Comment Business France sécurise les accès distants à son SI

C’est en 2015, à l’occasion des Assises de la Sécurité, que Philippe Alègre, responsable du service Infrastructure & Datacenter de Business France, a fait la découverte de Bomgar. C’était avant son entrée en fonctions, mais cette rencontre s’est vite avérée utile.

A l’époque, en 2016, Business France avait accès, sur étagère, aux solutions de Wallix. Mais celles-ci n’étaient pas utilisées : « les équipes se servaient de choses comme TeamViewer », notamment pour permettre aux prestataires externes d’accéder à des systèmes internes. Bien sûr, Philippe Alègre était loin de s’en satisfaire. Et cela d’autant plus que les cas d’usage liés aux accès distants ne manquaient pas.

Tout d’abord, il fallait donc répondre aux besoins des équipes de maîtrise d’œuvre supervisant les prestataires tiers. Mais en interne, certaines équipes éloignées de la production pouvaient être amenées à solliciter celles-ci pour l’exécution de requêtes sur les bases de données. Et « il est rare que cela fonctionne du premier coup. Dès lors, on entre dans un jeu de ping-pong chronophage ».

Et c’est sans compter avec les besoins de support aux utilisateurs. Business est présent dans plusieurs dizaines de pays à travers le monde. Avec certaines connexions, de qualité, les prises en main à distance ne posaient pas de difficultés particulières. Mais dans d’autres cas, et tout particulièrement avec l’Asie, « la latence se faisait sentir de plus en plus ». A cela s’ajoutait également une mise en œuvre pratique pas forcément confortable.

C’est tout cela – et même un plus encore – que le recours aux outils de Bomgar a permis de fluidifier et de sécuriser.

Pour le premier cas d’usage, ces outils ont permis d’éviter d’avoir à mettre en place des accès VPN pour des populations qui n’ont pas nécessairement l’expérience et les compétences nécessaires : « avec Bomgar, il n’est pas nécessaire de se pencher sur les questions liées à l’infrastructure réseau ; toute la gestion des tunnels est native ». Et s’ajoute à cela la capacité à enregistrer les sessions. Outre l’assurance que cela peut apporter quant à la qualité des interventions ou leur traçabilité, cet enregistrement permet également aux équipes de monter graduellement en compétence en s’appuyant sur les actions réalisées par les prestataires externes.

Pas question non plus de faire accéder à l’infrastructure interne via un serveur de rebond avec un accès en carte blanche sur les systèmes cibles : les prestataires disposent de droits limités à leur périmètre d’intervention. Mieux encore, relève Philippe Alègre, il est possible de ne leur donner accès qu’à un terminal émulé plutôt qu’au serveur visé.

Accessoirement, chacun peut désormais bénéficier d’un accès nominatif : de quoi éviter les comptes génériques et l’opacité qui leur est généralement associée. Les prestataires n’ont d’ailleurs pas connaissance des identifiants techniques utilisés pour leurs interventions sur les systèmes cibles : leurs véritables mots de passe sont gérés par le produit Vault de Bomgar. « Du coup, nous avons là aussi accru la sécurité », relève Philippe Alègre. Et cela d’autant plus que, pour les systèmes les plus sensibles, comme les contrôleurs de domaine, le tout est doublé d’une authentification à facteurs multiples.

En interne, les équipes demandeuses d’accès aux serveurs de bases de données peuvent désormais lancer leurs requêtes directement. Là encore, une trace des actions est conservée, ce qui peut permettre, le cas échéance, d’éviter ou d’identifier d’éventuelles dérives.

Enfin, pour le support technique, les utilisateurs finaux n’ont plus qu’à installer un composant ActiveX pour assurer la prise en main à distance de leur poste de travail. Surtout, celle-ci se fait dans la transparence : le support demande l’autorisation pour la prise en main ; et c’est l’utilisateur qui y met un terme une fois l’intervention terminée.

C’est en 2017 que Business France a effectivement fait l’acquisition de licences pour les outils de Bomgar. En l’espace de deux semaines, un démonstrateur a été mis en place l’aide du distributeur Newlode, sur la base de quatre machines virtuelles. « En un mois, tout était prêt », se souvient Philippe Alègre. Ce qui a pris un certain temps, après cela, ce fut de changer les habitudes, en interne comme avec les prestataires, l’espace de 4 à 5 mois.

Mais si, initialement, les licences portaient sur 25 connexions simultanées, ce chiffre s’est aujourd’hui montré insuffisant : « les utilisateurs sont de plus en plus nombreux ». Et cela parce que, justement, les anciennes pratiques n’ont plus cours. Alors l’augmentation du volume d’accès simultanés est prévue pour cette année.