Arrow Global Group PLC optimise le télétravail en collaborant avec Okta et Generation Digital sur le déploiement sûr et fluide de Workplace

Travailler dans les règles de l’art

Chez Arrow, la confiance est primordiale. Cette entreprise de services financiers, qui réunit plusieurs marques sous l’appellation One Arrow, s’est engagée à mener ses opérations sous le signe de la confiance. Ce principe s’étend à tous ses domaines d’activité, qu’il s’agisse de proposer des échéances de remboursement flexibles ou de protéger les informations sensibles des clients.

En plus de s’occuper de recouvrement de créances, Arrow propose également des services de gestion des actifs et des capitaux. Récemment, la société s’est lancée dans une nouvelle initiative ambitieuse où la sécurité est encore plus importante : un nouveau fonds de placement pour investisseurs d’affaires.

« Nous avons une responsabilité fondamentale, celle de toujours mener nos opérations dans les règles de l’art, quelles que soient les circonstances. Dans cet engagement que nous avons pris, la confiance joue un rôle essentiel, explique Matthew O’Neill, Group Information Security Manager chez Arrow Royaume-Uni. La confiance des créanciers, clients, investisseurs et actionnaires ne se gagne pas en claquant des doigts. Il faut leur prouver que nous la méritons. Et cela passe par la sécurité, surtout à l’heure actuelle où les cyberattaques augmentent et où les cybercriminels sont particulièrement actifs. »

Des activités complexes

Les activités d’Arrow sont strictement réglementées. Avec des sites basés dans tout le Royaume-Uni, ainsi qu’en Irlande, au Portugal, aux Pays-Bas, en Italie et en Albanie, la société doit impérativement satisfaire à de nombreuses obligations réglementaires.

« Nos opérations font l’objet d’une attention constante de la part des régulateurs, de nos actionnaires et de nos clients, indique Matthew O’Neill. Nous devons respecter une multitude d’exigences de sécurité et de protection de la confidentialité. En Europe par exemple, les entreprises sont tenues de se conformer au RGPD. En parallèle, chacune d’elles doit aussi satisfaire à des standards propres à son domaine d’activité, comme le PCI DSS, ainsi qu’à d’éventuelles normes régionales. »

Disposer d’une large base d’utilisateurs qui s’étend sur toute l’Europe présente de nombreux défis. Parmi eux, la multiplication des solutions de gestion des identités et des accès (IAM) déployées sur des environnements hybrides, à la fois on-premise et cloud, complique à l’extrême l’envoi de communications cohérentes à toute l’entreprise.

En 2018, Arrow a décidé de lancer un projet de transformation des communications numériques à l’échelle du groupe, afin de simplifier les échanges et la collaboration entre membres du personnel. « Comme dans n’importe quelle entreprise, nous parvenions toujours, malgré tout, à communiquer les uns avec les autres par e-mail ou téléphone. Mais, sans un annuaire unique qui se synchronise de façon uniforme, même ces opérations a priori simples devenaient très compliquées. Les collaborateurs avaient beaucoup de mal à trouver les contacts dont ils avaient besoin, déplore Matthew O’Neill. Nous souhaitions également leur offrir la possibilité d’utiliser les supports de communication avec lesquels ils se sentent à l’aise, notamment ceux qui les aident à dépasser les barrières linguistiques. »

Centraliser la communication

Dans le cadre de cette initiative, Lee Rochford, Group CEO, a assigné à l’équipe de communication d’entreprise une tâche difficile et ambitieuse : mettre en place une plateforme partagée de communication et de collaboration à laquelle tous les effectifs d’Arrow pourraient accéder, quels que soient le lieu où ils vivent et travaillent, leur langue maternelle et les terminaux qu’ils utilisent.

« L’équipe souhaitait que les activités de communication soient menées de façon centralisée afin de rendre nos messages cohérents, explique Matthew O’Neill. Pour ce faire, nous avions besoin d’une plateforme offrant la même expérience à l’ensemble des utilisateurs et entreprises du Groupe. C’est là que Workplace from Facebook est entré en jeu. »

Avec Workplace, Arrow peut envoyer des messages cohérents à tous les collaborateurs, mais aussi cibler plus efficacement ses communications, en ne les adressant par exemple qu’à certaines entreprises spécifiques du Groupe, sans déranger les autres avec des informations qui ne les concernent pas. Ce produit offre également la possibilité de mesurer l’impact des messages envoyés et de recueillir les commentaires des collaborateurs au moyen de sondages et d’enquêtes.

