Comment Egis déploie les firewalls sur l’ensemble de ses filiales

Groupe d’ingénierie fortement mondialisé, EGIS déploie les solutions de sécurité Fortinet auprès de ses nombreuses filiales. Un choix technique.

Groupe français positionné sur l’ingénierie de la construction et des services à la mobilité, Egis compte près de 16 000 collaborateurs pour 1,22 Md€ de chiffre d’affaires en 2019. 64 % de l’activité du groupe est réalisée à l’international, avec 17 aéroports gérés dans 8 pays, ou encore 28 sociétés d’exploitation routière dans 20 pays.

Suite de l'article ci-dessous

La cybersécurité est bien évidemment une problématique vitale pour le fonctionnement d’un tel groupe. Jean-Paul Chavant, Responsable Sécurité Système d’Information du groupe Egis, a fait le choix de renouveler ses briques de protection à l’occasion du déménagement du siège social de l’entreprise en 2014. Le groupe déploie alors des solutions de sécurité Fortinet pour protéger son datacenter ainsi que son serveur de messagerie.

Depuis cette date, le RSSI a poursuivi le déploiement de la gamme Fortinet sur les sites dont il assure l’exploitation des infrastructures, pour toutes les sociétés qui sont en convention avec la DSI Groupe. « Selon les conventions de service signées avec chaque filiale, nous prenons à notre charge le périmètre informatique », indique le RSSI. « Il s’agit généralement de gestion de leur infrastructure IT et nous déployons des boîtiers Fortinet qui sont ensuite pilotés de manière centralisée par l’équipe française ». 

Priorité à un faible TCO sur la durée

Outre les qualités techniques des firewalls Fortinet et notamment la capacité de l’éditeur à faire évoluer sa solution, une attention toute particulière a été accordée au TCO : « tous les firewalls ont des fonctionnalités proches en ce qui concerne leurs capacités de filtrage, de haute disponibilité, et de performances en nombre de paquets traités ou de bande passante. Mais ce qui nous intéressait était de ne pas avoir à démultiplier le nombre de firewalls et réaliser un cloisonnement fort et sécurisé, au sein du même équipement. Nous souhaitions pouvoir mettre en place plusieurs couches de filtrage avec la virtualisation des domaines de confiance ».

« Nous souhaitions pouvoir mettre en place plusieurs couches de filtrage avec la virtualisation des domaines de confiance. »
Jean-Paul ChavantResponsable Sécurité Système d’Information du groupe Egis

Le RSSI s’est attaché à industrialiser au maximum le déploiement, car les équipes informatiques de chaque filiale sont légères.

« Nous souhaitions que n’importe quel membre de ces équipes puisse intervenir en premier niveau sur les firewalls et intervenir en cas de problème, pour ne faire appel à des experts que lorsque c’est réellement nécessaire », ajoute Jean-Paul Chavant. De facto, les logiciels à l’interface trop technique et trop complexe à manipuler sont écartés, car ils entraînent un besoin de compétences plus élevé des équipes de maintien en conditions opérationnelles (MCO) et des délais d’intervention plus longs.

Le RSSI est convaincu que, sur la durée, cette complexité induit un coût humain supérieur. « Nous pouvons être amenés à investir plus dans une solution sur laquelle nous avons la garantie que le coût du MCO sera inférieur par la suite. C’est la raison pour laquelle nous attendons de nos fournisseurs non pas une escalade dans celui qui propose l’appliance la plus puissante, mais bien celui qui a une solution qui sera plus simple à migrer et dont les coûts d’exploitation sont plus faibles. Sur ce type d’équipements, la durée d’investissement est en moyenne de 5 ans ».

Les équipements Fortinet les plus puissants ont été déployés dans le datacenter d’Egis, tandis que les modèles déployés dans chaque filiale sont choisis en fonction du nombre d’utilisateurs et de la charge qui devra être supportée. Le déploiement est une question majeure et doit être réalisé progressivement. Le groupe compte en effet environ 270 entités dont une centaine constitue son cœur d’activité. « Ce déploiement fait partie de notre roadmap sécurité, et il s’appuie notamment sur des audits de maturité en cybersécurité des entités qui ne sont pas encore pleinement intégrées. Nous les intégrons progressivement et nous déployons par priorité et importance du risque et le volume d’affaire de la filiale ».

