Référence mondiale pour la gestion et la sécurité axées sur Apple, Jamf aide plus de 75 300 entreprises dans le monde à gérer et à sécuriser plus de 33 millions de terminaux. Lorsque l’entreprise est passée du statut de startup à celui d’entreprise mondiale comptant plus de 2 500 collaborateurs, ses besoins en matière de gestion des identités internes et externes ont augmenté de façon exponentielle.
Une croissance rapide et une solution d’identité on-premise ont conduit à la fragmentation des expériences de connexion et à des audits de la gouvernance laborieux, avec des saisies manuelles des données de plusieurs heures. Ces processus disparates sont devenus un frein à l’expansion mondiale et à l’efficacité des workflows utilisés par les équipes d’identité. Ils mettaient en outre en péril l’objectif à long terme de Jamf, à savoir la mise en place d’un écosystème de sécurité des identités capable de protéger plusieurs millions de terminaux de clients.
Transformer l’identité en atout stratégique pour la sécurité
Au départ, Jamf utilisait Microsoft Active Directory (AD), mais, avec le temps, les limites d’AD sont devenues de plus en plus évidentes. L’entreprise avait besoin d’une solution d’identité cloud native pour rester agile.
Elle a choisi Okta pour sa stratégie d’indépendance vis-à-vis de toute plateforme. Une telle approche garantit en effet que tout outil prenant en charge OIDC ou SAML s’intègre facilement à l’écosystème. Cette neutralité a permis à Jamf de retrouver son agilité grâce à l’intégration d’Okta Workforce Identity et de Workday comme source RH fiable pour automatiser le cycle de vie des identités.
Au-delà de la simplicité opérationnelle, la visibilité centralisée offerte par Okta a permis non plus de simplement gérer les identités, mais aussi de les sécuriser. « Okta nous offre un point de contrôle centralisé pour appliquer les politiques d’accès de manière cohérente dans l’ensemble de notre environnement, des applications SaaS d’entreprise à notre infrastructure cloud », déclare Mario Villatoro, Vice-President et Chief Information Security Officer.
Grâce à ce point de contrôle, Jamf a procédé au réalignement stratégique des ressources. « L’identité est notre première ligne de défense », explique Daniel Bolens, Senior IT Systems Administrator. « Grâce à Okta, notre équipe a un rôle davantage axé sur la sécurité, démontrant que l’identité est au cœur de notre stratégie de sécurité. »
Lorsqu’on lui demande de dresser la liste des solutions Okta utilisées par Jamf, la réponse de Mario Villatoro est claire : « Il serait plus facile d’énumérer celles que nous n’utilisons pas ». L’équipe a adopté pratiquement toutes les solutions Worforce Identity, d’Adaptive MFA et Okta Workflows à Okta Identity Governance (OIG) et Identity Threat Protection (ITP).
Amélioration de la productivité de la main-d’œuvre et de l’agilité lors des M&A
Workflows a été tout particulièrement utile, car il a permis à l’équipe IT d’apporter une automatisation personnalisée aux flux des identités. Cette automatisation a permis de réduire de 90 % le délai de provisioning des nouveaux collaborateurs et d’augmenter de 60 % la productivité dès le premier jour. L’impact sur les acquisitions a également été marquant, avec une diminution des délais de migration des collaborateurs de 75 %.
« Jusque-là, nous devions créer chaque compte collaborateur manuellement. Lors de notre toute dernière acquisition, nous avons simplement importé les utilisateurs, et le tour était joué. La migration nous a pris moins trois heures », se réjouit Daniel Bolens.
Automatisation de la gouvernance et de la réponse aux menaces en temps réel
Qu’il s’agisse de l’onboarding d’une seule nouvelle recrue ou de la migration de tout le personnel d’une société rachetée, le prochain défi consiste à préserver la sécurité des accès au fil du temps. Pour réaliser l’un de ses objectifs clés, à savoir faire de la gouvernance un des socles de la sécurité et non une simple activité imposée par les impératifs de conformité, Jamf a centralisé l’audit et la certification des accès au travers d’OIG.
OIG permet à l’équipe IT de remplacer les audits manuels par des audits en temps réel, en veillant à ce que les collaborateurs aient continuellement accès aux ressources appropriées. Selon Daniel Bolens, « avec OIG, les audits sont entre les mains de l’utilisateur final, qui n’a pas besoin de nous soumettre un ticket. Un rapport s’exécute automatiquement et nous avons immédiatement la preuve exigée par les auditeurs ».