Cependant, pour autoriser un certain niveau de liberté dans les communications et la collaboration, Arrow avait aussi besoin de mettre en place des contrôles de sécurité sur la plateforme.   

« À l’origine, l’équipe s’est demandé quels étaient les besoins en matière de sécurité et si nous pouvions déployer Workplace en l’état, uniquement avec ses contrôles standards, se rappelle Matthew O’Neill. Malheureusement, étant donné les obligations strictes auxquelles nous sommes soumis en matière contractuelle et réglementaire, ces contrôles n’étaient absolument pas suffisants. J’ai donc indiqué à l’équipe que, sans contrôles supplémentaires, nous ne pourrions utiliser la plateforme que pour les communications non sensibles. Dans sa forme existante, cette plateforme ne pouvait pas nous permettre de discuter d’informations sensibles, car elle n’était pas conçue pour garantir le niveau d’intégrité et de confidentialité que nous exigeons pour les informations qui y sont échangées et stockées. »

Expertise externe

Arrow a décidé de collaborer avec Generation Digital, une société de conseil en télétravail et lieu de travail numérique dont la mission consiste à « transformer le monde du travail en aidant les dirigeants et leurs équipes à adopter la culture, les plateformes et les méthodes de l’ère du numérique. »

« Generation Digital nous a aidés à gérer le déploiement de Workplace, se félicite Matthew O’Neill. Grâce à notre responsable de compte, nous sommes parvenus à respecter le calendrier du projet, en maintenant un contact permanent avec lui à chaque étape. C’est Generation Digital qui organisait les démonstrations de faisabilité et menait les négociations avec les parties externes, pendant que nous nous efforcions de suivre le calendrier d’implémentation ambitieux établi par Lee (Rochford, Group CEO). »

Lorsqu’Arrow a eu besoin d’une solution de sécurité compatible avec Workplace, Generation Digital a recommandé plusieurs possibilités, parmi lesquelles Okta.

« Je connaissais déjà Okta, précise Matthew O’Neill, car j’avais assisté à un grand nombre de leurs conférences, master classes et salons professionnels. Mon analyse des écarts initiale (identifiant les contrôles de sécurité qui nous faisaient défaut) avait conclu qu’il nous manquait deux types de solutions : une de prévention des pertes de données (DLP), l’autre de gestion des accès et des identités (IDAM) qui réunirait tous nos annuaires en un seul, tout en fournissant l’ensemble complexe des contrôles d’accès conditionnel dont nous avions besoin. Pour cette partie-là, nous avons organisé une rencontre avec Okta, qui nous a présenté sa plateforme. Après une analyse plus poussée de ses fonctionnalités et des contrôles de sécurité qu’elle fournit, j’ai été suffisamment convaincu pour la recommander à l’équipe. »

De fait, les conclusions de l’analyse de Matthew O’Neill ont impressionné Arrow. La solution Okta permettrait non seulement de respecter les exigences de gestion des identités et des accès propres à Workplace, mais aussi d’anticiper la réponse à d’autres cas d’usage à l’avenir, en étendant les fonctionnalités d’IDAM à d’autres applications cloud, par exemple.

