La réussite d’une start-up
À son lancement il y a plus de sept ans, Kiwi.com n’avait qu’un seul objectif : proposer à ses clients des solutions de voyage plus flexibles. La société a commencé par proposer des services de « Virtual Interlining », qui utilisent un algorithme pour établir des correspondances entre des lignes aériennes qui n’ont pas nécessairement vocation à se croiser.
« Kiwi.com est le seul "Virtual Carrier" qui peut vous emmener de Brno à Los Angeles, et même émettre votre billet », affirme David Pavlik, Chief Information Officer chez Kiwi.com. « Nous pouvons également combiner des classes différentes, par exemple si vous vous rendez à Los Angeles, vous réserver le vol court-courrier en classe économique et le long-courrier en classe affaires. »
Par la suite, la société s’est diversifiée dans le transport terrestre (taxis, trains et bus), et a ajouté une garantie très appréciée. « Nous nous assurons que vous parviendrez à destination, même si vous ratez une correspondance pour une raison quelconque, ajoute David Pavlik. Notre but ultime est de rapprocher les gens, de leur donner la possibilité d’aller d’un point A à un point B n’importe où dans le monde. »
Plébiscité, le site web de Kiwi.com prend maintenant en charge des millions d’utilisateurs, des milliards de recherches et un afflux massif de données. Pour faire face à cette croissance, Kiwi.com a dû rapidement augmenter ses effectifs. La société emploie aujourd’hui plus de 3 000 personnes et compte des centres d’assistance client dans le monde entier.
« Parallèlement à notre développement technologique et à la diversification de nos produits, nous avons multiplié le nombre de nos collaborateurs et de nos filiales dans le monde, témoigne David Pavlik. Pour gérer cette expansion, il nous fallait renforcer considérablement notre infrastructure technique. »
Un paysage IT hétéroclite
Comme pour la plupart des start-ups, l’infrastructure IT de Kiwi.com reposait sur un modèle « cloud first ». Tous les services orientés client étaient hébergés dans le cloud et l’infrastructure interne de Kiwi.com dépendait principalement d’applications SaaS. L’empreinte on-premise de la société se limitait à deux ou trois serveurs internes, et pour cause :
« Dans le cloud, vous savez que vos fournisseurs innovent, mettent à niveau et gèrent les services à votre place, reconnaît David Pavlik. Vous pouvez faire évoluer la capacité de votre infrastructure à la hausse ou à la baisse en fonction des besoins ou, si c’est vraiment nécessaire, changer facilement de fournisseur. Cette stratégie s’est révélée payante depuis des années. »
Mais quand la petite start-up est devenue une multinationale, l’approche initiale (l’ajout d’applications SaaS à la demande) ne fonctionnait plus. La société avait besoin d’une source fiable et unique, et d’une infrastructure consolidée de gestion des identités pour gérer efficacement les accès et le provisioning des utilisateurs.
« En termes de sécurité, tant que l’entreprise est de petite taille, il est beaucoup plus facile de faire fonctionner votre environnement sur quelques instances cloud, constate David Pavlik. Mais dès que cet environnement inclut des milliers d’instances et des fournisseurs multiclouds, la tâche devient bien plus ardue. »
L’infrastructure de Kiwi.com se heurtait à 3 difficultés : « La première était le manque de visibilité sur le système et les paramètres, se souvient David Pavlik. La deuxième était la charge supplémentaire que représentait la gestion de tous les systèmes. Et la troisième était notre incapacité à automatiser les workflows en raison de leur complexité. »
D’après David Pavlik, cette situation a généré une charge de travail énorme pour l’équipe IT qui avait « besoin de renfort pour gérer tous les outils, tous les comptes et toutes les difficultés ».
En l’absence de workflow automatisé, il arrivait que les collaborateurs patientent bien plus longtemps que nécessaire pour accéder aux outils indispensables, ce qui avait des répercussions en termes de productivité. Dans le même temps, le recours à un déprovisioning manuel présentait un risque, car il augmentait la probabilité qu’un ancien collaborateur conserve son accès à des applications sensibles.
« Il n’existait aucune source fiable et unique offrant une vision globale de l’environnement de Kiwi.com du point de vue des comptes ou des identités, poursuit David Pavlik. Ce n’était pas complètement ingérable, mais c’était nettement plus compliqué. La société aurait quand même pu évoluer en conservant son infrastructure d’origine, mais cela nous aurait considérablement ralentis. »
Une solution de gestion des identités alliant fiabilité et flexibilité
David Pavlik souhaitait libérer tout le potentiel de Kiwi.com en optimisant l’efficacité de l’équipe du service client, en aidant les développeurs à mettre au point de nouveaux produits et services le plus rapidement possible et, de façon générale, en réduisant la complexité. Pour atteindre ces objectifs, Kiwi.com avait besoin d’un solide partenaire en gestion des identités.
