Le Norwegian Refugee Council (NRC) étend son rayon d'action en toute sécurité grâce à Okta
Économies annuelles attendues grâce à l’élimination d’Active Directory et de produits concurrents
annuels de gains de productivité et d’économies IT grâce au SSO et à la réinitialisation des mots de passe en libre-service
d’économies par an grâce à l’élimination du VPN hérité
heures IT économisées par an grâce à l’automatisation du provisioning/déprovisioning
- Une aide entravée
- Des partenaires à l'œuvre
- Priorité à l'identité
- Une approche Zero Trust
- Une transition progressive vers le cloud
- Une gestion des processus simplifiée
Le Norwegian Refugee Council (NRC) est une organisation qui aide (et souvent, emploie) les personnes ayant dû fuir leur pays pour échapper à la guerre et aux conflits, et intervient auprès des communautés déplacées les plus difficiles à atteindre. Les contraintes juridiques, les problèmes de connectivité limitée et le lourd processus de provisioning empêchaient le NRC d’agir avec efficacité.
Le NRC a rejoint NetHope, un groupe qui permet aux organismes à but non lucratif de partager leurs connaissances, mais aussi de collaborer avec leurs pairs et avec des entreprises technologiques solidaires.
Le NRC a placé Okta Identity Cloud au cœur de son infrastructure, ce qui lui a permis d'adopter de nouvelles applications cloud, de simplifier leur accès et de les intégrer avec ses solutions on-premise. Grâce à l'implémentation d'Okta, les utilisateurs ne sont plus obligés d'utiliser un VPN, ce qui accroît leur productivité et garantit leur sécurité en dépit des problèmes de bande passante limitée dans de nombreuses zones difficiles d'accès.
Cette solution fait partie d'une nouvelle stratégie Zero Trust axée sur la sécurité des individus et des données, plutôt que sur le périmètre du réseau. L'adoption d'une approche pointue et rigoureuse de la sécurité est d'autant plus importante que le NRC vient en aide à des personnes déjà très vulnérables, dont les données sont hautement sensibles. En déployant l'authentification multifacteur, l'organisation a renforcé la sécurité et simplifié l'accès de ses utilisateurs aux applications.
Le NRC s'est également associé à Okta dans le cadre d'une autre initiative : intégrer VMware Workspace ONE à Okta. Ce nouveau projet viendra renforcer le framework Zero Trust de l'organisation, qui disposera d'une meilleure visibilité sur les terminaux utilisés sur le terrain, pourra aider les collaborateurs sollicitant un accès depuis de nouveaux terminaux et sera en mesure d'établir des politiques d'accès très précises.
Enfin, le NRC prévoit d'abandonner complètement sa technologie on-premise, en remplaçant Active Directory par Okta Universal Directory. En utilisant ce dernier comme point de contrôle principal des identités, le NRC optimisera encore son budget en réduisant les coûts liés à la maintenance et aux licences, ainsi que ceux associés aux tâches IT à fort coefficient de main d'œuvre, comme le provisioning.
Amplifier l'impact avec l'informatique moderne
Comme de nombreux organismes sans but lucratif, le Norwegian Refugee Council fonctionne avec un budget limité, une petite équipe informatique et une main-d'œuvre tentaculaire qui comprend de nombreux employés et bénévoles à distance. Comme le NRC embauche souvent les mêmes personnes déplacées qu'il vise à aider, beaucoup sont des travailleurs temporaires. Tous ces facteurs, combinés aux restrictions gouvernementales et aux défis technologiques qui se posent lorsque vous travaillez aux quatre coins du monde, rendent difficile la communication efficace et la fourniture d'une aide humanitaire généralisée. Après avoir modernisé son infrastructure informatique - un processus qui comprenait l'adoption d'une stratégie de sécurité Zero Trust et la mise en place du cloud d'identité Okta au cœur de son nouveau cadre - le NRC est en mesure d'aider plus de personnes que jamais.
