Asana utilise 1Password pour protéger les informations d’identification sensibles et les données des clients

Toutes les tentatives d’accès non autorisées bloquées

Déploiement de 1Password en un jour

Tous les employés d’Asana utilisent désormais des dispositifs connus et sécurisés

Résultats

• Passage d’une sécurité de base des appareils à une application complète des contrôles sur les systèmes sensibles sans affecter la charge de travail du service d’assistance ni la productivité des employés. 

• Assurance que toutes les authentifications soient effectuées à partir de dispositifs approuvés et conformes.

• Examens et exigences de sécurité simplifiés à la demande des clients d’entreprise et gouvernementaux d’Asana.

• Processus de départ renforcés en révoquant l’accès aux appareils personnels des employés sortants.

• Accès sécurisé avec un déploiement simple qui a équilibré la productivité et a été adopté par les équipes d’ingénieurs.

L’idéal est un outil de sécurité qui n’impacte pas les utilisateurs, est facile à gérer pour l’IT, et fait ce pour quoi il est conçu. 1Password répond à ces exigences.

Johan Dowdy
Global Head of IT and IT Security at Asana

Les défis

Asana est le Système d’action pour le travail, où les humains et l’IA collaborent pour aider les individus à travailler plus intelligemment, les équipes à avancer plus rapidement et les organisations à obtenir des résultats. Avec 1 700 employés dans le monde entier, Asana avait besoin d’un moyen sécurisé de gérer et de partager les informations d’identification tout en garantissant l’accès aux systèmes sensibles uniquement à partir d’appareils autorisés et conformes. 

Asana utilise 1Password Enterprise Password Manager depuis 2019 et, en 2024, a ajouté 1Password Device Trust pour faire progresser son objectif d’un environnement de sécurité Zero Trust. Johan Dowdy, responsable mondial du service informatique et de la sécurité informatique, a choisi 1Password pour instaurer un environnement de sécurité Zero Trust afin de relever plusieurs défis majeurs :

• Gestion des identifiants. Asana avait besoin d’un endroit unique et sécurisé pour protéger et partager les identifiants entre ses équipes distribuées.

• Conformité des appareils. L’entreprise avait besoin d’un moyen de vérifier la conformité avec sa Politique d’utilisation acceptable (AUP) et de s’assurer que les employés n’accédaient aux systèmes qu’à partir d’appareils autorisés.

• Exigences réglementaires et sectorielles. Les attentes croissantes en matière de conformité, y compris celles de FedRAMP et des entreprises clientes, ont nécessité des contrôles plus stricts et vérifiables des appareils et de la posture d’identité.

• Point d’entrée Zero Trust. L’entreprise avait besoin d’un point d’entrée pratique pour accéder à la sécurité Zero Trust sans perturber un ensemble d’outils volumineux et complexes.

Choisir le progrès plutôt que la perturbation sur la voie vers Zero Trust

L’objectif de J. Dowdy est de mettre en place une architecture réseau Zero Trust pour Asana afin de renforcer sa posture de sécurité. Les stratégies Zero Trust peuvent être des entreprises coûteuses, complexes et pluriannuelles qui perturbent l’activité. Ainsi, J. Dowdy a adopté une approche pragmatique en plusieurs étapes, en se concentrant d’abord sur ce qu’il considère comme la pièce centrale du puzzle Zero Trust : la sécurisation des points d’extrémité, et plus particulièrement, des appareils des utilisateurs finaux. « Nous devons être certains que nos points d’extrémité sont sécurisés et que nos utilisateurs finaux se connectent à nos systèmes uniquement à partir d’appareils en lesquels nous avons confiance », déclare-t-il.

J. Dowdy a choisi 1Password pour deux raisons principales. Tout d’abord, 1Password Enterprise Password Manager était déjà un outil fiable et largement adopté chez Asana. Deuxièmement, 1Password Device Trust offrait un moyen beaucoup plus simple et plus efficace de bloquer les accès non fiables par rapport aux autres solutions. 1Password Device Trust fournissait également une intégration transparente avec Okta, la plateforme de gestion des identités et des accès (IAM) choisie par Asana. 

Pour J. Dowdy, l’expérience de l’utilisateur final doit être transparente, avec un minimum de friction et une charge de travail extrêmement faible pour le service d’assistance. Si un appareil ou une action ne respecte pas la politique, il est clairement indiqué aux utilisateurs que l’accès est restreint. Par ailleurs, l’accompagnement et l’assistance à la clientèle de 1Password permettent un déploiement rapide et une mise en œuvre fluide pour les employés.

Nous avons choisi 1Password car il nous a fourni des solutions efficaces et conviviales pour relever les défis de sécurité fondamentaux et avancés.

Johan Dowdy
Global Head of IT and IT Security at Asana

Déployer le Zero Trust là où cela compte le plus : sur les terminaux

1Password Device Trust fonctionne en tandem avec le fournisseur d’identité d’Asana, Okta, pour vérifier un appareil avant d’accorder l’accès aux applications sensibles. Les vérifications garantissent que l’utilisateur utilise un ordinateur portable de travail géré, sécurisé et de confiance, répondant ainsi à un principe fondamental de la sécurité Zero Trust.