« La fonctionnalité d’Okta qui nous a le plus impressionnés était la synchronisation bidirectionnelle depuis et vers Active Directory, se remémore Matthew O’Neill. Son exécution était d’une grande simplicité. Nous devions juste installer l’agent Active Directory. Puis, tant que les règles de pare-feu étaient en place et que le compte de service requis existait, cet agent synchroniserait les données de façon permanente sur toute la plateforme Okta, qui réside dans le cloud. Une fois les données importées dans Okta, nous pouvions les synchroniser avec Workplace, mais aussi corriger les entrées d’annuaire incorrectes, par exemple, puis transmettre ces corrections aux instances Active Directory locales. À mon avis, si Okta se démarque de la concurrence, c’est grâce à cette fonctionnalité en particulier, ainsi qu’aux contrôles d’accès conditionnel granulaires que sa solution propose. »

La synchronisation bidirectionnelle semblait la solution appropriée pour permettre à Arrow de créer une expérience uniforme sur toutes les instances Active Directory du groupe, indépendamment de leur emplacement. « Tous nos annuaires Active Directory allaient pouvoir bénéficier de la même apparence, des mêmes informations et du même format, sans avoir besoin de configurer chaque instance l’une après l’autre, se réjouit Matthew O’Neill. Nous allions pouvoir réaliser cet exploit de façon centralisée, sur la plateforme Okta. »

Les fonctionnalités de sécurité performantes d’Okta ont aussi beaucoup impressionné les équipes d’Arrow.

« Okta est une plateforme formidable en termes de sécurité, affirme Matthew O’Neill. En plus d’avoir supervisé son implémentation technique ainsi que l’intégration globale de ses fonctionnalités de sécurité, j’ai été parmi les dernières personnes à approuver la plateforme Workplace au niveau du Groupe. J’ai donc dû en effectuer la démonstration dans le cadre du processus d’approbation. Comme je suis spécialisé en gestion des cybermenaces, c’est mon travail de détecter les menaces et les failles que personne ne voit. Donc, sur deux jours, j’ai passé le plus clair de mon temps à tenter de contourner et déjouer les contrôles de sécurité que je venais tout juste d’intégrer. Je devais surtout identifier et neutraliser tous les vecteurs d’attaque possibles et imaginables, internes et externes. Au final, les fonctionnalités de sécurité d’Okta ont clairement fait leurs preuves. C’est donc l’esprit tranquille que nous avons approuvé le déploiement de Workplace, sachant que notre plateforme bénéficiait d’un niveau de sécurité suffisant. »

Graham Mackay, CEO de Generation Digital, ajoute : « Plus que jamais, les clients tels qu’Arrow Global ont besoin de solutions de télétravail sécurisées de premier plan, qui peuvent être développées uniquement au moyen de l’intégration d’applications logicielles de pointe. Pour nous, ça a été un immense privilège d’aider Arrow à développer cette solution, en collaboration avec Okta, Workplace et Netskope. »

Un déploiement sur les chapeaux de roues

La plateforme Workplace présente un défi unique : elle ne peut s’intégrer qu’avec un seul fournisseur d’identité. Cette exigence est particulièrement difficile à satisfaire, surtout pour une entreprise comme Arrow qui a des besoins complexes en termes d’environnement et de sécurité.

Sur recommandation de Generation Digital, Arrow a acheté Okta Cloud Connect, un produit qui utilise l’agent Okta pour protéger une seule application (dans ce cas, Workplace) via une intégration Active Directory unique. Grâce à Okta Cloud Connect, l’implémentation de Workplace par Arrow bénéficie de trois produits Okta : Universal Directory, Single Sign-On et Lifecycle Management.

Arrow a commencé par déployer Workplace région par région, avec pour points de départ le Royaume-Uni et l’Irlande. Le déploiement d’Okta était simple. L’équipe devait juste installer l’agent Okta et vérifier que les règles de pare-feu correctes étaient en place avant de commencer.

« Le site d’assistance d’Okta comporte des conseils très utiles, indique Matthew O’Neill. Nous avons installé l’agent, qui a commencé à se synchroniser avec Okta. Dès que la synchronisation a démarré, nous avons défini les règles de sécurité en accord avec nos exigences spécifiques. Une fois les données importées sur la plateforme, et les règles configurées et testées, nous avions pratiquement terminé de déployer Okta sur nos sites au Royaume-Uni. Même s’il nous a fallu quelques jours pour finaliser la configuration de la sécurité, sachant que nous sommes soucieux de minimiser tout risque, le déploiement effectif de chaque agent Okta nous a pris environ 30 minutes. »

