En­gie, des ac­cès à l’éco­sys­tème ap­pli­ca­tif moins lourds

L'Informaticien - - CYBERSÉCUR­ITÉ - G. P.

Chez En­gie, l’ap­proche Ze­ro Trust consiste avant tout à per­mettre à ses em­ployés et par­te­naires de se connec­ter à tra­vers In­ter­net à un cer­tain nombre d’ap­pli­ca­tions en sé­cu­ri­sant l’in­for­ma­tion, y com­pris lorsque l’uti­li­sa­teur y ac­cède d’un poste non ma­na­gé.

Ce pour­quoi le géant de l’éner­gie a re­cours aux ou­tils d’ok­ta, de Zs­ca­ler ou en­core de Splunk. « Nous avons choi­si cer­taines so­lu­tions, type Zs­ca­ler, pour sé­cu­ri­ser l’ac­cès aux ap­pli­ca­tions, qu’elles soient Saas, comme Concur, Sa­les­force ou Of­fice, ou sur nos sys­tèmes in­ternes, sans avoir à mon­ter un tun­nel VPN type Ip­sec ou SSL » , confie Pierre- An­toine Fa­lauxBa­che­lot, Group In­fra­struc­ture Lead Ar­chi­tect chez En­gie. Ain­si, sur cer­tains de ses sites, En­gie a cou­pé tout ac­cès au ré­seau in­terne pour ne lais­ser que In­ter­net et per­mettre de se connec­ter aux res­sources de l’en­tre­prise. « Sur la par­tie in­fra, nous avons fait un gros tra­vail de sé­gré­ga­tion des flux, des ap­pli­ca­tions. Il n’est pas ques­tion de don­ner ac­cès à tout via un VPN. D’un cô­té nous al­lons avoir Ok­ta pour la ges­tion des iden­ti­tés et des ac­cès, et de l’autre Zs­ca­ler qui va per­mettre ces ac­cès aux ap­pli­ca­tions sans ex­po­ser l’en­semble du ré­seau. Der­rière, toute cette masse d’in­for­ma­tions de con­nexion est en­voyée dans Splunk à des fins de su­per­vi­sion des logs et de vé­ri­fi­ca­tion des ac­cès. » L’en­tre­prise n’a pas dé­ci­dé sou­dai­ne­ment de se mettre au Ze­ro Trust : l’ap­proche est le ré­sul­tat de la conver­gence de plu­sieurs dé­marches en­tre­prises quelques an­nées au­pa­ra­vant. Ok­ta par exemple a été choi­si alors que En­gie ré­flé­chis­sait au pas­sage sur Of­fice 365, puisque l’ac­tive Di­rec­to­ry en in­terne était re­la­ti­ve­ment frag­men­té et com­plexe. Quant à Zs­ca­ler, il s’agis­sait dans un pre­mier temps de sé­cu­ri­ser les ac­cès in­ter­net des pe­tits sites du groupe, avant une gé­né­ra­li­sa­tion à l’en­semble d’en­gie tout en réa­li­sant des POC sur la par­tie Pri­vate Ac­cess. « Lorsque nous avons dé­ci­dé d’uti­li­ser ce genre de so­lu­tions, il nous a pa­ru in­té­res­sant de dé­fi­nir qui va pou­voir ac­cé­der à telle ap­pli­ca­tion. Nous ne dé­fi­nis­sons pas quelle IP a le droit d’ac­cé­der à quel ré­seau, mais quel uti­li­sa­teur ou groupe d’uti­li­sa­teur peut ac­cé­der à quelle ap­pli­ca­tion et dans quelles condi­tions. » Ain­si, En­gie n’a pas été contraint de re­voir la sé­gré­ga­tion ré­seau dans les da­ta­centres, le gros du tra­vail a consis­té à pous­ser les groupes ap­pli­ca­tifs des Ac­tive Di­rec­to­ries dans Ok­ta et de per­mettre les ac­cès via Zs­ca­ler. « L’avan­tage est que nous n’avons pas eu be­soin de tou­cher à la par­tie ré­seau » , ex­plique Pierre- An­toine Fa­laux- Ba­che­lot. « L’ac­cès aux ap­pli­ca­tions n’a pas né­ces­si­té de créer de nou­velles ma­chines : on a uti­li­sé l’exis­tant. »

Ap­pli­cable au Saas comme au le­ga­cy

Ce fai­sant, l’ac­cès aux res­sources pas­sant par Zs­ca­ler, le Lead Ar­chi­tect as­sure que si tout l’éco­sys­tème ap­pli­ca­tif conti­nue de fonc­tion­ner d’une ma­nière très simple pour l’uti­li­sa­teur au quo­ti­dien, il n’y a pas de pos­si­bi­li­té de re­bond ou de dé­cou­verte. « L’uti­li­sa­teur n’est pas connec­té au ré­seau, pas ca­pable d’uti­li­ser un Nmap, de faire un ping. Et en termes de pro­tec­tion, on ne pu­blie pas D’IP in­ternes et on bloque les flux qu’on ne veut pas. Ce qui a per­mis de sé­cu­ri­ser un peu mieux les ac­cès ap­pli­ca­tifs. » Y com­pris dans le cas du le­ga­cy. Pierre- An­toine Fa­laux- Ba­che­lot re­con­naît que En­gie a « en­core une bonne couche de le­ga­cy » . Or, un cer­tain nombre de par­te­naires ont be­soin d’ac­cé­der aux ap­pli­ca­tions mé­tier in­ternes de l’en­tre­prise, no­tam­ment au­tour de la re­la­tion client et de la vente. Les par­te­naires de­vaient se connec­ter via un VPN, c’était très lourd à gé­rer puis­qu’il ne s’agis­sait pas du per­son­nel d’en­gie, que la connec­ti­vi­té Ip­sec est com­plexe. Le fonc­tion­ne­ment de ces ac­cès était com­pli­qué. « Nous avons chan­gé la fa­çon de faire, en pas­sant par In­ter­net puisque tout le monde a In­ter­net. On dé­ploie l’agent Zs­ca­ler sur le poste du pres­ta­taire et la con­nexion va être sé­cu­ri­sée par un double fac­teur. Quand le pres­ta­taire va avoir be­soin d’ac­cé­der à une app, Zs­ca­ler va le re­di­ri­ger vers cette ap­pli­ca­tion uni­que­ment, et uni­que­ment sur cette IP là et ce poste- là. Il y a donc beau­coup moins d’élé­ments dans la chaîne pour ac­cé­der aux ap­pli­ca­tions in­ternes. »

Un der­nier point semble es­sen­tiel aux yeux de Pierre- An­toine Fa­laux- Ba­che­lot, l’as­pect hu­main. Les équipes opé­ra­tion­nelles ont l’ha­bi­tude d’avoir leurs flux ré­seau, leurs fi­re­walls, leurs équi­pe­ments in­ternes : l’ap­proche Ze­ro Trust exige un chan­ge­ment d’état d’es­prit quant à la sé­cu­ri­té. « Un im­por­tant tra­vail d’ac­com­pa­gne­ment et de for­ma­tion des équipes a été né­ces­saire, mais il y a un in­té­rêt énorme à pas­ser sur ce genre de so­lu­tions, parce qu’elles ré­solvent de nom­breux pro­blèmes et ap­portent plus de flexi­bi­li­té et de sim­pli­ci­té sur la sé­cu­ri­té. Fi­na­le­ment, une fois for­mée, la so­lu­tion est ap­pré­ciée au­tant de L’IT que des uti­li­sa­teurs. » ✖

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.