Si OIG sécurise la couche de gouvernance, la solution ITP assure, quant à elle, la surveillance des risques et du contexte en temps réel. ITP a un rôle de « premier intervenant » automatisé au sein de Jamf : la solution révoque les sessions compromises et bloque les adresses IP malveillantes en fonction des signaux de risque, souvent avant même que l’équipe sécurité ne reçoive une alerte.
« Je peux toujours consulter les journaux Okta, mais je n’ai plus rien à faire. ITP se charge d’appliquer les mesures requises contre des menaces que j’avais l’habitude de gérer manuellement », explique Daniel Bolens.
Ce modèle de réponse automatisée est encore renforcé par l’intégration de Jamf Pro avec Okta via SSF (Shared Signals Framework). L’intégration offre aux clients des signaux de risque plus complets sur les terminaux ainsi qu’un contexte supplémentaire pour affiner les réponses axées sur l’identité.
Grâce à l’association d’OIG et d’ITP, Jamf peut bénéficier d’une vue priorisée des accès utilisateurs, associée à des actions immédiates et à une atténuation rapide des risques au sein d’Okta.
Sécurisation des terminaux et d’un cloud en pleine expansion
En plus d’atténuer les menaces ciblant les utilisateurs, Jamf a dû gérer les risques structurels cachés dans son infrastructure en expansion. Au fur et à mesure des acquisitions, l’environnement cloud de Jamf s’est transformé en un écheveau complexe de centaines de comptes AWS et Google Workspace. Pour reprendre le contrôle, Jamf a implémenté Identity Security Posture Management (ISPM). La solution sert de point de contrôle pour surveiller et gérer les risques dans l’ensemble de l’infrastructure cloud, ce qui a permis à Jamf de détecter et d’enregistrer 700 comptes Google échappant à la gouvernance de l’équipe.
« Nous nous sommes rendu compte que n’importe qui pouvait créer un compte Google avec l’adresse e-mail et le domaine de son choix, explique Daniel Bolens. ISPM nous a aidés à identifier et à récupérer ces comptes. Toute l’opération s’est déroulée étonnamment vite, environ deux mois ».
Jamf cherche à créer un flux fluide entre la visibilité, la détection et la réponse en mettant en place un écosystème de sécurité des identités avec Okta. L’équipe prévoit de connecter la télémétrie d’ISPM directement à ITP, grâce à la communication des signaux de risque issus du cloud à la fonction de correction en temps réel.
Jamf étend également son écosystème de sécurité des identités à la couche matérielle en utilisant Okta Device Access (ODA) pour la gestion des accès des terminaux. En instaurant la confiance au niveau matériel, Jamf s’appuie sur ODA pour synchroniser les identifiants cloud avec les mots de passe Mac locaux, offrant ainsi aux collaborateurs une expérience de connexion cohérente et sécurisée.
« ODA nous permet d’offrir un niveau de sécurité supplémentaire au matériel, constate Daniel Bolens. Il permet également d’améliorer l’expérience des collaborateurs en leur offrant une expérience de connexion unifiée qui leur permet de se connecter à leur Mac toute la journée et d’avoir accès à toutes leurs applications. »
Daniel Bolens note également qu’ODA « procure au matériel le même niveau élevé de protection que celui offert par Okta aux logiciels », grâce à quoi, même en cas de perte d’un terminal, l’identité demeure sécurisée et le terminal reste un composant protégé et intégré de la plateforme unifiée d’Okta.
Unification de l’expérience client et ingénierie accélérée
Les défis posés par l’identité ne se limitaient pas à l’expérience collaborateur. L’équipe d’ingénieurs produits de Jamf était confrontée à des problèmes similaires avec les utilisateurs externes, en raison du cloisonnement des identifiants clients dans six produits. Les équipes étaient donc contraintes de gérer les intégrations SAML au lieu de se consacrer au développement de nouvelles fonctionnalités. En lançant Jamf ID et en prenant en charge la fédération des fournisseurs d’identité (IdP) des clients au travers d’Auth0, Jamf a pu unifier cette architecture fragmentée. Cette couche d’identités unique et sécurisée permet d’interconnecter facilement les identifiants et de les stocker en toute sécurité.
