Une startup des années 70 avec un ancrage numérique
Lorsqu’il a fondé FedEx en 1973, Frederick W. Smith cherchait déjà à opérer une transformation digitale. Il est célèbre pour sa phrase : « Les informations sur le colis sont aussi importantes que le colis lui-même ». L’idée de son entreprise emblématique serait née d’un travail rédigé pour un cours d’économie à l’université de Yale, expliquant comment un service de livraison express pouvait fonctionner à l’ère informatique.
En 1980, FedEx mettait en relation des chauffeurs et partageait des informations de suivi avec les clients par le biais d’un réseau sans fil national lié à l’ordinateur central de l’entreprise. En 1994, alors que les sites web étaient une nouveauté pour la plupart des entreprises, FedEx.com proposait déjà des informations de suivi en ligne.
« Les clients de FedEx ont toujours attendu et bénéficié d’un service de qualité optimisé par les dernières technologies numériques, mais au fil des années, l’entreprise a accumulé une multitude de systèmes hérités et d’applications centrales », déplore Trey Ray, Manager of Cybersecurity chez FedEx. Il y a plusieurs années, Rob Carter, CIO de FedEx, a entamé une initiative de renouvellement IT visant à moderniser l’infrastructure de l’entreprise.
Cette initiative a conduit à la création du concept Cloud Dojo, lauréat des CIO 100 Awards, une équipe pluridisciplinaire d’experts qui pratiquent et partagent des techniques de développement modernes au sein de FedEx. « Nous utilisons de nouveaux outils de développement, tels que Spring Boot, Spring Security et Angular », explique Trey Ray. « Nous avons également investi dans le framework Cloud Foundry. »
La gestion des identités, une tâche sans fin
Les développeurs se sont toutefois heurtés à des obstacles du côté de la sécurité. « Voici vingt ans que nous jonglons entre différentes solutions isolées de gestion des identités et des accès (IAM) de pointe », ajoute-t-il. L’entreprise avait mis en place un VPN ainsi qu’une authentification multifacteur (MFA) on-premise, une fédération on-premise et une gestion des accès web on-premise.
« C’était une tâche sans fin, du point de vue de la sécurité », déclare Pat O’Neil, professionnel de la cybersécurité chez FedEx. « Chacune de ces solutions IAM était une opportunité de commettre des erreurs de configuration. »
Trey Ray est du même avis. « Même si nous avions fait en sorte que tout fonctionne ensemble avec les moyens du bord, le système présentait de nombreux points de friction pour nos développeurs », précise-t-il. « Ils essayaient d’adopter une approche moderne, mais devaient composer avec cet environnement hérité. »
Le sac de nœuds de l’infrastructure IAM de FedEx comportait aussi des inconvénients pour le reste de l’entreprise. « Il arrivait qu’un commercial FedEx doive saisir son mot de passe cinq fois avant de pouvoir travailler le matin », raconte Trey Ray.
En outre, l’infrastructure complexe limitait l’entreprise à deux référentiels d’identités, ce qui ralentissait les intégrations lors des acquisitions. Pour une entreprise visant le développement de ses activités à l’international et l’ajout de nouveaux services, c’était un problème.
La recherche d’une solution IAM
Pour résoudre les défis IAM, l’équipe de cybersécurité de FedEx a commencé à évaluer des solutions IDaaS (Identity-as-a-Service). « Nous avons lu beaucoup de livres blancs, regardé beaucoup de vidéos YouTube, parlé à beaucoup de spécialistes et réduit le champ des possibilités », explique M. Ray.
L’équipe a publié une demande d’informations (RFI) qui l’a aidée à réduire encore le nombre de candidats. « FedEx prend très au sérieux sa recherche de fournisseurs et est connu pour sa rigueur. Demandez donc à nos ingénieurs techniques Okta ! », affirme Trey Ray. FedEx a tranché pour Okta.
Six raisons expliquent ce choix :
Interopérabilité avec les solutions FedEx existantes – « Okta s’est intégré à nos solutions existantes », explique Trey Ray. « Par exemple, nous bénéficions d’une intégration étroite entre Okta et VMware Workspace ONE. »
Facilité d’implémentation – « Il était important que les responsables de la sécurité puissent utiliser une console d’administration unique, plutôt que de jongler entre quatre ou cinq sites web différents », explique-t-il.
Disponibilité des API – « La disponibilité des API est l’un des piliers de notre initiative de renouvellement IT », précise Trey Ray. « La majeure partie des opérations pouvant être exécutées avec la console d’administration Okta peut également être effectuée avec des API. »
Large éventail d’options MFA – En plus d’Okta Verify avec notifications push, Okta prend en charge les authentificateurs matériels et modernes, comme FIDO U2F de l’Alliance FIDO, Yubikey et WebAuthn.
