Vodafone Turquie met en place un solide programme de sécurité des identités

Vodafone n’est pas étranger au nombre croissant d’audits de conformité et de réglementation requis pour évaluer des éléments tels que les vulnérabilités en matière de sécurité des technologies de l’information, les pratiques de développement de logiciels, les processus des systèmes de gestion, les pratiques en matière de sécurité et d’environnement, ainsi qu’une multitude de scénarios spécifiques à l’industrie.

En réalité, Vodafone doit se conformer à une pléthore de réglementations très restrictives émanant d’organisations gouvernementales, d’organisations indépendantes et d’impératifs internes. Le non-respect de ces règles n’entraîne pas seulement des amendes massives, mais dégrade également la confiance des clients et les attentes de l’entreprise.

Les exigences de conformité et d’audit réglementaire de Vodafone Turquie ont abouti à la création d’un parcours de gestion des identités visant à doter l’entreprise d’un système de gestion des identités robuste qui réponde non seulement aux exigences de conformité actuelles, mais aussi à celles attendues à l’avenir.

« Nous avons donc commencé à rechercher les entreprises leaders en matière de gouvernance d’accès en examinant ce que Gartner et d’autres entreprises disaient pour déterminer les leaders et les visionnaires du marché, et nous avons parlé à d’autres entreprises en Europe et en Turquie qui ont partagé leurs expériences avec nous », a expliqué Serdar Calin, architecte de la gouvernance des accès et de la gestion des identités, Vodafone Turquie.

L’équipe de M. Calin a ensuite établi une liste restreinte d’entreprises, parmi lesquelles figurait SailPoint, et chacune d’entre elles a été invitée à réaliser une preuve de concept (POC) contenant plus de 200 questions couvrant un certain nombre de flux de demandes d’accès complexes et de scénarios de certification personnalisés, ainsi que des éléments tels que des règles de droit d’aînesse personnalisées.

Les experts de SailPoint ont ensuite établi un nouvel environnement POC temporaire pour Vodafone Turquie afin d’illustrer les solutions proposées.

« Les experts de SailPoint ont répondu rapidement à ces questions et nous ont donné d’autres moyens de résoudre différents scénarios et problèmes », a déclaré M. Calin. « Le résultat a été que SailPoint a reçu les meilleures notes du début à la fin du processus POC, répondant à toutes nos exigences en matière de gouvernance d’accès dans tous nos scénarios commerciaux ».

Une relation efficace

Les résultats du POC ont conduit Vodafone Turquie à choisir SailPoint pour ses besoins en matière de gestion des identités et des accès (IAM).

« Nous utilisons toutes les fonctionnalités de SailPoint – et nous les poussons vraiment à leurs limites », a déclaré M. Calin. « SailPoint répond en fait à environ 95 % de nos besoins, mais il y a eu quelques occasions où nous avons eu besoin d’une amélioration. Par exemple, nous avions besoin d’une fonctionnalité de pièces jointes sur les formulaires de demande d’accès, et nous avons donc créé une solution personnalisée. Avec la version suivante d’IdentityIQ, cette fonctionnalité a été intégrée dans la base SailPoint ».

M. Calin a décrit son expérience en tant qu’architecte et administrateur SailPoint pour Vodafone Turquie comme « géniale », expliquant qu’au cours des six années qui ont suivi le choix initial de SailPoint, Vodafone Turquie n’a pas connu d’interruptions de service non planifiées.

« Avant de commencer cette transformation avec SailPoint, nous utilisions un système de ticket personnalisé pour les demandes d’accès », explique-t-il. « Mais il ne s’agissait pas d’un véritable produit de gouvernance d’accès, alors l’objectif principal était d’enregistrer les demandes d’accès sur une plateforme. Cependant, ces demandes d’accès ont été réduites de plus de 1 000 lorsqu’on a utilisé les bons rôles de droit d’aînesse sur SailPoint. Il s’agit là d’un résultat extrêmement important et positif pour nous ».

De même, M. Calin affirme que SailPoint a eu un impact majeur sur les délais de provisionnement et d’intégration de l’entreprise.

« SailPoint a réduit le temps de provisionnement et d’intégration de six heures à moins de 10 minutes. Cela a constitué une amélioration considérable pour notre équipe. Nous avons également remplacé notre système de rapports d’audit manuels par les rapports générés automatiquement par SailPoint ».

« Avant cette transformation, nous exécutions des processus manuels pour les migrations », a-t-il expliqué, « mais SailPoint nous a permis de personnaliser les processus de migrations basés sur la certification en utilisant le provisionnement automatisé. Nous donnons maintenant automatiquement toutes les autorisations aux migrations, et nous avons plus de 230 000 identités, y compris des employés à temps plein, des contractuels, des agents de centres d’appels tiers, des concessionnaires Vodafone et leurs employés, des investisseurs et des comptes de service. Nous utilisons également le produit SAP HR comme source d’autorité pour notre environnement SailPoint. Lorsqu’un utilisateur quitte l’entreprise, nous pouvons supprimer ses anciens privilèges presque instantanément après son départ ».

Mais M. Calin affirme que l’impact le plus important pour toutes les parties prenantes a été la réduction du temps passé dans le processus d’intégration. « SailPoint a eu un impact considérable sur nos administrateurs d’opérations, car il permet un provisionnement et un déprovisionnement automatiques sans aucune intervention de leur part ».

Dans un avenir proche, Vodafone Turquie prévoit d’intégrer le module de gestion des accès privilégiés (PAM) de SailPoint à son environnement CyberArk. De même, M. Calin indique que l’entreprise étendra son utilisation des rôles de droit d’aînesse basés sur les données de l’organisation des ressources humaines et le contrôle de la dormance à toutes les applications qui sont intégrées à SailPoint.
M. Calin a également des conseils à donner aux autres entreprises qui envisagent des solutions pour la gouvernance des accès et la gestion des identités.

« Ces solutions doivent être considérées comme un programme plutôt que comme un projet », déclare-t-il, ajoutant qu’il faut faire preuve de patience au cours du processus, qui peut prendre des années avant d’être finalisé. « Le programme ne concerne pas seulement le département informatique, le département de la protection de la vie privée ou le département de la sécurité de l’information, mais l’ensemble de l’entreprise. En tant que tel, il doit intégrer tous les employés et bénéficier du soutien des dirigeants de l’ensemble de l’organisation afin d’appuyer le programme et d’en garantir le succès ».