SwissLife refond la sécurité de son infrastructure avec Nomios

Accompagner la transformation digitale

Certes, explique-t-il, pour la partie mainframe, qui supporte notamment les contrats vie, santé ou encore dommages, il y avait déjà un plan de continuité « depuis longtemps ». Mais sur la partie distribuée, le plan historique n’était que « partiel », basé sur une logique de « reprise à froid sur la base de sauvegarde » : « ce n’était pas satisfaisant en termes de sécurité de fonctionnement de l’entreprise. D’où la volonté d’étendre ce que l’on faisait pour le mainframe à l’ensemble de l’infrastructure ».

Des aspects techniques ayant vocation à supporter des objectifs métiers, à commencer par « l’accommpagnement des projets de transformation digitale » : « cette transformation induit une forte croissance des besoins en serveurs, stockage et surtout réactivité alors que nous sommes passés de méthodes projets avec cycle en V traditionnel aux méthodes agiles ».

Mais cette mutation est plus facile à exposer qu’à réaliser : « cela impliquait d’importants changements », notamment sur les volets serveurs, stockage, ou encore sauvegarde, mais aussi réseau. « Nous avons eu largement recours à la virtualisation », souligne Denis Bourdon. De quoi se constituer son propre cloud privé… et valoir au directeur technique le titre de CTO de l’année 2014 de la part du Crip.

Adapter réseau et sécurité

Dans un tel contexte, impossible de conserver l’infrastructure réseau et sécurité telle qu’elle pouvait être auparavant. D’où le projet Prism, mené en 2014 avec Nomios.

L’idée principale de ce projet était de constituer plusieurs zones de sécurité, en commencer par séparer les environnements de production des autres, dont celles d’administration ou encore des utilisateurs : « nous nous sommes mis à l’état de l’art en la matière », indique Denis Bourdon. Et ces sans compter avec d’autres projets parallèles contribuant aussi à améliorer la sécurité et à la traçabilité.

Les comptes à privilèges sont ainsi surveillés avec AdminBastion de Wallix : les postes de travail des administrateurs bases de données, ou systèmes, notamment, sont ainsi dans des machines virtuelles auxquelles l’accès est surveillé par AdminBastion.

L’IPS – fourni par Intel Security (ex-Stonesoft) – est en phase d’observation : « passer à l’automatisation demande un très grand niveau de confiance. Nous ne l’avons pas encore pour accepter la mise à jour et le blocage automatiques », explique le directeur technique.

Il est complété par les solutions d’équilibrage de charge et de pare-feu applicatif de F5 Networks.

Une solution d’IAM signée IBM surveille les accès à l’infrastructure. Une solution de SSO permet aux utilisateurs de passer d’un applicatif à l’autre sans avoir à se ré-authentifier. Une solution comparable étendue à l’ouverture de session sur le poste de travail était à l’étude, mais le projet a dû être reporté faute de solution parfaitement satisfaisante.

Certains accès externes sont encore assurés via des VPN SSL Juniper, pour les commerciaux, les agents généreux, et les télétravailleurs – cela représente un total de près de 1500 utilisateurs, authentifiés fortement par token. « C’est quelque chose que l’on surveille en permanence et met à jour régulièrement », souligne Denis Bourdon, insistant sur la sensibilité de ce service, tant d’un point de vue sécurité que métiers.

Les postes de travail des utilisateurs, enfin, sont protégés par un anti-virus et leur accès à Internet est filtré par des équipements CheckPoint.

Former les utilisateurs

IAM, anti-virus, serveurs, mais aussi équipements réseau renvoie leurs logs à un centre de sécurité opérationnelle externe qui « les analyse et nous alerte en cas d’incident », explique le CTO de SwissLife France. Et de souligner disposer d’un « plan de réponse aux alertes » totalement formalisé : « cela ne veut pas dire que nous n’aurons jamais à souffrir d’incident », reconnaît-il avec une humilité raisonnable, « mais jusqu’ici ça a bien fonctionné ».  

En parallèle, Denis Bourdon compte aussi sur la formation et la sensibilisation des utilisateurs. « Nous avons mis en place un programme de e-learning sur les bonnes pratiques en termes de comportement ». Un programme que les utilisateurs sont invité à suivre régulièrement : « il faut faire des piqures de rappel régulières ».

Et il réfléchit d’ailleurs à d’autres actions dans ce domaine, comme des programmes de mise en à l’épreuve, pour « piéger » les utilisateurs comme le feraient des attaquants procédant par hameçonnage ciblé : « j’ai discuté de cela récemment. C’est peut-être une bonne idée ».