Une multinationale pharmaceutique du classement Fortune 100 gère plus efficacement la conformité réglementaire en déployant une solution de gestion des identités basée dans le cloud.

Une multinationale pharmaceutique du classement Fortune 100 réalise globalement ses objectifs idéologiques en utilisant les avancées scientifiques pour sauver des vies et améliorer la condition humaine dans le monde entier. Pour maintenir un environnement sécurisé et conforme à la réglementation en vigueur, ils doivent faire preuve de la même diligence dans leurs systèmes et processus internes qui leur permettent d'élaborer des solutions de santé innovantes. Cela signifie des équipes disséminées aux quatre coins du globe peuvent collaborer en toute sécurité, tout en respectant la conformité réglementaire. En conséquence, la sécurité des identités numériques est devenue la pierre angulaire de leur politique de cybersécurité.

« La gestion des identités est devenue le cœur de notre système d'information », a déclaré le directeur de la gestion des identités et des accès. « La conformité est une préoccupation croissante pour notre entreprise, la FDA (agence américaine des produits alimentaires et médicamenteux) et d'autres organismes de réglementation exercent une surveillance permanente mais néanmoins légitime. Et lorsque leurs agents viennent inspecter nos installations, ils sont de plus en plus compétents sur le plan technique. Ils veulent savoir qui a fait quoi, quand et qui l'a approuvé, car tous ces éléments peuvent être auditables afin de vérifier que ces inspecteurs ont bien fait leur travail. »

Pour assurer la sécurité de ses identités, l'entreprise utilisait précédemment la solution Identity Manager de l'éditeur Oracle. Elle consacrait beaucoup de temps et de ressources à la maintenance de la solution sur site et ne pouvait pas la faire évoluer pour rajouter de nouvelles fonctionnalités et y intégrer de nouvelles applications, pourtant essentielles au développement de l'entreprise. De plus, elle était confrontée à une directive à l'échelle globale visant à adopter une stratégie privilégiant le cloud. Ceci a motivé la quête d'une nouvelle solution.

Le choix de l'entreprise s'est porté sur SailPoint IdentityNow comme solution de sécurité des identités pour gérer le cycle de vie et la conformité. La solution SailPoint répondait à ses exigences en matière de migration vers le cloud, elle présentait une feuille de route cohérente et pouvait permettre le lancement de projets zero-trust. De plus, il était fondamental pour l'entreprise que sa future solution de sécurité des identités lui permette d'atteindre un niveau élevé de qualité de ses produits et de sécurité pour ses patients.

« Maintenant que nous pouvons nous appuyer en toute confiance sur la solution Sailpoint, nous sommes beaucoup plus sereins pour mieux nous conformer à ce type d'exigences réglementaires et de requêtes », a confirmé le directeur de la gestion des identités et des accès.

Normaliser les processus et garantir l'exactitude

La multinationale pharmaceutique a mis en service la solution SailPoint en 2022, en se concentrant dans un premier temps sur le provisioning des comptes, les demandes d'accès et les certifications d'accès. Lorsqu'elle a envisagé d'investir dans une nouvelle solution de sécurité des identités, l'un des principaux domaines qu'elle souhaitait améliorer était l'efficacité opérationnelle globale de ses équipes de gestion des identités et des accès. « Auparavant, nous utilisions beaucoup de procédures manuelles », a déclaré le directeur de la gestion des identités et des accès. « En déployant la solution SailPoint, nous sommes parvenus à automatiser l'intégration des nouveaux utilisateurs et le provisioning des comptes connexes. Le résultat est sans appel, notre efficacité opérationnelle s'est considérablement améliorée. » La multinationale pharmaceutique a simplifié et normalisé ses processus d'intégration, d'évolution et de départ pour environ 195 000 identités dont 135 000 identités humaines (72 000 salariés à temps plein et 62 000 collaborateurs occasionnels) et 60 000 autres comptes génériques.

