Abandon d’Active Directory : Thoughtworks fait confiance à Okta pour renforcer sa sécurité et améliorer sa productivité

Une approche cloud first

En tant que TechOps Head of Technology de Thoughtworks, Phil Ibarrola est chargé de rendre les systèmes IT utilisés par l’entreprise plus efficaces, sécurisés et accessibles par les collaborateurs. Il s’agit d’un rôle essentiel pour l’entreprise internationale spécialisée dans le conseil en logiciels, car la productivité des collaborateurs est directement liée aux revenus : le personnel de ThoughtWorks doit être en mesure de travailler avec des outils fiables depuis n’importe quel emplacement.

À mesure que le travail est devenu plus distribué et géographiquement dispersé et que l’entreprise s’est développée, les systèmes IT de Thoughtworks ont considérablement évolué. « Nous sommes passés d’un environnement traditionnel hébergé on-premise à une entreprise cloud first », explique Phil Ibarrola. Les applications et les systèmes cloud permettent à l’entreprise de monter en charge rapidement pour répondre au taux de croissance annuel des effectifs de 10 à 15 %, tout en réalisant des économies par rapport aux logiciels traditionnels. « En 2011, nous pensions que le cloud représentait l’avenir du monde du travail, explique Phil Ibarrola. Et nous sommes toujours persuadés que c’est la direction dans laquelle se dirige le marché. »

Dans le cadre de sa migration vers le cloud, Thoughtworks a adopté une approche axée sur des technologies de pointe et souhaite utiliser des outils et services de qualité d’un éventail de fournisseurs. Au fil du temps, Thoughtworks, qui n’utilisait auparavant que Microsoft, a remplacé ses serveurs, a diversifié sa pile d’applications et a équipé la plupart de ses collaborateurs d’ordinateurs portables Mac.

Un écosystème IT trop complexe

Avec moins de terminaux Microsoft et davantage de logiciels cloud, la dépendance de Thoughtworks vis-à-vis de Microsoft Active Directory devenait de plus en plus difficile à gérer. « Microsoft Active Directory devenait un aspect moins important et moins intéressant de notre infrastructure, indique Phil Ibarrola. Il n’évoluait pas en même temps que l’entreprise. »

L’environnement IT de l’entreprise était devenu lourd et complexe. Par exemple, tout le provisioning était assuré manuellement ou par le biais d’intégrations créées sur mesure. « Ça partait dans tous les sens, admet Phil Ibarrola. Nous avions une multitude de scripts de synchronisation peu fiables liant nos systèmes à Active Directory. C’était instable et difficile à gérer. » Les applications non standard pour l’entreprise, c’est-à-dire celles qui ne sont pas automatiquement attribuées aux nouvelles recrues, posaient particulièrement problème car elles étaient souvent gérées par différents groupes métier. L’équipe IT jouait donc le rôle d’agent de la circulation entre les différentes parties.

En cas de désynchronisation d’Active Directory ou de dysfonctionnement des scripts, les administrateurs IT consacraient un temps et des efforts considérables à l’identification de la cause profonde du problème, tandis que les collaborateurs se voyaient contraints d’interrompre leurs activités. « Si nos systèmes d’authentification bloquent l’accès du personnel en raison d’une défaillance d’Active Directory, nous perdons de l’argent, car nos collaborateurs ne peuvent pas accéder aux feuilles de temps ni facturer des clients, ni même travailler tout court, explique Phil Ibarrola, parce qu’ils ne parviennent à accéder à aucune application métier stratégique. »

« Active Directory comportait une grande part de risque que nous ne pouvions pas contrôler, étant donné que nous ne disposons pas des compétences requises et que nous ne parvenons pas à attirer des experts en la matière », poursuit-il.

Ce manque de savoir-faire a également engendré de sérieux problèmes de sécurité. « Créée il y a 25 ans, notre entreprise utilise un modèle de sécurité réseau d’ancienne génération, explique Phil Ibarrola. Étant donné que nous ne sommes pas des experts en systèmes Windows, il est fort probable que nous n’exercions pas un contrôle suffisant sur nos serveurs Active Directory. Des individus malintentionnés auraient pu infiltrer nos serveurs Active Directory par force brute, par exemple, et ces intrusions nous auraient totalement échappé, ou nous les aurions détectées beaucoup trop tard. »

De nombreuses demandes d’assistance

Pour réduire ces risques, Thoughtworks a déployé la solution d’authentification multifacteur (MFA) RSA. Malheureusement, celle-ci a eu une incidence négative sur la productivité des collaborateurs : plus de 35 % des demandes d’assistance étaient liées aux jetons de sécurité physiques RSA. Les collaborateurs passaient beaucoup de temps à répondre aux invites MFA et leurs accès étaient régulièrement bloqués pendant plus de 30 minutes pendant les cycles de réinitialisation de l’authentification multifacteur et du mot de passe.