En situation de crise, nos équipes, où qu'elles se trouvent, doivent pouvoir accéder facilement et en toute sécurité à nos applications afin de communiquer, de prendre des décisions rapidement et, au final, d’accomplir leur mission au quotidien. En cas d'interruption, elles risquent de se retrouver hors ligne une demi-journée, ce qui peut vraiment ralentir les opérations de secours.
Pietro Galli, Head of ICT du NRC
Avantages
- Accès simplifié pour les collaborateurs
- Sécurité renforcée en l'absence de VPN
- Économies grâce au programme Okta for Good, qui associe tarifs préférentiels et services d'experts
- 2 000 heures de maintenance IT économisées
- Provisioning automatisé et accès immédiat des collaborateurs aux applications
- 135 000 dollars et 8 940 heures économisés chaque année grâce à la réduction du nombre de pannes de l’infrastructure
- Réseau de partenaires proposant des solutions technologiques abordables
- Solution de gestion des identités facilitant le passage d'un environnement hybride à une infrastructure cloud
- 232 000 dollars et 5 960 heures IT économisés grâce à l’automatisation du provisioning
- Réduction des pannes IAM, représentant 8 940 heures et 135 000 dollars d'économies IT par an
- Réduction du nombre de réinitialisations de mots de passe, permettant d’économiser 121 000 dollars par an en termes de productivité des collaborateurs et de réduction des coûts IT
Par-delà les frontières
Le nombre de populations déplacées dans le monde atteint des records. Les persécutions, les conflits armés et les catastrophes naturelles ont conduit plus de 68 millions de personnes à abandonner leur foyer et à sombrer dans la précarité. Le Norwegian Refugee Council (NRC) est une organisation non gouvernementale qui apporte une aide humanitaire à cette population de plus en plus nombreuse. Avec 7 000 travailleurs humanitaires et plus de 7 000 employés, le NRC intervient actuellement dans 32 pays, dont la Syrie, l’Irak, la Colombie, le Soudan du Sud et la République centrafricaine. Les travailleurs humanitaires du NRC sont souvent eux-mêmes des personnes déplacées ou des personnes issues des communautés locales.
« Notre travail est essentiellement axé sur l'aide directe », déclare Pietro Galli, Head of ICT du NRC. « Notre organisation œuvre dans les domaines de l'aide alimentaire, l'éducation, la fourniture d'abris, l'information et le conseil, l'assistance juridique, la gestion des camps et l'accès à l'eau potable. » Rien qu'en 2018, le NRC a apporté son aide à 9 millions personnes dans le besoin. Mais face à un niveau record de populations déplacées et à un monde de plus en plus agité, l'organisation est bien déterminée à venir en aide à un plus grand nombre de personnes et à intervenir dans les zones que les autres organismes à but non lucratif ne sont pas en mesure d'atteindre.
Il s'agit là d'une tâche infiniment complexe, d'autant que le NRC se focalise sur les personnes fuyant les conflits. « Des membres de notre organisation ont été kidnappés, confie Pietro Galli. Nous travaillons sous les bombardements au Yémen, ainsi que dans des pays comme la République centrafricaine, où des travailleurs humanitaires ont été tués. Ces situations sont chroniques et s'aggravent souvent au fil du temps. »
Certes, la technologie joue un rôle important dans l’atteinte de cet objectif, mais le NRC avait du mal à renforcer son agilité et sa sécurité, tout en gérant les coûts et les défis logistiques associés à un projet de modernisation majeur.
« À l'instar de nombreux autres organismes à but non lucratif, le NRC est sur le terrain depuis 60 ou 70 ans et la technologie est désormais indissociable de notre activité, déclare Pietro Galli. Par la nature même de notre activité, nous tenons à ce que, dans la mesure du possible, chaque dollar dépensé aille à nos bénéficiaires. La plupart des entreprises technologiques développent des solutions pour le cloud et pour le monde connecté. Or, nous intervenons dans des zones où cela n'est pas acquis. »
Concrètement, il peut être difficile et coûteux de déployer des technologies modernes dans des zones retirées, où les barrières politiques et géographiques sont dissuasives.