Depuis ce déploiement initial, Egis a changé d’opérateur WAN et s’est tourné vers un opérateur qui utilise aussi des boîtiers de sécurité Fortinet. EGIS dispose ainsi d’une centaine de boîtiers Fortinet virtualisés chez cet opérateur pour une trentaine de boîtiers déployés par la DSI.

Outre la sécurisation des différentes filiales du groupe, le RSSI d’Egis peut être amené à intervenir sur les plateaux projets dans lesquels les ingénieurs et experts du groupe sont amenés à collaborer avec d’autres sociétés. Ainsi, sur les projets du Grand Paris, les équipes-conseil et ingénierie d’Egis travaillent avec les bureaux d’études de Colas, Bouygues Construction ou Vinci BTP.

« Ces environnements projets sont bien sécurisés, mais attirent aussi beaucoup d’attaquants. Dans certains GIE, nous sommes amenés à intervenir en tant qu’assistance à maîtrise d’œuvre (AMOE) sur les chantiers. Cela implique que nos collaborateurs ont besoin de connectivité sur les chantiers. Nous sommes alors amenés à déployer nos réseaux sur les bases vie, un réseau qui est parfois partagé avec les autres entreprises intervenant sur le chantier ».

Dans le cas où Egis est mandataire du GIE, la DSI déploie un boîtier Fortinet sur la base vie et parfois aux côtés des équipements des autres membres du GIE. « Le principe consiste à déployer une sécurité multicouche. Chaque partenaire sécurise sa partie de réseau sur la base vie », ajoute le RSSI.

Le RSSI envisage le déploiement de Forticlient pour le télétravail

Pour les accès distants des utilisateurs en télétravail, Egis n’exploite pas Forticlient, le logiciel client VPN Fortinet, mais le RSSI envisage de le déployer pour bénéficier de ses fonctionnalités de contrôle d’accès Internet en Home Office. Le groupe utilise actuellement des accès Extranet via un client VPN qui n’apporte pas totale satisfaction.

« Suite à la bascule massive en télétravail, nous avons été contraints de réaliser ce que l’on appelle un Split Tunneling (séparation des flux extranet et Internet qui ne sont plus protégés par les firewalls de l’entreprise) pour des raisons de performance et de bande passante. En tant que RSSI, j’estime que ce mode de fonctionnement ne protège pas suffisamment les communications et le poste de travail en télétravail. D’autre part, nous ne pouvons pas nous assurer du respect des règles de sécurité et détecter un comportement anormal par l’analyse de ce trafic qui nous échappe ». 

La mise en œuvre du logiciel Forticlient permettra de déporter les règles de protection de l’entreprise au niveau du client de chaque poste de travail. Cette capacité permettra au RSSI d’accepter le Split Tunneling tout en protéger correctement les flux et le poste de travail. Les postes de travail distants bénéficieront du plus haut niveau de protection et de contrôle, comme s’ils étaient protégés par le réseau interne Egis. Le client Forticlient sera déployé non seulement dans le cadre du télétravail, mais aussi sur l’intégralité des postes nomades du groupe.

« Le logiciel Forticlient nous permettra de raccorder directement chaque utilisateur aux ressources locales de son lieu de travail. »
Jean-Paul ChavantResponsable Sécurité Système d’Information du groupe Egis

Dès lors, l’architecture d’accès du groupe va radicalement changer, au plus grand bénéfice des utilisateurs : « aujourd’hui, nous avons un point d’accès modal qui gère les accès de l’ensemble de nos utilisateurs. Qu’ils soient en Europe, en Inde, au Brésil, tous se connectent en France avant de revenir dans leur réseau d’entreprise local. Le logiciel Forticlient nous permettra de raccorder directement chaque utilisateur aux ressources locales de son lieu de travail ».
Le RSSI estime que les boîtiers Fortinet ont été suffisamment bien dimensionnés pour gérer ces niveaux de flux et initialement choisis en fonction du nombre de collaborateurs sur chaque site. Les abaques fournis par leurs constructeurs devraient garantir que les performances d’accès seront au rendez-vous.

La prochaine étape de la roadmap cybersécurité d’Egis passe par la mise en place de la supervision des événements sécurité. Ce grand projet doit être lancé dans le courant de l’année 2021 pour aboutir à un SOC opérationnel mi-2022. Une offre MSSP (Managed Security Service Provider) sera privilégiée pour être opérationnel mi-2022 et permettra à Egis de disposer d’une surveillance 24/7 de son système d’information. La protection périmétrique Fortinet sera bien évidemment intégrée au périmètre de couverture du SOC.

Pour approfondir sur Sécurité réseau

Close