Universal Directory et possibilité d’agréger facilement les identités de plusieurs référentiels d’utilisateurs – « Nous sommes une grande entreprise qui achète d’autres entreprises. Nous avons donc beaucoup de référentiels », déclare M. Ray.
Compatibilité clé en main avec des applications de développement majeures, dont Spring Boot, Spring Security et Cloud Foundry.
Dépasser le stade des mots de passe grâce au Zero Trust
Même si l’équipe de cybersécurité de FedEx a étudié l’infrastructure IAM de l’entreprise dans l’objectif de la simplifier et de la moderniser, elle gardait en tête son objectif plus large de déployer un modèle de sécurité Zero Trust.
« Les mots de passe compromis sont généralement la première étape de la chaîne de frappe d’une brèche de données. C’est la méthode employée par les cyberattaquants pour obtenir un accès initial avant de se déplacer latéralement dans le réseau, puis de procéder à une élévation des privilèges », détaille Trey Ray. « L’utilisation des seuls mots de passe n’est plus une option viable ou défendable pour authentifier les identités FedEx et protéger nos ressources numériques. »
Une approche Zero Trust traite l’ensemble du trafic réseau, interne et externe, comme des activités non fiables. Pour FedEx, une telle stratégie consister à vérifier les utilisateurs et terminaux, en évaluant chaque situation de connexion en contexte et en s’appuyant sur les résultats pour personnaliser l’expérience de connexion en fonction du niveau de confiance qui lui est attribué.
« Le fournisseur d’identité de l’entreprise joue un rôle clé dans cette stratégie Zero Trust », précise Trey Ray. « C’est pourquoi il est primordial de choisir le bon fournisseur. La combinaison d’Okta Identity Cloud avec le modèle IaaS, d’Okta Universal Directory et d’Okta Single Sign-On était la solution la plus adaptée pour FedEx. »
Le fait qu’Okta prenne en charge des protocoles d’authentification moderne, tels que SAML 2.0 et OpenID Connect, lui permet de prendre en charge les applications FedEx, qu’il s’agisse d’applications SaaS, cloud natives ou héritées.
L’équipe tire également parti du partenariat d’Okta avec F5 pour faire le lien entre le modèle Zero Trust et les applications on-premise héritées. « F5 BIG-IP Access Policy Manager (APM) procède à une transformation de protocole à l’aide de méthodes modernes, mais redirige tout de même les utilisateurs vers les applications héritées comprenant tous les headers ou cookies requis par chaque application », explique Prashanth Karne, Cybersecurity Principal chez FedEx. L’équipe peut ainsi sécuriser l’ensemble du trafic HTTP vers et depuis les applications back-office sans utiliser de VPN.
Okta Adaptive Multi-Factor Authentication permet à FedEx de définir des exigences de vérification contextuelle pour les utilisateurs. L’équipe se concentre actuellement sur Okta Verify, mais utilise des tokens matériels OATH plus anciens pour certains cas d’usage et pilote des authentificateurs modernes comme FIDO U2F, Yubikey et WebAuthn.
« Lorsque je me connecte à l’interface d’administration Okta, je peux utiliser Touch ID sur mon MacBook de façon très fluide », se réjouit Trey Ray.
Device Trust est le prochain composant Zero Trust sur la liste de FedEx. Il lui permettra de s’assurer que chaque terminal accédant aux applications de l’entreprise dispose d’un niveau de sécurité et de conformité adéquat. Trey Ray a hâte d’explorer Okta Platform Services, qui permet notamment d’embarquer Okta sur chaque terminal et d’offrir une visibilité accrue, des décisions contextualisées concernant l’accès, ainsi que des connexions utilisateurs cohérentes sans mot de passe.
Grâce à Okta, l’équipe de cybersécurité de FedEx gère l’accès conditionnel dans toute l’entreprise à partir d’un seul moteur de politiques d’accès qui couvre chaque application sur le réseau. « C’est le cerveau », affirme Trey Ray. « Il nous aide à personnaliser l’expérience de connexion, que ce soit avec un mot de passe seul, aucun mot de passe ou un mot de passe associé au MFA. Le moteur nous aide à créer ces politiques et règles ainsi qu’à prendre ces décisions concernant l’accès. »
L’analyse du comportement des utilisateurs est le dernier composant de la stratégie Zero Trust de FedEx. L’équipe utilise Splunk et des techniques de machine learning pour extraire les riches données d’identité qu’elle collecte auprès d’Okta, et les exploite pour identifier les comportements suspects et prendre des décisions proactives concernant les politiques.
Zero Trust : étude de cas
Il est intéressant de noter que le Zero Trust repose souvent sur des relations de confiance entre les technologies de différents fournisseurs et sur une collaboration entre des équipes partenaires pour fournir des fonctionnalités de vérification optimisées. La relation de FedEx avec VMware, Okta et Workday est un bon exemple.