La connexion Internet est souvent un problème majeur pour tous ceux qui travaillent sur le terrain. « Nos équipes peuvent se retrouver plusieurs jours sans connexion, explique Pietro Galli. La synchronisation dans le cloud ne peut s’opérer qu'une fois par semaine, une fois de retour au bureau. »
Mais le problème est plus vaste : face à la diversité des rôles et des restrictions au sein des effectifs nombreux et géographiquement dispersés du NRC, il est difficile d’offrir aux équipes sur le terrain des options de communication et des outils IT standard répondant aux besoins de chacun.
L'organisation est parfaitement consciente du besoin urgent de protéger les données, d'autant que les personnes qu'elle assiste sont parfois des cibles dans les conflits armés. « Lorsque vous gérez l’identité et les données de personnes ayant dû fuir la guerre ou un régime autoritaire, ces informations sont essentielles à votre mission. Elles jouent aussi un rôle capital dans le bien-être et la survie de ces populations, confie Pietro Galli. Notre principal objectif est donc de protéger ces informations durablement. »
Trouver de nouveaux partenaires
Lorsque Pietro Galli a rejoint le NRC, l'organisation essayait déjà de résoudre certains de ses problèmes technologiques courants, mais les initiatives prises n'étaient pas soutenables à long terme. « Nous tentions de résoudre nos problèmes à grands renforts d'équipements, dans l'idée de créer un environnement sûr, accessible à l'ensemble de nos collaborateurs partout dans le monde », déclare-t-il. Le matériel était très coûteux et difficile à gérer, raison pour laquelle nous avons finalement décidé d'abandonner cette approche. »
À l'époque, l’environnement technologique de l'organisation était essentiellement on-premise, avec un data center, un système de planification des ressources d'entreprise, Active Directory, Exchange, SharePoint, une solution d'authentification multifacteur de base et un client e-mail.
« Les solutions en place n'étaient pas adaptées au paysage IT en train de voir le jour », affirme Mads Grandt, Global ICT Advisor. « Il fallait trouver un moyen de migrer dans le cloud tout en conservant l’environnement on-premise. Nous en étions tellement dépendants qu'il était impossible de couper le cordon du jour au lendemain. Nous nous sommes donc mis en quête d'un système capable de gérer ces deux aspects sur une longue période. »
NRC a rejoint NetHope, une organisation collaborative qui rassemble des organismes à but non lucratif et des entreprises technologiques dans le but d'améliorer les programmes, de réduire les risques et de favoriser le partage d'informations. En 2017, NetHope a également créé le CDN (Center for the Digital Nonprofit), dont Okta est l'un des deux parrains fondateurs, afin d'accompagner la transformation numérique des ONG.
En tant qu'ONG, le NRC dispose d'un budget limité, et ses investissements technologiques sont parfois difficiles à justifier. Grâce à NetHope, l'organisation a pu se rapprocher d'entreprises technologiques prêtes à soutenir ses initiatives.
« Outre des tarifs préférentiels, nous avions la possibilité de bénéficier de solutions adaptées aux domaines et environnements dans lesquels nous travaillons, explique Pietro Galli. Les partenaires qui accompagnent notre réussite sont ceux qui adaptent leurs produits à nos environnements et à nos besoins. »
Les opportunités de collaboration offertes par le CDN se sont également révélés d'une aide précieuse. « Nous utilisons les outils mis à disposition par le centre pour évaluer notre situation par rapport à nos pairs, mais aussi à des fins de comparaison, indique Pietro Galli. En voyant ce que font les autres, notre équipe dirigeante peut appréhender la situation plus clairement qu'en se reposant sur nos seules demandes internes. »
En rejoignant NetHope, le NRC a bénéficié des outils et du soutien nécessaires pour moderniser son infrastructure IT.
