En intégrant IdentityNow à ServiceNow, chaque provisionnement, déprovisionnement ou changement est suivi dans une piste d'audit et nous pouvons valider le flux complet. Cela nous a beaucoup aidés » indique M. Rossiter. « Tout est désormais au même endroit. »

Dans l'ensemble, la solution automatisée a également permis de gagner du temps. M. Rossiter estime que l'entreprise économise 210 heures de travail manuel par an, et ce sur la base des résultats de quatre applications seulement.

La réduction des risques a également été un autre avantage important du déploiement de SailPoint. Grâce à la solution, Currys a pu réduire considérablement les autorisations non exécutées de ses utilisateurs. Son équipe d'assistance financière a vu le déploiement de SailPoint comme un important bénéfice, car elle dispose désormais d'un outil qui lui donne une vue complète des privilèges d'accès de chacun et de ce qu'ils font et exécutent.

« Avec SailPoint, nous avons progressé très rapidement en supprimant l'accès excessif que certains de nos utilisateurs avaient », déclare M. Rossiter. « En peu de temps, nous avons réduit les risques non exécutés de plus de 78 %. C'est un avantage considérable ».

Une autre façon pour Currys d'éliminer les risques d'accès consiste à demander à SailPoint de lancer automatiquement une campagne de recertification chaque fois qu'un utilisateur migre ou que son accès de base est modifié. Le nouveau responsable peut approuver ou ajuster l'accès historique de l'utilisateur en fonction des besoins, tandis que le système propose des modèles d'accès pour différents rôles.

Les modèles basés sur les rôles peuvent également être utilisés pour les nouveaux employés et ont permis de réduire l'ancien surprovisionnement d'accès qui consistait simplement à dupliquer les comptes existants pour les nouveaux utilisateurs.

« Le fait de pouvoir sélectionner des rôles spécifiques dans un modèle d'accès basé sur les rôles est très important pour nous du point de vue de la conformité et de l'audit », déclare M. Rossiter. « Le fait de pouvoir regrouper les accès en fonction des rôles et de les automatiser de manière à ce que cela prenne quelques minutes plutôt que de demander à un administrateur d'ajouter manuellement tout le monde est très important ».

Les responsables gagnent également du temps, puisqu'ils peuvent sélectionner les rôles de leurs employés et que l'accès est accordé en quelques minutes, alors que les processus manuels prenaient auparavant un ou deux jours.

Un avenir prometteur pour l'automatisation de la gestion des identités

Bien que le déploiement de SailPoint ait déjà eu un impact significatif sur la réduction des risques et l'efficacité de Currys, l'entreprise ne s'arrête pas là. Jusqu'à présent, Currys s'est concentrée sur l'utilisation de SailPoint avec ses systèmes SAP au Royaume-Uni, intégrant plus de cinquante systèmes, y compris Microsoft Active Directory, ServiceNow et SAP SuccessFactors. Ses plans pour SailPoint comprennent le déploiement de la solution à d'autres systèmes et sites.