Depuis le premier déploiement de Workplace début 2019, l’équipe d’Arrow en charge de l’implémentation (dirigée par Matthew O’Neill) a maintenant déployé cette plateforme sur l’ensemble du Groupe, avec le soutien d’Andrew Mallin (Technical Project Manager et Infrastructure Architect) et des équipes IT locales. « Concernant l’implémentation d’Okta, nous avons synchronisé avec Okta chaque annuaire Active Directory de la société, qu’il soit on-premise ou dans le cloud, notamment au moyen d’Azure Active Directory. Puis, comme les informations des annuaires étaient synchronisées avec Okta, nous avons pu ensuite les resynchroniser avec Workplace et activer tous nos comptes utilisateurs. Ainsi, nos utilisateurs peuvent se connecter et nous pouvons contrôler le flux de sécurité sur la plateforme. Sans Okta, notre plateforme Workplace ne serait tout simplement pas assez sûre pour nous permettre de répondre aux exigences strictes de sécurité auxquelles nous sommes soumis. »

 

Une sécurité renforcée

Au début de l’implémentation de sa stratégie de sécurité Workplace, Arrow avait deux préoccupations principales. La première était l’exfiltration et l’infiltration non autorisées de données. La société souhaitait pouvoir contrôler les informations qui parvenaient aux collaborateurs et, en parallèle, protéger la plateforme contre les utilisateurs non autorisés.

« Notre seconde préoccupation concernait le contrôle sur les données, explique Matthew O’Neill. Par exemple, nous ne voulions voir apparaître aucune information de carte de paiement. Nous souhaitions en outre autoriser des utilisateurs spécifiques à charger des types de formats de fichiers bien précis sur la plateforme, et contrôler la capacité des autres utilisateurs à les télécharger. Notre but étant que ces fichiers restent sur la plateforme. »

Pour résoudre ces problématiques, Arrow a adopté une approche à volets multiples. Ainsi, la société a décidé de baser certains aspects de sa stratégie sur les politiques. Par exemple, Matthew O’Neill a développé des politiques d’utilisation acceptable et de sécurité propres à Workplace, qui définissent les attentes et les consignes en amont. D’autres composants de sécurité étaient techniques et incorporés directement dans l’environnement, ce que Matthew O’Neill appelle « l’intégration globale de la sécurité ».

Okta Multi-Factor Authentication (MFA) joue un rôle clé dans la gestion des accès à la plateforme. Les administrateurs Arrow de la plateforme Okta doivent saisir un second facteur pour pouvoir utiliser leurs privilèges, tandis que certains utilisateurs sont limités par d’autres politiques, par exemple une politique qui les empêche de se connecter quand ils sont hors réseau.

« Si vous êtes un utilisateur à haut risque ayant accès à un grand volume d’informations sensibles, vous devrez passer par une authentification renforcée lorsque vous demanderez l’accès, précise Matthew O’Neill. Si vous êtes un utilisateur présentant un faible risque, nos politiques de sécurité ne vous considéreront pas comme prioritaire. Les contrôles de sécurité d’Okta sont personnalisables à souhait, la seule limite étant votre volonté et/ou votre capacité à les configurer. La sécurité influence directement le confort d’utilisation : plus vous établissez de contrôles de sécurité, plus leur impact sur la convivialité et, par conséquent, la productivité sera élevé. J’ai été agréablement surpris de constater que la solution Okta pouvait être personnalisée sans vraiment affecter ma capacité à limiter l’accès à la plateforme. »

Avant de mettre en place cet environnement, Arrow protégeait ses télétravailleurs au moyen d’un système basé sur des clés. Comme l’explique Matthew O’Neill : « Nous souhaitions que nos utilisateurs puissent se connecter même lorsqu’ils se trouvaient en dehors du WAN de l’entreprise, par l’intermédiaire de leur connexion GSM par exemple, mais seulement sur un terminal de l’entreprise. Étant donné que nous avions déjà sécurisé les terminaux à l’aide de l’outil de gestion des terminaux mobiles (MDM, Mobile Device Management), nous pouvions utiliser des clés de gestion, intégrées directement dans la configuration d’Okta, pour garantir l’accès à Workplace uniquement via une version distribuée par MDM de l’application Okta Mobile. Cette solution nous a effectivement permis de limiter l’accès aux terminaux de l’entreprise. Plus tard, avec la pandémie de Covid-19, nous avons souhaité ouvrir Workplace aux terminaux personnels. Dans ce cas de figure, les contrôles d’accès conditionnel d’Okta ont été essentiels pour réaliser cet objectif en toute sécurité, et en conformité avec nos politiques de sécurité et d’utilisation acceptable des informations. »