« NetHope a été un véritable multiplicateur de puissance pour notre parcours technologique, affirme Pietro Galli. Nous avons rencontré des organisations qui vivent les mêmes difficultés que nous, partagé nos expériences et tiré les leçons de nos échecs. »
Repenser la gestion des identités
Pour aider ses équipes sur le terrain et ses collaborateurs en interne à gagner en efficacité, le NRC avait besoin d’une solution de gestion des identités capable de réduire les points de friction et de sécuriser l’accès aux systèmes cloud et on-premise.
« Nous voulions vérifier l'identité des intervenants avant de leur permettre d'accéder aux systèmes et aux informations dont ils avaient besoin dans le cadre de leurs activités », indique Mads Grandt. « Tout tourne autour de l'identité. »
L'organisation a choisi Okta, qui fait également partie de NetHope, pour plusieurs raisons. Le NRC était notamment séduit par sa plateforme légère et sécurisée. Et grâce aux avantages d'Okta for Good, un programme proposant des tarifs préférentiels et des formations aux organismes à but non lucratif, il a pu acquérir les solutions d'Okta à moindre coût.
Okta a également mis le NRC en relation avec Cloudworks, une société de conseil spécialisée dans les solutions technologiques d'entreprise orientées cloud. Cette rencontre et la volonté affichée d'Okta de tout mettre en œuvre pour garantir la réussite du projet ont été deux facteurs déterminants dans la décision d'achat du NRC.
« Nous avons pu réaliser un PoC (Proof of Concept - démonstration de faisabilité) à grande échelle pour la gestion d'un environnement hybride, avec un minimum d'effort, confie Mads Grandt. C'était essentiel, puisque nos ressources IT sont limitées. »
Le PoC s'est révélé concluant, et le NRC a opté pour les solutions Okta Single Sign-On (SSO), Universal Directory, Lifecycle Management et Adaptive Multi-Factor Authentication (MFA). L'organisation a également commencé à migrer vers Office 365 et a adopté plusieurs autres applications SaaS, dont Workplace by Facebook, Zendesk et Kaya.
En seulement deux mois, le NRC a déployé avec succès son nouvel environnement pour 1 200 intervenants sur le terrain.
La voie est libre
Une fois la nouvelle infrastructure en place, les personnes sur le terrain ont pu accéder à leurs applications facilement et sans compromettre la sécurité. Il leur suffisait de se connecter au tableau de bord SSO d'Okta pour accéder aux applications cloud, comme Workplace by Facebook, ainsi qu'aux outils on-premise, tels que Unit4 Agresso et Citrix. Grâce à l’authentification multifacteur, le NRC n’a plus à passer par un réseau VPN, ce qui lui a permis d’économiser 324 000 dollars par an en coûts IT connexes.
« Lorsque nous avions un VPN, nous passions environ 2 000 heures à assurer la maintenance de l'environnement. Ce n'est désormais plus le cas, se réjouit Mads Grandt. Sans VPN à dépanner, nos collaborateurs ont un souci de moins à gérer lorsqu'ils décident de se connecter à nos systèmes. C'est un avantage de taille. »
Par ailleurs, l’architecture zéro indisponibilité d’Okta a considérablement amélioré la stabilité de l’infrastructure IT du NRC. Depuis le déploiement d’Okta, il a pu éliminer totalement les pannes système liées à la gestion des identités, ce qui lui permet d’économiser plus de 135 000 dollars et 8 940 heures par an en perte de productivité des collaborateurs. Un nombre d’heures considérable qui a pu être redirigé vers des projets plus stratégiques.
Tous les collaborateurs étaient également ravis de n'avoir qu'un seul mot de passe à mémoriser. « C'est une véritable bénédiction, confie Mads Grandt. Tous ces changements nous ont permis d'établir une politique de mots de passe équitable. »
Grâce à l’authentification unique, les collaborateurs du NRC ne doivent plus attendre que l’équipe IT réinitialise leurs mots de passe. Ils peuvent le faire eux-mêmes et continuent de travailler. Pendant ce temps, l’équipe IT resserrée du NRC a réduit le temps consacré à la réinitialisation de mots de passe de 2 235 heures par an. En tout, cette réduction du nombre de réinitialisations de mots de passe permet désormais d’économiser 87 000 dollars en coûts IT et 34 000 dollars en perte de productivité des collaborateurs par an.