1Password Device Trust offre également à l’équipe informatique une confiance accrue dans le processus d’intégration. Une fois que l’appareil d’un employé est vérifié par Device Trust, il suit son flux SSO/Okta habituel, ce qui déverrouille ensuite 1Password EPM ou lui donne accès aux applications qu’Asana a sécurisées derrière le SSO. 

« Une fois ce processus terminé, les employés peuvent vaquer à leurs occupations quotidiennes, sans qu'aucune action supplémentaire ne soit requise de leur part », explique Dowdy. « Les outils de sécurité sont conçus pour être transparents, avec seulement un écran qui clignote rapidement chaque fois qu'un utilisateur s'authentifie avec Okta. »

Les appareils des utilisateurs finaux sont nos terminaux les plus critiques. Nous voulons nous assurer que les utilisateurs se connectent à nos systèmes à partir d’appareils fiables que nous pouvons vérifier. 1Password Device Trust rend cela possible.

Johan Dowdy
Global Head of IT and IT Security at Asana

Pour minimiser les perturbations, l’équipe de J. Dowdy a déployé 1Password Device Trust de manière méthodique, en introduisant de nouveaux contrôles et de nouvelles politiques par étapes. Cette approche a entraîné une perturbation minimale pour les employés tout en constituant une avancée majeure vers la sécurité Zero Trust. « En allant au-delà du cadre de la Politique d’utilisation acceptable, nous pouvons désormais vraiment vérifier que les utilisateurs respectent les protocoles », explique Dowdy.

Bloquer davantage de menaces tout en préservant la productivité et la capacité du service d’assistance

Asana utilise 1Password Enterprise Password Manager pour permettre aux équipes de partager des mots de passe et d’autres secrets, tels que des clés API et des identifiants de gestion des serveurs. La solution offre à Asana un espace unique et sécurisé pour protéger chaque identifiant. Elle garantit que les informations propriétaires et d’accès critiques, telles que les clés des systèmes de production et les identifiants des serveurs, ne sont jamais stockées dans des formats non sécurisés comme les feuilles de calcul. 

Avec la mise en œuvre complète de 1Password Device Trust, Asana est passé d’un environnement avec peu de contrôles de sécurité des appareils à une application complète pour l’ensemble de ses employés. L’équipe de J. Dowdy dispose désormais de capacités de surveillance fiables, y compris une visibilité sur le comportement des utilisateurs et les schémas d’accès aux appareils. Cette visibilité leur permet de s’assurer que toutes les authentifications sont effectuées à partir de dispositifs approuvés et conformes. 

Asana a donc sécurisé la grande majorité des connexions sur les appareils. Tous les utilisateurs de l’écosystème Asana disposent désormais d’un appareil connu et conforme. Toutes les tentatives d’accès non autorisées sont bloquées. Asana a mis en œuvre une large gamme de contrôles, notamment MDM, CS Falcon Sensor, mises à jour macOS/Windows et chiffrement des disques/FileVault. L’entreprise a également acquis des contrôles clairs et vérifiables qui conduisent à de meilleurs résultats lors des examens de sécurité pour les clients des entreprises et du gouvernement.

Il est beaucoup plus facile de se lancer dans le Zero Trust avec 1Password Device Trust. Nous utilisons la solution depuis des mois sans aucun retour négatif.

Johan Dowdy
Global Head of IT and IT Security at Asana

Asana a pu mettre en œuvre rapidement la technologie puis affiner progressivement l’application, en fonction des besoins de l’entreprise et de la préparation des utilisateurs. 1Password a également donné à l’équipe informatique une plus grande confiance dans le processus de départ des employés : ceux-ci utilisent 1Password Device Trust dès leur premier jour sans interruption, et l’accès depuis les appareils personnels est supprimé dès la fin de leur contrat. 1Password Device Trust ajoute également une couche de sécurité supplémentaire pour l’équipe informatique. Ainsi, même si un employé ayant quitté brusquement l’entreprise possède toujours ses identifiants d’entreprise, sa connexion aux ressources de l’entreprise depuis un appareil personnel non approuvé est immédiatement bloquée.

Tout cela a été réalisé avec un impact minimal sur l’expérience des employés. « Avec 1Password, nous avons réalisé une mise à niveau de sécurité critique avec un déploiement qui a évité la perte de productivité ou la résistance des ingénieurs », déclare J. Dowdy. 

Mise en place d’une architecture Zero Trust à plusieurs niveaux basée sur une intégrité forte des terminaux

J. Dowdy prévoit de développer progressivement sa nouvelle architecture réseau Zero Trust. Avec 1Password Device Trust en place pour garantir que les appareils sont connus et sains, J. Dowdy est convaincu que son équipe possède les bases nécessaires pour sécuriser davantage l’entreprise.

Tout en développant la sécurité Zero Trust d’Asana, J. Dowdy continuera à adopter une approche pragmatique et légère afin de minimiser les perturbations et de maximiser l’adoption.

« Pour réussir à concilier les personnes et la technologie, il faut fournir aux utilisateurs l’accès numérique dont ils ont besoin pour être productifs, tout en garantissant la sécurité et la conformité de leurs systèmes », indique J. Dowdy. « C’est ce que nous faisons avec 1Password. »