« Nous avions besoin avant tout d’une expérience de connexion unifiée, et c’est ce qui nous a incités à nous tourner vers Auth0 », explique Akash Kamath, Senior Vice President of Software Engineering. « Notre objectif est d’utiliser Auth0 comme point d’accès sécurisé, et d’offrir une seule expérience unifiée à nos clients. »
Avec Auth0, Jamf déploie des fonctionnalités de sécurité avancées qui demandent peu de gestion. L’équipe a testé ces fonctionnalités après avoir reçu des alertes de spam sur le site de la communauté Jamf Nation.
« Pendant un certain temps, nous avons été confrontés à un gros problème de spam », explique Jake Schultz, Staff Software Engineer. « L’activation de la fonction Auth0 Bot Detection a permis de le réduire d’environ 40 %. »
Aujourd’hui, Jamf ID est l’option sécurisée proposée par défaut à tous les nouveaux clients. Elle offre également la possibilité de fédérer un IdP de prédilection à tout moment. Cette approche optimise l’expérience utilisateur tout en maintenant une posture de sécurité robuste. « Auth0 nous permet de nous concentrer sur les fonctionnalités que nous souhaitons offrir à nos clients. Nous n’avons pas à nous soucier du fournisseur d’identité qu’ils utilisent. Nous pouvons les laisser l’installer et démarrer immédiatement », explique Jake Schultz.
L’entreprise se penche déjà sur la prochaine phase de Jamf ID : le passage à un environnement entièrement sans mot de passe. « Les passkeys seront lancées le mois prochain, affirme Jake Schultz. Si nous n’avions pas eu Auth0, nous aurions dû créer cette intégration à partir de rien. Désormais, il suffit de cocher une case pour permettre aux clients d’utiliser des passkeys avec leur application Jamf ID. »
Le double enjeu des identités non humaines et de la gouvernance
Même si Jamf a déjà constaté des résultats, l’équipe considère son implémentation actuelle comme le début d’un parcours de sécurité des identités qui continuera d’évoluer pour répondre aux défis posés par les applications, les API, l’IA et les agents. « Je pense que les identités non humaines sont actuellement celles qui posent les plus grandes difficultés en termes de gestion, car elles n’appartiennent pas à un seul utilisateur », explique Daniel Bolens.
Pour le moment, Jamf utilise trois outils pour découvrir et gérer ces identités : ISPM pour la visibilité de leur infrastructure cloud, Okta Privileged Access (OPA) pour la mise en coffre (vaulting) des identifiants des identités non humaines et l’application d’une rotation automatisée, et OIG pour l’audit continu et l’attribution de la propriété des identités non humaines pour combler les failles dans la continuité des comptes de service.
À l’avenir, l’entreprise espère également étendre ces fonctionnalités en incluant à OIG des évaluations des accès basés sur des événements et en utilisant dans ITP les données télémétriques de sécurité fournies par ISPM et Jamf Trust. Cela permettra d’établir une boucle de feedback en temps réel, pour identifier et neutraliser les menaces tout en évoluant vers un modèle totalement dépourvu de privilèges permanents.
« Je ne sais pas si Jamf en serait là aujourd’hui sans le concours d’Okta, affirme Daniel Bolens. L’équipe est toujours à l’écoute des clients et met tout en œuvre pour favoriser notre réussite. Toutes les initiatives où nous collaborons avec Okta sont fantastiques. »
Pour Mario Villatoro, cette collaboration représente un changement radical dans la manière dont Jamf protège son écosystème. « L’identité est le fil conducteur de toute notre architecture de sécurité, déclare-t-il. Cette architecture évolue, au même titre que le rôle d’Okta. Nous nous appuierons sur Okta pour gouverner l’ensemble des accès pour les personnes, les identités non humaines et les acteurs numériques. »
À propos de WeTransfer
Jamf s’est fixé pour mission de simplifier le travail en aidant les entreprises à gérer et à sécuriser l’expérience Apple pour le plus grand bonheur des utilisateurs finaux et pour la parfaite tranquillité d’esprit des entreprises. Jamf est la seule société au monde à fournir une solution complète de sécurité et de gestion des environnements Apple, conçue pour la sécurité d’entreprise, la simplicité d'usage et la protection des données personnelles.
