makspogonii - Fotolia

Bordeaux Métropole sécurise sa maintenance à distance avec Wallix

La métropole s’appuie les AdminBastion pour contrôler les interventions de tierce maintenance applicative sur son infrastructure, entre autres. Au passage, une amélioration de la responsabilisation de tous les acteurs concernés.

Bordeaux Métropole utilise les AdminBastion de Wallix depuis six ans et ne cache pas sa satisfaction. Gurvan Quenet, chef du service SOC de la métropole, explique y avoir recours pour « sécuriser tout ce qui relève de la tierce maintenance applicative », y compris pour la commune de Bordeaux.

Avant la mise en place des bastions, les prises de main à distance « se faisaient par des moyens divers et variés », au bon vouloir des prestataires : du LogMeIn, du VNC, du TeamViewer, etc. « Chaque prestataire amenait sa solution et l’imposait ». Une situation que l’on imagine sans peine difficilement tenable. D’autant plus que certains prestataires sont susceptibles d’intervenir 24/7, sans que des personnels internes puissent superviser en direct leur travail : rejouer des enregistrements de session peut alors être essentiel lorsqu’une responsabilité doit être identifiée. « Oui, il y a eu des incidents avant, comme des mises à jour par forcément menées conformément à ce qui était préconisé. Et à chaque fois se posait la question de savoir qui est responsable de quoi », relève Gurvan Quenet.

Et puis, Bordeaux Métrople, aujourd’hui, ce sont plus de 500 sites distants, 20 000 prises réseau, 400 machines virtuelles, 800 applications… Des chiffres d’ailleurs appelés à augmenter du fait de la mutualisation des ressources en cours avec la commune de Bordeaux. Pour l’heure, près de 200 comptes d’utilisateurs ont été créé sur la plateforme AdminBastion de Wallix. Des comptes nominatifs pour une large majorité. « Les comptes d’entreprise sont l’exception », explique Guvan Quenet. Des exceptions qui sont là pour répondre notamment aux besoins de prestataires susceptibles de faire tourner leurs équipes. A charge pour eux de s’assurer du changement du mot de passe associé à ces comptes génériques en cas de départ d’un collaborateur… Ou plutôt aux chefs de projets chargés des ressources concernées par ces comptes, car ceux-ci ont été au passage responsabilisés : ils peuvent par exemple définir directement les plages horaires de pise en main, ou modifier les mots de passe. Des tâches qu’ils « doivent accomplir en conscience ».

La couche de single sign-on (SSO) offerte par les AdminBastion permet en outre d’éviter de fournir aux prestataires externes des identifiants sur les systèmes internes. Et il n’est plus nécessaire d’installer des outils tiers ou spécifiques comme VNC, « sauf lorsqu’une co-intervention est nécessaire ». A charge pour les chefs de projet d’exprimer le besoin.  

Toutes les sessions d’administration à distance sont enregistrées en vidéo. Ce qui a eu l’occasion de s’avérer bien utile au moins une fois, pour identifier un cas de malversation de la part d’un collaborateur d’un prestataire : « on ne l’aurait jamais identifié avant ». Et ce n’était pas rien : « cela concernait de la fuite de données ». Mais rejouer les sessions enregistrées peut également permettre de répondre à des questions sur l’application de mises à jour ou encore permettre de construire un référentiel de pratiques, pour documenter à postériori certaines opérations.

Si Gurvan Quenet et Mathias Lemaire, chargé de l’exploitation du bastion, se souviennent de quelques incidents, à commencer par une migration difficile, ils s’attachent à souligner la proximité et l’écoute dont Wallix a fait la démonstration, auprès d’eux, au cours de ces dernières d’années, des qualités rares.

Pour l’heure, tous deux réfléchissent à l’opportunité d’étendre l’utilisation du bastion pour le contrôle des accès administratifs des personnels de la métropole. Mais la question des licences se pose : une telle extension du périmètre conduirait à celle du nombre de ressources protégées par l’AdminBastion. Et c’est la base même du mode de facturation. L’utilisation de serveurs de rebond pourrait permettre de limiter l’inflation.

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)

Close