« Il ne fait aucun doute que nous sommes une entreprise technologique dynamique, affirme David Pavlik. Nous devons absolument rester à la pointe du développement technologique, car cela nous confère un avantage concurrentiel. »
Kiwi.com a commencé à rechercher un partenaire digne de confiance, certifié par un organisme indépendant et ayant fait ses preuves en termes de conformité aux normes du secteur. Le bon prestataire se devait également de proposer des solutions de gestion des identités flexibles et évolutives, capables d’évoluer au rythme de l’entreprise.
« D’un point de vue technique, la plateforme d’Okta répond à tous ces critères, affirme David Pavlik. Elle offre un écosystème d’une grande richesse et, si j’examine le roadmap, je m’aperçois qu’Okta a encore énormément de potentiel à exploiter. C’était sans doute le facteur clé, à nos yeux. Nous n’avons pas simplement acheté une boîte noire pour une solution unique, nous avons intégré une plateforme qui évoluera en fonction de nos besoins. »
David Pavlik était également enchanté du service à la clientèle et du support technique d’Okta. « Nous avons vraiment apprécié les échanges avec les collaborateurs d’Okta », assure David Pavlik. « Ils nous ont fourni des informations extrêmement précises. »
Après avoir déterminé ses besoins avec l’équipe d’Okta, Kiwi.com a choisi la série de produits Workforce Identity, dont Universal Directory, Single Sign-On, Adaptive Multi-Factor Authentication, Lifecycle Management et API Access Management.
En quête de consolidation
En concertation avec Okta, Kiwi.com a établi une roadmap avec trois grands objectifs :
1. Permettre aux collaborateurs d’accéder aux applications via l’authentification unique (SSO)
2. Sécuriser toutes les applications à l’aide de l’authentification multifacteur (MFA) ou d’un VPN
3. Définir le système RH comme référentiel principal afin que toute modification apportée à un profil utilisateur entraîne automatiquement le provisioning de cet utilisateur dans les applications appropriées (ou son déprovisioning complet, le cas échéant)
Kiwi.com a entamé sa transition en faisant migrer ses collaborateurs dans Universal Directory et en implémentant l’authentification unique (SSO) d’Okta. Ensemble, ces produits ont fourni aux administrateurs une vue consolidée des systèmes, tandis que les collaborateurs ont bénéficié d’un accès simplifié aux principales applications, dont G Suite, Jira et Confluence.
« Du point de vue d’un collaborateur, il s’agit essentiellement d’avoir un espace de travail bien défini, indique David Pavlik. Je peux ouvrir mon portail Okta et cliquer sur l’application dont j’ai besoin pour travailler. Je vois immédiatement les éléments auxquels j’ai accès. »
Ce gain de visibilité a également amélioré la prise de décision au niveau opérationnel. « Il est particulièrement intéressant de pouvoir surveiller l’utilisation des applications, explique David Pavlik. Nous contrôlons activement le nombre de personnes autorisées à accéder aux applications et la fréquence à laquelle elles s’en servent, ce qui nous permet de prendre des décisions éclairées. Faut-il diminuer le nombre de licences d’un outil spécifique ? Ou faut-il demander aux collaborateurs pourquoi ils n’utilisent pas l’outil ? Nous sommes vraiment mieux à même de gérer nos solutions cloud. »
Kiwi.com continue à intégrer de nouvelles applications, dont les outils de développement GitLab et Datadog. « Okta fait désormais partie intégrante de notre vie professionnelle au quotidien, constate David Pavlik. Maintenant, quand nous cherchons un nouvel outil pour une fonction métier particulière, nous prenons systématiquement en compte la gestion des identités. Si l’outil n’est pas compatible avec Okta, nous préférons ne pas l’utiliser, car il compliquerait la donne et représenterait une charge supplémentaire. »
Il reste encore à l’entreprise un certain nombre d’applications à intégrer, mais le déploiement est généralement très rapide. « Globalement, entre la signature du contrat avec Okta et le lancement des cinq premières applications, il ne s’est écoulé que trois ou quatre mois, estime David Pavlik. À présent, notre objectif est d’intégrer une nouvelle série d’applications chaque trimestre. »
Même si Kiwi.com a encore du pain sur la planche, les avantages ne se sont pas fait attendre. Les demandes de réinitialisation de mot de passe, par exemple, sont beaucoup moins nombreuses ; l’entreprise reçoit maintenant presque 12 000 demandes de moins par an, soit un gain de 2 932 heures de travail pour les administrateurs.