De nombreux collaborateurs de Thoughtworks travaillent à distance sur des ordinateurs portables et des terminaux mobiles, ce qui a soulevé d’autres problèmes. Par exemple, lorsque l’équipe IT a voulu instaurer pour la première fois une politique BYOD (Bring Your Own Device, utilisation des terminaux personnels dans la sphère professionnelle), Phil Ibarrola était inquiet. « Si nous nous lançons dans le BYOD et la gestion des mobiles, quel sera l’impact sur notre culture de la confiance et de l’ouverture ? » Phil Ibarrola et son équipe ont décidé de mettre au point une stratégie mobile protégeant les données importantes de l’entreprise et de ses clients, tout en offrant une expérience utilisateur positive.

En quête d'une entreprise utilisant des normes ouvertes

Phil Ibarrola savait que l’équipe IT ne pouvait pas faire face à la croissance de l’entreprise avec la stratégie en place sans un changement radical. Afin d’alléger la charge des équipes d’assistance, il voulait adopter une approche SaaS. « Nous nous sommes tournés vers le cloud car nous nous développions à un tel rythme que notre équipe IT était dépassée avec nos logiciels on-premise d’ancienne génération », explique Phil Ibarrola.

L’équipe IT s’est d’abord attaquée aux applications de productivité métier de l’entreprise. Plus de 2 000 collaborateurs de Thoughtworks ont migré de la suite professionnelle on-premise de Microsoft aux applications Google. Phil Ibarrola s’est ensuite attaqué au problème de la solution d’authentification multifacteur RSA, dont les faiblesses empêchaient les collaborateurs d’accéder aux applications. Il s’est alors mis en quête d’un meilleur système de gestion des identités capable d’accompagner la migration de son entreprise vers le cloud. « Il fallait impérativement améliorer la situation, pour le département IT, mais aussi pour nos utilisateurs finaux », déclare-t-il.

Phil Ibarrola était convaincu que les normes ouvertes étaient le meilleur moyen de garantir l’interopérabilité et l’utilisation d’applications de pointe. « Nous recherchions une solution SSO qui puisse prendre en charge les normes ouvertes et nous permettre d’accélérer notre migration vers le cloud », explique-t-il.

L’architecture cloud sécurise la gestion des identités

Phil Ibarrola a choisi Okta Identity Cloud après avoir évalué un certain nombre de solutions de gestion des identités et des accès (IAM). « Okta était de loin la meilleure solution ; elle remplissait tous les critères et possédait une vraie architecture cloud. » Il a également apprécié la flexibilité de la solution Okta Adaptive MFA. « Le principal avantage d’Okta en termes d’expérience utilisateur était pour nous l’authentification multifacteur et la simplicité de configuration par rapport à notre solution précédente. »

Okta Universal Directory a permis à l’équipe IT de Thoughtworks de déployer un référentiel d’utilisateurs cloud d’une grande flexibilité, afin de pouvoir personnaliser, organiser et gérer n’importe quel ensemble d’attributs utilisateurs. Thoughtworks a ensuite déployé Okta Lifecycle Management en association avec Access Request Workflow pour automatiser la délégation des demandes d’accès en libre-service aux responsables des applications métier. « En conséquence, l’expérience utilisateur est meilleure, avec des délais de traitement réduits, moins d’obstacles et des transferts de tâches limités », résume Phil Ibarrola. De plus, l’équipe IT n’a plus à jouer les intermédiaires entre les utilisateurs et les responsables des applications métier, ce qui rationalise l’ensemble du processus.

Réduction de la dépendance vis-à-vis d’Active Directory

Une fois Okta Identity Cloud déployé, Phil Ibarrola et son équipe ont constaté qu’ils pouvaient également supprimer Microsoft Active Directory de leur infrastructure. « Nous ne voulions plus dépendre d’Active Directory compte tenu de son instabilité. Le risque était trop important et il existait une meilleure alternative », affirme-t-il. Non seulement l’abandon d’Active Directory simplifierait l’environnement IT global et renforcerait la sécurité, mais il réduirait également les coûts. « Autre avantage : nous pouvions retirer Active Directory de notre contrat d’entreprise et diminuer nos dépenses globales liées à Microsoft », indique Phil Ibarrola.

