Crédit Agricole Payment Services sécurise son infrastructure de gestion des paiements avec F5

Crédit Agricole Payment Services est le prestataire de services de paiement pour les caisses régionales de la banque ainsi que pour ses clients. Il gère ainsi les acquisitions de paiements par carte bancaire, les virements, les prélèvements ou encore les automates. Autant le dire clairement : c’est une cible de choix pour les pirates. Pas question, donc, de négliger de quelque manière la sécurité d’une infrastructure qui est accessoirement soumise à régulation, ne serait-ce que par PCI-DSS.

Au tournant de la décennie, le Crédit Agricole s’est trouvé confronté à un choix : externaliser la gestion des paiements ou construire une toute nouvelle plateforme afin de renouveler celle qu’il exploitait depuis 20 ans, explique Sylvain Pomey, ingénieur sécurité réseau au sein de la banque. C’est la seconde option qui a été retenue, conduisant au déploiement d’équipements F5 à partir de 2009 : « ils sont au cœur de la plateforme de gestion des paiements du groupe et présentent tous les services exposés aux clients ». Dans la pratique, il s’agit aujourd’hui de 12 systèmes BIG-IP 3900, répartis entre environnements de production et de pré-production, et de quatre châssis 4U Viprion 2400 équipés chacun d’une ou deux lames 2100. Mais l’avenir est clairement au basculement des BIG-IP 3900 vers les systèmes Viprion, les premiers, lancés à l’été 2009, n’étant plus commercialisés depuis début 2015. Chaque lame Viprion 2100 est théoriquement capable de gérer un million de requêtes sur la couche applicative par second, ou encore 12 millions de connexions niveau 4 concurrentes, pour une bande passante maximale de 40 Gbps en niveau 4, et 18 Gbps en niveau 7. Elles savent également gérer les transactions SSL, à raison de 4 000 par seconde et par lame.

Historiquement, les équipements F5 ont été retenus pour les fonctionnalités LTM – Local Traffic Manager –, pour la gestion et le contrôle du trafic applicatif, dont l’équilibrage de charge, et ASM – Application Security Manager – pour le pare-feu applicatif Web. A l’automne dernier, les équipes du Crédit Agricole réfléchissaient en outre à la mise en œuvre des fonctionnalités de contrôle d’accès, avec le module APM – Access Policy Manager – afin de répondre à des besoins apparus « récemment », expliquait alors Sylvain Pomey. Les équipements sont également utilisés comme passerelles SSL avec des modules matériels de gestion des clés (HSM) signés Thales.

Si les matériels F5 ont été retenus, c’est surtout pour leurs fonctionnalités et leurs capacités face à la charge, « autant pour le traitement des sessions que pour le déchiffrement SSL », explique Sylvain Pomey. Et d’expliquer que de nombreuses applications reposent en définitive sur ces équipements, en production. Les équipes de sécurité réseau se chargeant d’en collecter les journaux d’activité pour remonter les alertes éventuelles ou encore les vulnérabilités et assurer en continu la conformité réglementaire de l’infrastructure, pour les applications qu’elle supporte.