L'entreprise pharmaceutique utilise le module d'intégration ServiceDesk de l'éditeur ServiceNow pour traiter les demandes d'accès des utilisateurs afin de les aider pour les opérations de provisioning des comptes. L'une des exigences auxquelles sont confrontés les entreprises opérant dans l'industrie pharmaceutique est le processus de revalidation des applications conformes à la réglementation GxP. Avant d'approuver l'accès à une application GxP, il est nécessaire de saisir à nouveau les identifiants au moment de l'approbation. ServiceNow permet de réauthentifier un utilisateur, ce qui a été le facteur déterminant pour l'utilisation du module d'intégration.

Au prix d'un effort considérable, la société pharmaceutique est parvenue intégrer à SaillPoint toutes ses applications conformes à la loi SOX. Il y a eu récemment la parution d'un décret contraignant les entreprises à intégrer toutes les applications critiques, soit environ 500 applications répertoriées au total. L'entreprise a pu utiliser avec succès les différents types de connecteurs fournis par SailPoint et se connecter à plusieurs de leurs applications critiques, en particulier dans le domaine SOX. Son équipe d'audit interne s'est montrée enthousiaste quant à la simplification de ses processus de collecte de preuves et à la possibilité de travailler de manière plus cohérente. « Lorsqu'on évoque la conformité à la réglementation SOX, tout ce qui peut apporter une crédibilité supplémentaire au contrôle autour de ces plateformes s'avère très utile pour les audits internes et externes, dont les rapports remontent ensuite à notre conseil d'administration », a déclaré le directeur de la gestion des identités et des accès.

L'entreprise pharmaceutique s'est fortement concentrée sur la standardisation des processus et l'amélioration de ses opérations grâce à la précision et l'exactitude apportées par la solution SailPoint. La multinationale a standardisé les processus d'examen des accès dans des workflows automatisés et s'est assurée que toutes les données nécessaires sont capturées afin de mettre en oeuvre une gouvernance d'identité cohérente autour de toutes les identités. Cela a procuré une grande sérénité à l'équipe informatique chargée des applications lorsqu'elle a dû répondre à l'audit. « Le fait de pouvoir garantir l'exhaustivité et l'exactitude donne vraiment à nos auditeurs davantage de confiance dans le processus de reporting », a déclaré le directeur de la gestion des identités et des accès.

Avec une base solide de sécurité des identités mise en place avec IdentityNow de ServiceNow, la société pharmaceutique était désormais prête à se tourner vers des cas d'utilisation plus diversifiés et a étendu sa solution à la suite SailPoint Identity Security Cloud Business Plus. Ils ont commencé ce parcours avec SailPoint Identity Security Cloud en 2024 et sont ravis d'utiliser la suite pour répondre à la conformité SOX grâce à la séparation des tâches, ainsi qu'à la gestion des droits d'accès à l'infrastructure cloud (CIEM) pour étendre la sécurité des identités à l'infrastructure cloud et régir les droits d'accès au cloud.

Favoriser la transformation numérique et renforcer la sécurité au travers des identités

Alors que cette entreprise pharmaceutique se penche vers l'avenir, l'un de ses objectifs est de mettre en place une stratégie de confiance zéro.« Les identités numériques constituent l'un des piliers d'une architecture zero-trust. En ce qui nous concerne, c'est un prérequis non négociable et même une étape indispensable. La solution SailPoint a joué un rôle charnière dans cette démarche qu'a entrepris notre entreprise pour mettre en oeuvre le modèle zero-trust. »

La solution SailPoint constitue une composante essentielle pour fournir les données d'identité des utilisateurs pour l'architecture zero-trust, en particulier lorsqu'il s'agit d'un accès à haut risque aux applications. Cet aspect est crucial car une fois l'intégration effectuée, il devient assez facile de mettre en place des politiques zero-trust autour de ces utilisateurs pour ces applications. Cela a été une avancée majeure pour l'entreprise pharmaceutique.

L'entreprise pharmaceutique est particulièrement satisfaite de sa collaboration avec SailPoint et se réjouit des succès à venir. « Ils ont toujours été très dynamiques et nous ont clairement fait comprendre qu'ils souhaitaient pouvoir nous compter parmi leurs clients et qu'ils désiraient vraiment sceller ce partenariat. Nous avons toujours apprécié la qualité de la relation que nous avons eue avec la société SailPoint à ce jour. »