FedEx assure la gestion des terminaux mobiles avec Workspace ONE et utilise Workday comme système d’information de gestion des ressources humaines. Lorsque Workday a annoncé qu’il permettait de limiter l’accès en libre-service en fonction du type de terminal, l’équipe de cybersécurité de FedEx a collaboré avec Okta et VMware pour définir des règles de routage afin de tirer parti de cette fonctionnalité.
Le flux implique une série de redirections permettant à Workspace ONE de vérifier l’état des terminaux et à Okta de retransmettre ces informations à Workday. Les utilisateurs équipés de terminaux gérés FedEx profitent d’un accès fluide et sans mot de passe à leurs informations Workday, tandis que ceux utilisant des terminaux non gérés bénéficient d’un accès limité via leur nom d’utilisateur, leur mot de passe et Okta Verify avec notifications push.
Rapidité de déploiement à une période critique
En février 2020, alors que la pandémie de COVID-19 s’abattait sur les États-Unis, l’équipe FedEx était encore au début du processus d’intégration de ses applications à Okta.
« Compte tenu de la généralisation du télétravail, nous avons dû accélérer une partie de ce processus », explique Trey Ray. Ryan Rudnitsky, Senior Customer Success Manager chez Okta, a coordonné les équipes FedEx et Okta lors de cette transition, avec des rapports toutes les heures envoyés à la direction pour rendre compte de la progression des opérations.
« En 36 heures, nous sommes parvenus à migrer Workday, Office 365, Webex, ServiceNow, Salesforce, Check Point VPN et Zoom vers Okta », se réjouit Trey Ray. Les deux équipes ont été extraordinaires et ont accéléré la cadence pour atteindre l’objectif fixé.
Trey Ray attribue une grande partie de la réussite de son équipe à une bonne communication. Avant le déploiement, les équipes FedEx et Okta ont collaboré avec l’équipe de communication de FedEx pour créer une marque pour la solution — « PurpleID » — ainsi qu’un site web, des e-mails informatifs, des foires aux questions (FAQ) et des vidéos promotionnelles montrant aux utilisateurs comment s’inscrire dans Okta Verify.
Lorsqu’il s’entretient avec d’autres responsables de la sécurité qui mettent en place des initiatives Zero Trust, il leur recommande également d’obtenir l’adhésion de la direction. « Si vous n’avez pas l’adhésion de tous, jusqu’au DSI et RSSI, le projet est voué à l’échec », avance-t-il.
Trey Ray conseille de diviser le projet en phases gérables. FedEx a commencé par les applications SaaS avant de passer aux applications cloud natives et de terminer par les applications héritées. Sa collaboration étroite avec Okta a joué un rôle déterminant, et il a utilisé un intégrateur tiers pour les applications plus délicates.
Un cloud unifié pour les applications SaaS, on-premise et cloud natives
Les résultats obtenus sont plus que satisfaisants. L’équipe FedEx progresse bien dans la mise hors service des solutions IAM héritées et l’intégration de ses quelque 250 applications SaaS, 500 applications on-premise et 400 applications cloud natives à la solution Okta.
« Le summum pour nous, c’est de pouvoir adapter nos applications à la consommation et à des situations hybrides, telles que la colocation ou même des clouds publics, afin de gérer les pics de volume, ce qui peut représenter un défi de taille dans notre secteur d’activité », avance Pat O’Neil.
« Désormais, grâce à ce modèle, nous pouvons valider notre posture de sécurité de manière centralisée », explique-t-il. « Les équipes de développement n’ont plus qu’à se préoccuper d’un seul token. Elles gèrent l’authentification et l’autorisation de manière cohérente où qu’elles soient déployées. »
En cas de fusion-acquisition, l’équipe utilise un agent on-premise léger pour agréger les référentiels d’identités au sein d’Okta Universal Directory. Cette stratégie l’aide à intégrer de nouvelles entreprises bien plus rapidement.
Grâce à une plateforme cloud native couvrant les applications SaaS, cloud natives et héritées, ainsi qu’à un annuaire unifié pour l’ensemble des collaborateurs FedEx, tout le monde peut se connecter et se mettre au travail avec moins de points de friction et de complications. En parallèle, la stratégie Zero Trust complète de l’entreprise accroît la sécurisation des données et applications FedEx.
À propos de FedEx
FedEx Corp. propose aux particuliers et aux entreprises du monde entier une large gamme de services commerciaux, de transport et d’e-commerce. Avec un chiffre d’affaires annuel de 70 milliards de dollars, l’entreprise fournit des solutions commerciales intégrées par le biais de sociétés d’exploitation qui font face à la concurrence de façon collective et sont gérées de manière collaborative sous la marque FedEx. Constamment classé parmi les employeurs les plus admirés et les plus fiables au monde, FedEx incite ses quelque 475 000 collaborateurs à se focaliser sur la sécurité, les normes éthiques et professionnelles les plus rigoureuses, ainsi que les besoins de leurs clients et communautés.