Pour Pietro Galli, il fallait impérativement améliorer la gestion des accès. « En situation de crise, il est indispensable que nos équipes puissent, où qu'elles se trouvent, accéder facilement et en toute sécurité à nos applications afin de communiquer, prendre rapidement des décisions et, au final, accomplir leur mission au quotidien. »
En automatisant le provisioning grâce à la solution Lifecycle Management, l’organisation a économisé plus de 230 000 dollars (5 960 heures) de coûts IT par an liés à l’onboarding et à l’offboarding manuels. L’automatisation du provisioning représente un avantage énorme pour les personnes sur le terrain qui rejoignent l’organisation, car elles bénéficient désormais d’un accès immédiat au réseau. Et lorsqu’elles partent, l’accès est automatiquement révoqué, ce qui réduit considérablement le risque de brèche de sécurité.
« À présent, nous pouvons assurer le provisioning des applications en quelques clics, ce qui nous simplifie considérablement la tâche, confie Pietro Galli. Grâce à ce changement, tout est beaucoup plus rapide, notamment le déploiement de nouvelles applications. »
Contrôles et contrepoids
Lors du déploiement d'Okta, le NRC a commencé à jeter les bases d'une stratégie de sécurité Zero Trust. « Nous évoluons maintenant dans un environnement où l'essentiel n'est pas de sécuriser un bureau ou notre data center, mais bien les informations elles-mêmes, explique Pietro Galli. Il est donc très important de savoir qui a accès à quoi et quand. »
L'authentification multifacteur (MFA) joue un rôle important dans ce processus. La connectivité continuera à poser problème, mais le NRC peut proposer à ses collaborateurs différents facteurs à utiliser selon la situation dans laquelle ils se trouvent. Les personnes en interne utilisent souvent Okta Verify, alors que celles sur le terrain privilégient largement les SMS.
« Nous pouvons appliquer différents facteurs à différents contextes, indique Mads Grandt. Si nous n’avons pas de réseau cellulaire ou que nos agents n'ont pas de téléphone, les problèmes peuvent être contournés grâce aux différents facteurs MFA. » Cette approche granulaire permet au NRC de mettre en place des mesures de sécurité renforcées dans les situations délicates, tout en simplifiant la tâche de ceux qui travaillent dans des zones sûres ou qui accèdent à des applications sans données sensibles.
Le NRC peut également surveiller les accès beaucoup plus facilement. « À la moindre suspicion, nous consultons les journaux d'Okta pour évaluer la situation et trouver d'éventuels indices, explique Mads Grandt. Le cas échéant, nous pouvons réagir rapidement et examiner différents journaux dans d'autres applications. C'est très pratique. »
Les collaborateurs du NRC apprécient également ce regain de visibilité. « Leur identité et leur rôle sont difficiles à usurper », explique Mads Grandt. Nous garantissons leur intégrité et limitons le risque qu'ils soient accusés à tort. Nous protégeons non seulement nos propres données et leur accès, mais aussi nos collaborateurs. »
Pietro Galli est impatient de voir la stratégie Zero Trust du NRC évoluer. « Alors que le NRC poursuit sa transition d'un environnement hybride vers une infrastructure cloud, le Zero Trust nous permettra de gérer l'accès aux données dans le cloud de manière contrôlable et sécurisée », ajoute-t-il.
Aller de l'avant
L’organisation, qui a donc créé une nouvelle infrastructure hybride autour d'une solution de gestion des identités robuste, ne s’est pas arrêtée là. En 2018, le NRC a adopté une nouvelle stratégie de transformation numérique qui lui permettra de résoudre les derniers problèmes de connectivité et d’infrastructure, tout en continuant à évoluer vers un environnement exclusivement cloud.
