Indeed

Indeed modernise son infrastructure informatique et sa sécurité en remplaçant son VPN par une approche Zero Trust

Indeed est le premier site consacré à l'emploi du monde. Fondé en 2004 et basé à Austin, au Texas, Indeed emploie plus de 15 000 personnes en Amérique du Nord, dans la région Asie-Pacifique et en Europe. Plus de 350 millions de visiteurs uniques se connectent chaque mois à Indeed pour consulter des offres, publier des CV et faire des recherches sur les entreprises, parmi bien d'autres activités. De même, plus de 3,5 millions d'employeurs y trouvent des candidats. Connu pour son interface facile à utiliser et ses technologies avancées en matière de recherche d'emploi et de recrutement, Indeed sert les demandeurs d'emploi dans plus de 60 pays et 28 langues.

Problématique : moderniser la sécurité, tout en réduisant la dette technique

L'équipe de sécurité d'Indeed accorde la priorité au fait d'assurer la sécurité de la plateforme pour les centaines de millions d'employeurs et de demandeurs d'emploi qui s'en servent, ainsi que de protéger les données sensibles des utilisateurs (comme les CV, les historiques d'emploi et les informations d'identification personnelle) contre les fuites et le vol.

« Nous avons pour obligation d'être les meilleurs gestionnaires de données possible », explique Matthew Ortiz, Senior Manager pour les équipes de sécurité de l'information, d'ingénierie et d'opérations d'Indeed. « Les utilisateurs qui se rendent sur notre site arrivent dans un état vulnérable, car ils sont à la recherche d'un emploi. Ils nous confient leurs données personnelles les plus précieuses et comptent sur nous pour leur proposer un environnement sécurisé et efficace. »

En plus de ces inquiétudes quotidiennes à l'égard de la sécurité, Indeed a reconnu la nécessité de moderniser un écosystème informatique devenu de plus en plus complexe. Cette complexité a engendré des problèmes de cohérence au niveau des mesures de contrôle du trafic circulant vers les applications SaaS, les datacenters et les ressources cloud de l'entreprise. Elle entraînait également un réacheminement inefficace du trafic vers les datacenters et une dépendance excessive à l'égard des outils traditionnels basés sur le périmètre, comme les VPN (Virtual Private Networks, réseaux privés virtuels) sur site.

« Notre dette technique s'est accrue au fur et à mesure de notre croissance », explique Ortiz. « Nous avons développé des piles de connectivité réseau et de sécurité de plus en plus complexes, qui ont à leur tour engendré des risques et nui à la productivité. Nous devions simplifier les processus, car la complexité ne conduit qu'à davantage de problèmes et de vulnérabilités. »

Afin de répondre à ces objectifs de sécurité et de modernisation, Indeed s'est tournée vers le cloud de connectivité Cloudflare pour sécuriser sa connectivité point à point (any-to-any). Dans le cadre du partenariat conclu avec Cloudflare, Indeed a entamé la transformation de son écosystème informatique afin de réduire la complexité, d'améliorer sa sécurité et de moderniser son architecture dans le cloud.

Scénario d'utilisation : sécuriser le site web de recherche d'emploi d'Indeed

Une des premières étapes de la transformation de l'entreprise a consisté à moderniser la sécurité du principal site web public d'Indeed. Pour atteindre cet objectif, Indeed a intégré le pare-feu applicatif web (WAF) et les fonctionnalités de gestion des bots Cloudflare à sa plateforme de travail afin de neutraliser les menaces et de réduire la fraude.

« Les offres d'emploi et les candidatures frauduleuses représentent un risque potentiel des plus graves pour notre entreprise, car elles mettent en danger les utilisateurs et sapent leur confiance », déclare Ortiz. « Grâce à Cloudflare, nous pouvons prévenir et atténuer ces risques de manière proactive afin d'assurer la sécurité des centaines de millions de demandeurs d'emploi qui utilisent notre plateforme. »

Accélérer la transformation en remplaçant un VPN existant

Quelques mois après l'adoption initiale, Indeed a commencé à collaborer avec Cloudflare dans le cadre d'une initiative stratégique à plus long terme visant à moderniser la connectivité et la sécurité de l'ensemble de ses collaborateurs, notamment en réinventant la manière dont ces derniers accèdent aux ressources. La première phase de ce projet s'articulait autour du remplacement du VPN traditionnel d'Indeed, qui générait des risques et entraînait de la frustration chez les utilisateurs.

« Notre architecture existante reposait sur la confiance implicite. Nos collaborateurs avaient ainsi accès à davantage de données et de ressources que nous ne le souhaitions, tout simplement parce qu'ils se trouvaient au bureau », explique Ortiz. « En outre, le VPN pouvait se montrer lent ou ajouter des frictions susceptibles d'agacer les utilisateurs et de les contraindre à désactiver la connexion. Or, cette dernière situation engendrait des angles morts pour nous. »

Pour moderniser son approche en matière d'accès, Indeed a commencé à intégrer les services Cloudflare, et plus spécifiquement l'accès réseau Zero Trust (ZTNA). Afin d'évaluer cette solution, Indeed a déployé Cloudflare progressivement, sur plusieurs semaines, auprès de groupes de test dédiés de centaines d'utilisateurs représentant différents types d'appareils et rôles, notamment les sous-traitants. Les tests ont permis à Indeed de se familiariser avec la manière dont Cloudflare s'intégrait à son architecture existante et protégeait ses applications essentielles, ses environnements de développement et son infrastructure AWS.

