Réalisation : Sécurité & IAM
Modernisation de l'Authentification Wi-Fi Mondiale
Migration du Load Balancer Kemp et refonte de l'authentification Wi-Fi mondiale. Passage de l'Active Directory on-premise vers Azure AD / Entra ID.
Présentation du projet
L'infrastructure d'authentification Wi-Fi mondiale de Criteo reposait sur des Kemp LoadMasters distribuant les requêtes LDAPS vers des contrôleurs de domaine Active Directory on-premise. Deux problèmes ont convergé pour rendre une intervention nécessaire : la version des Kemp en production était devenue obsolète (fin de support), et les SSIDs en place n'offraient pas une expérience utilisateur satisfaisante, processus de connexion complexe, peu intuitif pour les nouveaux arrivants.
S'y ajoutait un contexte de transformation plus large : la stratégie Criteo évoluait vers une intégration cloud-first avec Azure AD / Entra ID comme fournisseur d'identité principal, rendant la migration logique et nécessaire.
Déclencheur
Version obsolète du Kemp LoadMaster en production, SSIDs peu ergonomiques et authentification LDAPS défaillante par intermittence.
Enjeu
L'authentification Wi-Fi mondiale repose sur ce système, tout dysfonctionnement impacte tous les sites Criteo simultanément.
Migration stratégique
Passage de l'AD on-premise vers Azure AD / Entra ID, aligné avec la stratégie cloud-first du groupe.
Objectifs, enjeux et risques
L'objectif principal était de migrer l'authentification Wi-Fi d'une infrastructure LDAPS/AD on-premise vers Azure AD / Entra ID, tout en modernisant la configuration du Load Balancer Kemp et en simplifiant l'expérience de connexion pour les utilisateurs finaux. La contrainte absolue : zéro coupure globale pendant la migration.
Le risque principal était la régression de service : une mauvaise configuration des pools LDAPS ou un problème de compatibilité entre le Kemp mis à jour et les contrôleurs AD aurait pu bloquer l'authentification Wi-Fi sur tous les sites simultanément. D'où l'importance d'une approche par phases et d'un rollback plan documenté avant chaque étape.
Continuité de service
Toute coupure d'authentification Wi-Fi est globale, chaque site mondial est impacté simultanément. La migration doit être sans interruption.
Sécurité renforcée
Passage de LDAPS on-premise vers Azure AD, réduction de la surface d'exposition et alignement avec les politiques de sécurité du groupe.
Expérience utilisateur
Simplifier le processus d'authentification Wi-Fi pour réduire les tickets de support et améliorer l'onboarding des nouveaux collaborateurs.
Ce que j'ai fait : Étapes et acteurs
La première phase a consisté à diagnostiquer les dysfonctionnements existants. L'analyse croisée des logs côté Kemp LoadMaster et côté Active Directory a permis d'identifier que certains contrôleurs de domaine répondaient correctement tandis que d'autres accumulaient de la latence, entraînant les timeouts intermittents observés par les utilisateurs. La reconfiguration des pools LDAPS (ajustement des health checks, redistribution de la charge) a résolu les problèmes de performance avant même d'aborder la migration.
La deuxième phase a été la migration vers Azure AD / Entra ID. Chaque configuration a été validée en Lab réseau avant d'être appliquée en production, la topologie du Lab reproduisant fidèlement l'infrastructure Meraki de prod. La bascule a été réalisée site par site, avec validation de l'authentification sur chaque site avant de passer au suivant.
Le projet a nécessité une collaboration étroite avec l'équipe IAM pour aligner les configurations réseau sur les politiques de sécurité du groupe, notamment sur les groupes Azure AD autorisés à accéder aux SSIDs d'entreprise et sur les politiques d'accès conditionnel.
Diagnostic LDAPS
Analyse croisée des logs Kemp et Active Directory pour identifier les bottlenecks et les timeouts intermittents sur les pools de serveurs AD.
Mise à jour Kemp
Mise à niveau vers une version supportée du Kemp LoadMaster, reconfiguration des pools LDAPS et ajustement des health checks.
Migration Azure AD
Configuration de l'intégration Entra ID côté Meraki Dashboard, validation en Lab avant bascule production.
Collaboration IAM
Travail en binôme avec l'équipe Identity Access Management pour aligner les configurations réseau sur les politiques de sécurité du groupe.
Résultats et lendemains
La migration a été réalisée sans interruption de service. Les latences d'authentification LDAPS observées avant le projet ont été éliminées, et l'expérience utilisateur s'est significativement améliorée, connexion Wi-Fi transparente via les credentials Azure AD, sans étape de configuration manuelle pour les utilisateurs.
La perspective à moyen terme est l'extension de l'intégration Entra ID à d'autres services réseau, notamment les politiques d'accès conditionnel basées sur la conformité du poste (via Intune) pour renforcer la posture de sécurité zero-trust de l'infrastructure Wi-Fi.
Migration sans coupure
Bascule réalisée site par site sans interruption de service, aucun incident d'authentification pendant la migration.
Latences résolues
Timeouts intermittents LDAPS éliminés, les collaborateurs ne rencontrent plus de délais d'authentification Wi-Fi anormaux.
UX simplifiée
Connexion Wi-Fi via les credentials Azure AD, processus transparent, sans portail captif contraignant.
Mon regard critique
Ce projet illustre bien la différence entre traiter le symptôme et résoudre le problème. Les latences d'authentification étaient visibles au niveau Wi-Fi, mais la cause était dans la configuration des pools LDAPS côté Load Balancer. En m'arrêtant à la couche Wi-Fi, j'aurais peut-être "résolu" le problème temporairement ; en remontant jusqu'à la couche IAM, j'ai résolu le problème durablement.
L'autre enseignement : sur un système critique qui impacte tous les sites mondiaux simultanément, chaque étape doit être précédée d'un rollback plan testé. La confiance dans ses propres configurations ne se substitue pas à la préparation d'un scénario de retour arrière.
Valeur ajoutée
Diagnostic multi-couche (réseau + IAM) qui a révélé la vraie cause des problèmes, pas juste les symptômes visibles.
Enseignement clé
Sur un système critique mondial, chaque étape doit avoir un rollback plan testé. La confiance ne se substitue pas à la préparation.
Compétences mises en oeuvre
Gestion d'équipements réseau
Configuration et mise à niveau du Kemp LoadMaster, gestion des pools LDAPS.
Troubleshooting Avancé
Diagnostic multi-couche (réseau + IAM) via analyse croisée des logs Kemp et Active Directory.
Conception & Infrastructure
Migration de l'authentification Wi-Fi mondiale vers Azure AD / Entra ID.
Travail d'équipe
Collaboration étroite avec l'équipe IAM pour aligner les configurations réseau sur les politiques de sécurité du groupe.