« Notre partenariat avec des entreprises technologiques comme Okta et les forums comme celui de NetHope nous aident vraiment à piloter notre transformation numérique, affirme Pietro Galli. Vite et à grande échelle. Et ensemble, nous pouvons influer sur les besoins des personnes que nous essayons d'aider, plus efficacement et plus rapidement. Nous sommes convaincus que ce partenariat est la voie à suivre, et nous nous y engageons. »
Récemment, le NRC a avancé dans sa nouvelle stratégie cloud en éliminant Citrix, en adoptant SharePoint et en faisant migrer son système ERP dans le cloud.
« Active Directory ne fera plus partie du tableau. Nous aimerions vraiment faire du système de gestion des ressources humaines le point de contrôle central des identités, confie Mads Grandt. Nous souhaiterions également créer un portail partenaires pour nos externes et nos consultants afin qu'ils puissent assurer eux-mêmes l'onboarding de leurs sous-traitants, sans pour autant que l'équipe IT du NRC ait à s'occuper de toutes les approbations et de la configuration. »
Lorsqu’il aura supprimé Active Directory, ainsi que les services ADFS, DirSync et les passerelles des fournisseurs de services, le NRC espère économiser 171 000 dollars supplémentaires par an.
Une gestion granulaire avec VMware
Dans le cadre de sa transformation, le NRC continue de collaborer étroitement avec Okta. « C'est une véritable chance d'avoir un partenaire comme Okta, souligne Mads Grandt. N’importe qui peut vous vendre un logiciel, mais pour ce qui est de nouer une relation humaine riche, c'est une autre histoire. Je pense que c'est ce qui s’est produit entre le NRC et Okta : au-delà de l'aspect commercial, nous sommes des partenaires et des amis qui tentent de cerner et de résoudre des problèmes communs. »
En fait, Okta et le NRC se sont déjà attelés à un nouveau projet. Avec l'aide d'Okta for Good, le NRC attaque les premières phases d'intégration d'Okta avec VMware Workspace ONE. « Cette intégration va nous permettre d'associer les informations sur l'identité des utilisateurs disponibles dans Okta à celles sur le terminal disponibles dans VMware, explique Mads Grandt. Nous pourrons ainsi affiner le niveau d'accès des utilisateurs et les droits correspondants. C'est du moins notre objectif. »
En intégrant des contrôles d'accès granulaires au niveau des terminaux au sein même de sa stratégie globale, le NRC franchit une nouvelle étape dans le déploiement d'un framework Zero Trust mature, et renforce de ce fait la conformité et la sécurité de l'organisation. Cette démarche contribuera également à améliorer l'expérience de l'utilisateur final, qui se verra offrir de nouvelles possibilités, notamment un accès sans mot de passe et un enregistrement sécurisé sur les terminaux non gérés.
Bien qu’ils soient tournés vers l’avenir, Mads Grandt et Pietro Galli ont aussi pris le temps de mesurer le chemin parcouru en l'espace de trois ans.
« Nous avons effectué un véritable bond en avant en implémentant Okta, affirme Mads Grandt. En mobilisant simplement quelques-unes de nos ressources, nous avons pu abandonner notre infrastructure on-premise, déployer la solution de gestion des identités d'Okta et ajouter un très grand nombre d'applications cloud. C'est un changement radical, et je pense que nous avons toutes les cartes en main pour tirer pleinement parti du cloud à l'avenir. »
À propos du Norwegian Refugee Council
Le Norwegian Refugee Council (NRC) est une organisation humanitaire indépendante qui vient en aide aux personnes contraintes de fuir leur pays. En mission dans plus de 30 nations, le NRC protège les populations déplacées et les aide à se reconstruire. L'organisation est spécialisée dans six domaines : l'aide alimentaire, l'éducation, l’hébergement, l'assistance juridique, la gestion des camps, ainsi que l'eau, l'assainissement et l'hygiène.
