Gérer les accès et la sécurité dans une entreprise en croissance rapide
Box est le leader des solutions de gestion de contenu intelligentes, un outil remarquable pour faciliter la collaboration des équipes du monde entier. Sa plateforme cloud utilise l’IA Box pour aider les entreprises à exploiter les données non structurées, qu’il s’agisse de supports marketing ou de rapports financiers, afin de dégager des informations pertinentes et d’automatiser intelligemment les tâches. Au fil des ans, l’entreprise a évolué, tout comme ses besoins en matière de sécurité et son environnement IT. En 2012, Box utilisait plusieurs plateformes pour gérer la conformité réglementaire complexe et les standards sectoriels, ainsi que pour sécuriser les données de toutes ses applications.
Les identités de l'entreprise étaient fragmentées dans plusieurs solutions, ce qui rendait le provisioning et la mise en conformité incohérents. Son équipe IT gérait les identités manuellement à l’aide de scripts personnalisés, mais le processus était inefficace et coûtait des milliers d’heures en tâches d’administration et de développement.
Selon Box, la gestion de l’identité doit jouer un rôle clé dans sa stratégie de sécurité en permettant aux contenus de circuler librement vers les clients et collaborateurs, tout restant protégés contre les accès non autorisés. Mark Schooley, Senior Director of IT Operations and Engineering, explique : « L'accès doit être sécurisé pour toutes les applications, mais aussi évolutif, car nous sommes une entreprise en pleine croissance. » Box avait besoin d’un partenaire capable d'accompagner cette évolution et d’unifier la gestion des identités afin de soutenir sa mission à court et à long terme. Leur choix s'est porté sur Okta, marquant ainsi le début d’un partenariat de confiance qui dure depuis plus de 13 ans.
Unifier la gestion des identités et rationaliser les workflows IT
Au début de leur collaboration, Okta a aidé Box à éliminer le cloisonnement des quelque 150 applications métier de l'entreprise et à unifier son infrastructure d’identités. L'adoption d'Okta Workforce Identity a permis d'établir une base solide en matière de gestion des identités et de sécurité. Avec Universal Directory, Box peut gérer plusieurs sources d’identité, y compris sa plateforme RH Workday, de façon centralisée. « Le gain de temps est considérable. Universal Directory nous offre la flexibilité nécessaire pour extraire les attributs souhaités et établir une source unique et fiable pour la gestion des identités », explique Mark Schooley. Grâce à cette approche, l’affectation des attributs, des tâches et des autorisations s’effectue désormais de manière fluide. De plus, l’équipe peut désormais intégrer de nouvelles applications à Okta en seulement 15 à 20 minutes, alors que cette tâche prenait auparavant plusieurs jours.
Grâce à une identité unifiée, les collaborateurs de Box peuvent maintenant accéder rapidement et en toute sécurité aux applications clés grâce à l’authentification unique (SSO). Le SSO sécurise l’accès aux applications métier de Box, tout en améliorant la productivité des utilisateurs grâce à un processus de connexion fluide. Si un utilisateur oublie son mot de passe SSO, il peut utiliser le flux de réinitialisation en libre-service d’Okta, sans intervention de l’équipe IT.
Afin d’améliorer encore la productivité de ses équipes, Box a automatisé l’ensemble de ses flux de travail liés à l’identité. Grâce à l’introduction d’Okta Workflows, un outil d’automatisation de l’identité no-code, Box a pu faire monter en compétences son équipe IT et gagner un temps précieux. « Workflows rend la création de scripts personnalisés plus accessible. Au lieu de consacrer des journées entières à l'écriture de scripts, les membres de l’équipe peuvent désormais créer des automatisations en quelques minutes », se réjouit Mark Schooley. Workflows a permis à l’équipe d’économiser des milliers d’heures chaque année grâce à l’automatisation, notamment pour le traitement des demandes d’assistance liées aux comptes et aux mots de passe. « Plus nous recrutons, et plus l'automatisation nous fait gagner du temps et de l’argent », a-t-il ajouté.
Une infrastructure d’identités solide malgré une surface d’attaque en constante évolution
Grâce à la gestion unifiée des identités et des accès, Box a résolu ses problèmes initiaux d’identité et s’est doté d’un partenaire à long terme dans le domaine de l’identité en collaborant avec Okta. Cependant, à mesure que Box poursuivait son expansion, sa surface d’attaque évoluait également.
« Avec l’essor du travail à distance, les cybercriminels ont exploré de nouveaux moyens de contourner les protections traditionnelles et d’accéder aux données sensibles des entreprises directement sur les terminaux des collaborateurs », explique Akhila Nama, Director of Enterprise Security. « De plus en plus, les attaquants exploitaient les privilèges d’administrateur local permanents pour accéder à des données critiques. » Gérer ces menaces imposait à l’équipe IT de consacrer des centaines d’heures à des examens manuels, sujets à erreurs, des logs d’accès des utilisateurs. « Plus il faut de temps pour identifier et révoquer un accès non autorisé, plus le risque est élevé », précise Akhila Nama. Cependant, supprimer tous les accès administrateurs n’était pas envisageable.