Dans le cadre de l’intégration globale d’une sécurité renforcée à cinq couches dans Workplace, Matthew O’Neill a par ailleurs décidé de déployer le CASB de Netskope pour protéger le contenu et les données de la plateforme. Cet outil Netskope est déjà intégré dans Workplace via une API. Par conséquent, si du contenu non autorisé arrive sur la plateforme, il pourra être supprimé en quelques minutes. Matthew O’Neill a aussi fait installer l’agent de protection de Netskope sur les terminaux de l’entreprise. Celui-ci passe au crible les demandes d’accès avant d’autoriser les chargements/téléchargements de données sur Workplace. Le reverse proxy de Netskope, qui permet aux collaborateurs d’utiliser leurs terminaux personnels en toute sécurité, complète cette intégration globale de sécurité.

« Le rôle de Netskope est de contrôler les risques tels que les pertes de données ou les contenus obscènes, clarifie Matthew O’Neill. Celui d’Okta est de contrôler les accès. Imaginez la plateforme entourée de cinq couches : la politique d’utilisation acceptable propre à Workplace est la couche 1 – c’est notre contrôle administratif général ; Okta est la couche 2 – le premier des cinq contrôles techniques ; enfin les trois couches Netskope – l’agent de protection des terminaux, le reverse proxy, l’API intégrée – complètent notre approche multidimensionnelle. En gros, un utilisateur non autorisé, pour accéder à la plateforme, devrait passer outre chacune de ces couches. J’ai conçu l’implémentation de la sécurité en pensant précisément à la redondance. D’après les représentants de Generation Digital, notre implémentation de Workplace est la plus sécurisée de bout en bout qu’ils n’ont jamais vue. Pour eux, elle établit un standard maximal. Vu leur expérience étendue en matière d’implémentation, c’est un immense compliment, et nous en sommes particulièrement fiers. »

Une cohérence et une visibilité accrues

En plus de toutes ces mesures de sécurité, Arrow bénéficie aussi d’une visibilité accrue, notamment la capacité à détecter et à bloquer les utilisateurs qui se connectent de régions suspectes ou via de multiples emplacements en même temps.

« Sans Okta, il ne nous serait pas possible de savoir qui se connecte exactement à notre plateforme, se félicite Matthew O’Neill. Nous aurions probablement de sérieux problèmes de sécurité. Heureusement, nous avons pensé aux mesures de sécurité dès le début, et pas après coup. Nous sommes donc plutôt bien lotis. Sans Okta, nous ne nous serions pas sentis suffisamment en confiance pour lancer la plateforme. Ni notre Group CISO (Gareth Neal), ni moi-même n’aurions donné notre accord au déploiement de Workplace sans Okta. »

Accès simple, présentation fluide

Okta Single Sign-On (SSO) joue un rôle majeur dans la création d’une expérience utilisateur fluide, tout en favorisant la productivité des collaborateurs. Désormais, ces derniers doivent juste cliquer sur le lien du site web de l’entreprise. Ils sont ensuite dirigés vers un tableau de bord qui centralise toutes les données dont ils ont besoin, et ce même lorsqu’ils travaillent de chez eux.

« La valeur ajoutée d’une expérience d’accès fluide est incommensurable, affirme Matthew O’Neill. Et nos utilisateurs détectent à peine la présence d’Okta. Nous pouvons modifier leurs données en arrière-plan ou à la volée, voire ajouter des fonctionnalités de sécurité. Ils ne remarquent rien. »

Okta a également permis à Arrow d’accroître sa productivité, grâce à l’un de ses principaux atouts : la possibilité d’exporter des informations d’annuaire à l’échelle d’un groupe. Auparavant, Arrow devait modifier les comptes utilisateurs manuellement, annuaire par annuaire. Désormais, la société peut se servir de scripts d’API via Postman pour automatiser cette tâche dans l’instance Okta unique, puis retransférer les modifications dans les instances Active Directory concernées. Elle peut également effectuer rapidement et simplement de nombreuses opérations : modifier des informations d’annuaires, ajouter des données aux comptes utilisateurs, etc.