Une sécurité renforcée
Une fois le processus d’intégration bien engagé, Kiwi.com a commencé à renforcer sa sécurité à l’aide d’Adaptive Multi-Factor Authentication. Il s’agit là d’un volet essentiel de la stratégie Zero Trust de l’entreprise. « Nous sommes très présents à l’international », souligne David Pavlik. « Nous devons vérifier l’identité de tous ceux qui se connectent à notre infrastructure, où qu’ils se trouvent sur la planète. »
Ce processus implique notamment d’imposer des restrictions au niveau des adresses IP pour les collaborateurs des centres de service client. « En gros, nous pouvons mettre sur liste blanche les adresses IP des prestataires en charge de notre service client, afin qu’ils ne puissent pas se connecter depuis l’extérieur de la plage IP, explique David Pavlik. Cette technique s’est avérée extrêmement efficace, et nous assure une couche de sécurité supplémentaire. »
Kiwi.com a également intégré les clés YubiKey à ses procédures de sécurité. La gestion sécurisée des accès est extrêmement importante, étant donné que les agents du service client ont régulièrement accès à des informations sensibles lorsqu’ils traitent les réservations. En configurant une série de facteurs, Kiwi.com a également amélioré la mobilité et les conditions d’accès pour ses collaborateurs partout dans le monde.
« Que vous soyez à notre siège de Brno ou dans un café aux Philippines, vous ne devriez constater aucune différence, explique David Pavlik. Dès lors que nous pouvons vérifier votre identité, que vous utilisez votre clé YubiKey et votre VPN pour vous connecter sur une machine ou un terminal validé, et que les paramètres de sécurité sont corrects, vous devriez pouvoir accéder au réseau et travailler, où que vous soyez. C’est pour nous une fonctionnalité essentielle. »
Kiwi.com est satisfait de la manière dont Okta a renforcé la sécurité et facilité le quotidien des collaborateurs. Avec la solution Adaptive Multi-Factor Authentication, les demandes relatives à l’authentification multifacteur ont diminué de moitié, générant un gain de productivité de 2 354 heures par an.
La charge du département IT est également allégée. Avant Okta, il se produisait entre un et trois incidents de sécurité par trimestre, et il fallait environ 24 heures pour résoudre chacun d’eux. Aujourd’hui, le nombre d’incidents de sécurité (et le temps passé à les résoudre) a considérablement diminué. Sur la base des seuls délais de traitement des correctifs de sécurité, les équipes en charge de la sécurité et du développement économisent dorénavant 288 heures par an.
Les progrès en chiffres
- 2 932 heures : réduction annuelle du temps consacré aux réinitialisations de mots de passe par le service d’assistance
- 1 209 heures : réduction annuelle du temps consacré au provisioning manuel des applications
- 288 heures : réduction annuelle du temps consacré aux correctifs de sécurité
- 2 354 heures : gain de productivité des collaborateurs grâce aux demandes intelligentes de MFA
Un avenir automatisé
Après avoir consolidé son infrastructure, Kiwi.com a pu s’atteler à son projet d’automatisation du provisioning en définissant le système RH comme référentiel principal. Cette démarche permet d’actualiser les statuts des collaborateurs dans Okta. À partir de là, la solution Okta Lifecycle Management effectue automatiquement le provisioning et le déprovisioning des utilisateurs dans les applications dont ils ont besoin. Il faut aujourd’hui environ 10 minutes pour le provisioning d’un nouvel employé dans les applications intégrées à Okta, et les demandes de provisioning classique ont diminué de 70 %. Résultat : Kiwi.com économise 1 209 heures par an sur les tâches de provisioning/déprovisioning.
« Quelques clics suffisent, se réjouit David Pavlik. Je dirais que c’est l’équipe IT qui tire le mieux son épingle du jeu, car l’automatisation et la visibilité accrue sur les systèmes ont réellement allégé sa charge de travail. La gestion des 3 000 collaborateurs est nettement simplifiée. Je peux facilement créer les groupes, mettre en place le provisioning et configurer les workflows. Non seulement il faut moins de personnel, mais le risque d’erreur humaine est également réduit. »
Le partenariat entre Kiwi.com et Okta se poursuit, et l’entreprise de voyages a de nombreuses autres fonctionnalités à explorer. La roadmap de Kiwi.com prévoit déjà d’utiliser Okta Workflows pour développer l’automatisation. L’entreprise envisage également de renforcer sa sécurité Zero Trust avec la solution d’intelligence artificielle pour la gestion des accès d’Okta.
« Si l’environnement est digne de confiance, l’intelligence artificielle vous permettra d’y accéder facilement, explique David Pavlik. Si l’environnement est moins fiable, elle fera appel à tous les facteurs supplémentaires, ce qui est en totale adéquation avec notre stratégie. »
À propos de Kiwi.com
Entreprise technologique dans le domaine des voyages, Kiwi.com fait le lien entre tous les moyens de transport, grâce à la puissance de son algorithme de Virtual Interlining. Avion, bus, train : Kiwi.com peut combiner les trois dans le cadre de votre voyage.