En un peu plus de 3 mois, Indeed avait totalement abandonné son VPN. Cette opération a nécessité la migration de centaines de politiques d'accès préexistantes et le déploiement des solutions Cloudflare auprès de plus de 13 000 collaborateurs et sous-traitants à travers le monde. Aujourd'hui, Indeed utilise Terraform (un outil d'infrastructure en tant que service) pour automatiser la vaste majorité de ses activités régulières de gestion, comme l'intégration de nouveaux utilisateurs et la configuration de nouvelles politiques.

Impact du ZTNA : une meilleure expérience utilisateur et des risques réduits

Les retours concernant l'approche Cloudflare en matière d'accès se sont révélés positifs.

« Nos utilisateurs du monde entier signalent une expérience d'accès bien meilleure et plus cohérente avec Cloudflare plutôt qu'avec le VPN », déclare Ortiz, qui cite spécifiquement une latence moindre et des connexions plus fiables, notamment dans les régions qui connaissaient traditionnellement des problèmes avec le VPN.

Le remplacement du VPN par Cloudflare contribue à réduire le risque au sein de l'entreprise grâce aux bonnes pratiques Zero Trust, c'est-à-dire le principe du moindre privilège et le refus d'accès par défaut en fonction du contexte.

« Cloudflare nous a permis d'être plus conscients concernant la manière dont nous accordons les accès, en nous permettant de vérifier l'identité, le niveau de sécurité des appareils, la position géographique et d'autres variables », explique Ortiz. « Cette approche Zero Trust nous aide à nous adapter au risque et nous permet d'être bien plus confiants qu'avec notre architecture traditionnelle. »

Cloudflare restaure notamment la visibilité pour les équipes de sécurité d'Indeed. La majorité des utilisateurs n'entretenaient pas de connexion persistante avec le VPN, que ce soit en raison d'une interruption du service, de solutions de contournement ou d'autres problèmes de connectivité. Grâce à Cloudflare, les utilisateurs d'Indeed peuvent désormais rester connectés tout au long de leur journée de travail.

« Cloudflare a contribué à résoudre les angles morts de notre sécurité et, en fin de compte, nous permet de prendre de meilleures décisions concernant les politiques d'accès à définir », déclare Ortiz.

L'impact du remplacement de l'ancien VPN par la solution Cloudflare ZTNA est ressenti au plus haut niveau en interne.

« Cloudflare simplifie la manière dont nous déployons le Zero Trust sur l'ensemble de notre entreprise. Nous pouvons ainsi atténuer plus efficacement les risques au prix d'efforts moindres », déclare Anthony Moisant, SVP, DSI et Chief Security Officer chez Indeed.

Identifier et atténuer les risques liés à l'IA générative

La visibilité proposée par Cloudflare aide Indeed à réduire le risque de fuites de données vers les outils IA. Cloudflare aide notamment Ortiz et ses collègues à identifier les applications IA non autorisées (connues sous le nom d'« IA fantôme » ou Shadow IA) que les collaborateurs utilisent et à mettre en place des mesures de contrôle le cas échéant afin d'empêcher l'exposition des informations. Ces mesures de contrôle comprennent aujourd'hui la limitation de l'accès des outils d'IA générative (GenAI) non approuvés, mais au fil du temps, ils commenceront à inclure des mesures plus spécifiques de détection des données sensibles par le biais de l'analyse avec prévention des pertes de données (DLP).

« Malgré son grand nombre d'utilisateurs légitimes, l'IA présente d'importants problèmes de sécurité et de confidentialité », remarque Ortiz. « Cloudflare nous aide à identifier les risques liés à l'IA fantôme, mais aussi à bloquer les applications IA non autorisées et les chatbots. »

Projets à venir : transférer une plus grande partie de la sécurité et de la connectivité réseau vers le cloud

À l'avenir, Indeed prévoit de poursuivre ses efforts de simplification de son architecture informatique en faisant migrer une plus grande partie de ses mesures de contrôle de la sécurité et de la connectivité réseau vers le cloud. Indeed continuera à étendre les principes du Zero Trust à l'ensemble de ses environnements afin de tendre vers ce qu'Ortiz appelle le « Saint Graal » : le déploiement du Zero Trust à l'échelle de l'entreprise.

Si cette dernière s'est récemment concentrée sur la sécurisation du trafic circulant entre les utilisateurs et les applications, l'un des scénarios d'utilisation à venir inclut un processus de vérification basé sur l'identité pour les charges de travail de machine à machine. En plus de simplifier les flux de travail relatifs aux accès, Indeed explore également les options que lui propose Cloudflare pour mieux protéger ses données, sécuriser les environnements SaaS et se défendre contre les menaces grâce à des fonctionnalités de DLP, de CASB (Cloud Access Security Broker, agent de sécurité des accès au cloud) et d'autres fonctionnalités SASE (Secure Access Service Edge, services d'accès sécurisé en périphérie).

Ortiz se montre positif quant à la collaboration entre Indeed et Cloudflare jusqu'à présent.

« Cloudflare établit la norme pour tous les fournisseurs avec lesquels nous travaillons », affirme-t-il. « En réduisant la complexité et en améliorant la sécurité dans tous les domaines, Cloudflare préserve la confiance de nos parties prenantes les plus importantes, c'est-à-dire les employeurs et les demandeurs d'emploi au cœur de la plateforme Indeed. »