En outre, l’apprentissage d’Okta a été simple. « Je n’avais jamais travaillé avec Okta auparavant. Cela n’a posé aucun problème, car la plateforme est très facile à utiliser, précise Matthew O’Neill. Novice au départ, j'ai pu prendre en main la plateforme en un rien de temps. À tel point que je suis devenu l’expert Okta du Groupe. »

Une perspective à long terme

Tout au long du processus d’implémentation, Arrow a manifesté une volonté de développer des relations à long terme avec des partenaires qui partagent sa vision. Les sociétés impliquées dans cette collaboration (Arrow Global, Okta, Workplace, Generation Digital et Netskope) ont investi énormément de temps et d’énergie afin de réaliser l’objectif global d’Arrow de créer des effectifs One Arrow plus connectés.

« Okta nous a offert un soutien sans faille, se réjouit Matthew O’Neill. J’ai eu l’occasion de parler à des agents aussi bien sur la plateforme numérique qu’au téléphone. Ils ont toujours été chaleureux et professionnels, même lorsque nous demandions des services qui allaient au-delà de l’assistance initialement demandée. Michael Alexander, notre responsable de compte Okta, a lui aussi été d’une grande aide. Il a parfaitement compris nos contraintes de temps et nous a aidés à atteindre nos échéances très rapidement. »

Arrow a également beaucoup apprécié sa collaboration avec Generation Digital. « L’équipe de GenD n’a pas ménagé ses efforts pour nous aider à respecter nos délais, indique Matthew O’Neill. Elle connaissait le processus sur le bout des doigts pour l’avoir effectué maintes fois auparavant, et a émis des suggestions auxquelles nous n'aurions sans doute pas pensé. En outre, comme nous avons pu lui déléguer des tâches, par exemple négocier avec les fournisseurs, notre équipe d’implémentation de Workplace a eu davantage de temps à consacrer à la mise en œuvre de la plateforme à l’échelle du Groupe. »

Dans un contexte où la pandémie de Covid-19 oblige de nombreuses personnes à travailler de chez elles, le projet Workplace génère des avantages qu’Arrow n’aurait jamais pu prévoir. Dans un communiqué de presse récent, Lee Rochford, Group CEO, a déclaré : « Je me félicite du déploiement de Workplace dans l’ensemble d’Arrow Global Group, qui fait de nous une entreprise réellement unie sous la bannière One Arrow. Grâce à cette nouvelle plateforme, nous sommes en mesure d’aider nos collègues à mieux communiquer et interagir à l’échelle du Groupe, ce qui est crucial en ces temps difficiles. »

À propos d’Arrow Global Group PLC

Arrow identifie, acquiert et gère des portefeuilles immobiliers et de prêts (garantis et non garantis) auprès et pour le compte d’institutions financières, par exemple des banques, des investisseurs institutionnels et des bailleurs de fonds spécialisés. Comptant plus de 2 500 collaborateurs, Arrow est une entreprise réglementée sur tous ses marchés européens, qui gère plus de 56 milliards d’euros d’actifs dans cinq zones géographiques.

À propos de Generation Digital

Generation Digital est une société de conseil en télétravail et lieu de travail numérique, dont la mission consiste à transformer le monde du travail en aidant les dirigeants et leurs équipes à adopter la culture, les plateformes et les méthodes de travail de l’ère du numérique. En partenariat avec des leaders technologiques tels que Facebook, Netskope et Okta, elle développe des solutions de collaboration pour le travail sur site et à distance destinées à des marques de premier plan comme Arrow Global, Colgate, ED&F Man, Heathrow, HSBC, Metropolitan Police, Royal Mail, TOG, TUI Group et United Utilities. Pour plus d’informations, rendez-vous sur www.gend.co.