Box devait identifier les risques potentiels, y répondre rapidement et s’assurer qu'ils étaient atténués sans compromettre l’expérience utilisateur. Elle s’est mise en quête d’une solution de gouvernance des identités et s’est tournée vers son partenaire de longue date, Okta. « Okta proposait déjà la solution dont nous avions besoin avec Okta Identity Governance (OIG). Rester fidèle à cet éditeur a été très positif pour nous », se félicite Mme Nama.
Simplifier la gouvernance et l’automatisation de l’identité avec un partenaire de confiance
La gouvernance centralisée des identités et la gestion unifiée des accès d'OIG ont permis à Box de trouver un juste milieu entre l’accès permanent des administrateurs locaux et la suppression totale des accès administrateurs. Box a remplacé ces privilèges administrateurs permanents par un framework dynamique qui n’accorde des autorisations élevées qu'en cas de nécessité, par le biais de certifications et de demandes d’accès automatisées et ponctuelles.
L’équipe IT a étendu ce nouveau principe aux terminaux des utilisateurs finaux, permettant aux collaborateurs de Box de demander des privilèges administrateurs temporaires. Box a intégré Okta et son application de gestion des terminaux Kandji pour réduire les vulnérabilités de sécurité tout en accordant aux utilisateurs un accès administrateur limité dans le temps. « Nous avons donné à l’utilisateur final la possibilité d’obtenir un accès administrateur pour une heure, une journée ou même une semaine », explique Mme Nama. « Nous avons intégré suffisamment de protections pour que les demandes admin suspectes déclenchent un ticket, alertant les responsables IT sur Slack et Jira en cas d’incident. » Résultat : une sécurité renforcée et moins de frictions pour les utilisateurs, car les demandes d’accès en libre-service offrent plus de commodité et de flexibilité, tandis que l’équipe IT conserve la possibilité de gérer et de révoquer facilement les privilèges.
De plus, Box a sécurisé l’offboarding et la gestion des accès grâce à des initiatives de gouvernance périodiques. OIG permet à l’équipe IT de savoir facilement qui a accès aux données sensibles à tout moment. Pour vérifier si un compte a toujours besoin d’accéder à des applications critiques, Box utilise des campagnes de certification des accès afin de valider les autorisations et de révoquer les accès si nécessaire. Ces campagnes sont programmées à intervalles réguliers et complétées par des demandes MFA renforcées initiées par des déclencheurs comportementaux généraux, par exemple lorsqu’un utilisateur se connecte depuis un emplacement suspect.
En combinant les demandes d’accès et les certifications via OIG et Workflows, Box permet aux utilisateurs d’obtenir un accès administrateur temporaire uniquement lorsque cela est nécessaire. Cette stratégie permet à Box d’éliminer les privilèges permanents afin de renforcer sa posture de sécurité sans sacrifier la productivité.
Centraliser la gestion des identités pour réduire les délais de réponse aux menaces
Grâce à Okta, Box a unifié son infrastructure d’identités, rationalisé ses workflows IT et mis en œuvre des initiatives de gouvernance pour éliminer les privilèges permanents. Désormais, Box gère les accès en automatisant les demandes d’accès et les processus de certification, tout en offrant une expérience d’identité simple et cohérente aux utilisateurs finaux. En intégrant OIG à son écosystème d’identités au sens large, Box offre aux utilisateurs un accès administrateur local limité dans le temps et réduit leur surface d’attaque grâce à l’élimination des privilèges permanents, en limitant les points d’accès potentiels.
À l’avenir, Box prévoit d’étendre sa stratégie d’identité en se concentrant sur la gestion des accès à privilèges et en renforçant encore le principe d’élimination des privilèges permanents dans toutes les applications. Comme l’explique Akhila Nama, « au cours des deux prochaines années, les identifiants en flux tendu (JIT) vont nous préparer à un avenir sans mot de passe. Je pense que c’est dans cette direction que notre prochain parcours d’identité va nous mener. »
À propos de Box
Box (NYSE : BOX) est le leader de la gestion intelligente du contenu. La plateforme Box permet aux entreprises de favoriser la collaboration, de gérer l’intégralité du cycle de vie du contenu, de sécuriser les contenus critiques et de transformer les workflows métier grâce à l’IA d’entreprise. Aujourd’hui, Box a été adopté par 115 000 entreprises et 67 % du classement Fortune 500. Face à l’évolution des modes de travail, l’entreprise reste concentrée sur l’innovation et sur la qualité du service qu'elle offre à ses clients.