La stratégie de Phil Ibarrola s’est articulée en deux temps. Tout d’abord, il fallait s’assurer qu’aucune nouvelle application ou ressource ne dépendait de l’infrastructure Active Directory. « Cela a facilité notre transition, indique Phil Ibarrola. Cette étape était indispensable. »

Ensuite, il fallait commencer à remplacer de manière stratégique les composants d’Active Directory. Phil Ibarrola et son équipe ont identifié toutes les applications et ressources, y compris les imprimantes et les réseaux, qui dépendaient d’Active Directory. « Une fois que nous avions établi une liste pratiquement exhaustive, nous avons défini nos priorités. Nous avons ensuite désactivé ces ressources une par une puis, nous nous sommes dissociés d’Active Directory. »

L’abandon d’Active Directory doit être un processus délibéré et planifié avec soin, mais Phil Ibarrola estime que le jeu en vaut la chandelle. « Nous percevons déjà les avantages de cette indépendance vis-à-vis d’Active Directory pour la délégation de l’authentification, se réjouit-il. Nous avons gagné en sérénité, car nous savons qu’Active Directory n’est plus une composante essentielle de notre infrastructure. »

Les équipements réseau et le Wi-Fi sont les seuls éléments encore intégrés à Active Directory. Phil Ibarrola estime que Thoughtworks aura totalement abandonné Active Directory dans les six prochains mois.

Gains de temps et économies

Thoughtworks compte désormais plus 100 applications cloud connectées à Okta. « Nous avons adopté il y a longtemps une approche cloud first de la plupart de nos services principaux. Nous avons d’abord déployé G Suite en 2008 et nous sommes fiers d’avoir fait partie des premiers utilisateurs d’Okta, de Zoom, de Box et bien d’autres. Les outils favorisant la collaboration au sein de notre environnement de travail distribué et dispersé vont tous être gérés via le cloud. C’est l’avenir du monde du travail. »

Avec 16 applications intégrées à Okta Lifecycle Management, Thoughtworks a économisé plus de 1 000 heures d’onboarding, d’offboarding et d'assistance manuelle.

L’onboarding est nettement plus prévisible et fiable. Lorsque les nouvelles recrues intègrent l’entreprise, leurs applications validées par l’équipe IT sont toujours provisionnées correctement. Afin de protéger les données et la propriété intellectuelle, l’équipe IT peut rapidement révoquer les accès des collaborateurs qui quittent l’entreprise. Par ailleurs, Thoughtworks utilise le reporting d’Okta pour faire face aux éventuels audits. Un offboarding efficace permet également de réaliser des économies pour les applications cloud. « La révocation rapide des accès nous permet de contrôler les coûts des licences et des abonnements », souligne Phil Ibarrola.

Grâce à Okta Adaptive MFA, le nombre total de demandes d’assistance pour réinitialiser les identifiants MFA et les mots de passe a diminué de 90 %, soit une économie de 800 000 dollars. En outre, les utilisateurs finaux passent beaucoup moins de temps à répondre aux invites MFA grâce à Okta Verify avec notifications push et à un cadre de politiques de sécurité flexible, soit un gain de productivité de plus de 400 000 dollars. Thoughtworks a également enregistré un grain de rentabilité de 200 000 dollars en matière de sécurité.

Par ailleurs, Okta a éliminé les coûts associés à la maintenance de l’intégration pour 25 applications. L’abandon de RSA a permis à Thoughtworks de réaliser 50 000 dollars d’économies supplémentaires. La réduction des pannes système a également généré un gain de productivité estimé à 300 000 dollars.

« Okta est la pièce maîtresse de toutes nos authentifications, déclare Phil Ibarrola. Nous nous sentons nettement plus confiants, car nous savons qu’Okta fournit toutes les fonctions de surveillance et d’analyse nécessaires. Nos mots de passe et notre principal référentiel d’identités sont entre les mains d’Okta. Nous sommes rassurés de savoir que l’équipe d’experts d’Okta les protège mieux que nous n’aurions jamais pu le faire en interne. »

L’objectif de Phil Ibarrola est de déployer Okta Advanced Server Access pour les serveurs Linux on-premise encore utilisés par Thoughtworks. « Okta est un éditeur et un partenaire formidable, qui vous explique clairement tout ce qui se passe et ce qui vous attend », se réjouit Phil Ibarrola.

À propos de Thoughtworks

Thoughtworks est un éditeur de logiciels qui a vu le jour il y a plus de 20 ans à Chicago. La petite structure de départ est devenue une grande entreprise de passionnés, comptant plus de 43 bureaux et 7 000 collaborateurs dans 14 pays.