Comment VINCI Construction a repensé ses accès distants
Conséquence directe du premier confinement de 2020 et de l’essor du télétravail, VINCI Construction a totalement revu sa copie quant à ses accès distants. Le groupe a misé sur une solution unique pour l’ensemble d'entre eux, une révolution dans un groupe très décentralisé.
Avec 115 000 salariés, VINCI Construction est un géant mondial du bâtiment, du génie civil et de la construction d’infrastructures linéaires comme les routes. Le groupe est présent dans 40 pays, mais avec des chantiers dans une centaine, et se compose de 1 300 Business Units. Si la France représente un peu moins de 45 % de l’activité du groupe, l’organisation de ce dernier est très décentralisée : chaque pays dispose de ressources informatiques en propre. Une culture d’entreprise qui explique que VINCI Construction compte actuellement pas moins de 25 datacenters dans son périmètre IT.
Filiale aujourd’hui intégrée à VINCI Construction, Eurovia a lancé il y a deux ans un vaste projet de modernisation des accès distants, suite au début de la crise sanitaire de la COVID : « le 17 mars 2020, le premier jour du confinement, la plateforme VPN de notre opérateur a littéralement explosé en plein vol », se souvient Laurent Benoit, Directeur Architecture IT à la DSI de VINCI Construction.
« Il nous a fallu 48 heures de travail non-stop pour onboarder toute la France. »
Laurent BenoitDirecteur architecture IT, DSI VINCI Construction
Pour leurs accès distants, les utilisateurs français utilisaient la solution Cisco AnyConnect proposée et managée par l’opérateur du réseau MPLS de l’entreprise. « Il nous a fallu 48 heures de travail non-stop pour onboarder toute la France. Chaque pays a fait un peu comme il a pu pour gérer la situation et cela ne s’est pas fait sans difficulté… »
La DSI d’Eurovia décide alors de trouver une alternative à cette solution managée sur laquelle elle n’a que peu de prise. La stratégie de décentralisation du groupe vient quelque peu compliquer le projet de rénovation : Eurovia était présent dans 15 pays et chacun de ces pays a déployé sa propre solution VPN. La France avait opté pour une solution managée, mais d’autres pays ont préféré opérer elles-mêmes leurs VPN, bien souvent sur du matériel Fortinet.
Outre les accès distants, la DSI devait traiter une autre problématique de sécurité liée au filtrage Web. Si une telle fonction était intégrée aux solutions en place, l’inspection SSL restait désactivée pour des raisons de performances du fait du sous-dimensionnement des infrastructures.
Un premier pas vers le modèle « Zero Trust »
La DSI commence alors à chercher les solutions pouvant répondre à ce double besoin. L’équipe cybersécurité n’en est encore qu’au début de sa réflexion sur le modèle « Zero Trust », mais plusieurs points de l’offre Zscaler vont les convaincre d’opter pour les offres ZPA (Zscaler Private Access) et ZIA Zscaler Internet Access. « Pour le filtrage, l’idée de disposer d’une solution commune à tous nos pays n’était pas simple à mettre en place ; mais disposer d’un filtrage permanent permet d’être sûr que, quels que soient l’utilisateur, la façon dont il se connecte et l’endroit où il se trouve nous serons capables de filtrer son accès ».
« L’idée était de rendre l’usage de l’outil le plus transparent possible et nous assurer que le tunnel puisse être monté de manière automatique. C’est clairement la clé de la réussite dans une conduite du changement. »
Laurent Benoit Directeur Architecture IT, DSI Vinci Construction
En outre, une offre cloud permettait enfin à l’équipe cybersécurité d’activer l’inspection SSL et donc d’améliorer la visibilité sur le trafic réseau et rehausser le niveau de sécurité des utilisateurs. Un autre point technique va séduire l’équipe projet, car il va contribuer à réduire la surface d’attaque de l’entreprise : « il s’agit d’une solution sans écoute sur les ports du côté datacenter. C’est un point important, car nous avons de nombreux datacenters. Ceux-ci portent le cœur de notre activité et nous essayons de ne pas les exposer sur Internet. Trouver une solution qui nous évite d’avoir un port d’écoute en flux entrant, c’est un plus en termes de sécurité. Nous n’avions pas placé ce point sur la liste de critères dans notre choix de solution et ce fut une bonne surprise ».
15 pays à fédérer autour d’un même projet
Pour Laurent Benoit, le point le plus critique de ce projet fut de mettre les équipes IT des 15 pays concernés autour de la table pour convenir d’une gouvernance et surtout susciter l’adhésion de tous autour du projet. « Nous n’avons réellement démarré que lorsque tous étaient autour de la table en expliquant qu’il y aurait 15 administrateurs pour les 15 pays sur la console, avec des règles qui s’appliquent à tout le monde. Embarquer tous les pays dans le projet dès le départ fut sans doute la clé de la réussite de ce projet ».
Une instance de gouvernance adaptée à ce fonctionnement décentralisé a été mise en place. Celle-ci contribue à rapprocher les différentes DSI, notamment avec des réunions régulières de pilotage des accès. « Cette approche collaborative a porté ses fruits : une fois que les administrateurs et leurs responsables locaux ont compris qu’ils allaient garder la main sur leurs accès et qu’ils seraient totalement autonomes, un premier pas avait été franchi ».
Le principe de base de la gouvernance a été de définir une baseline standard avec des règles de filtrage qui s’appliquent à tous, sans exception. « S’il faut faire une exception aux règles en place pour des raisons métiers, par exemple, celle-ci doit être validée par la gouvernance du projet. Tous les administrateurs locaux ont été formés, les règles d’administration validées par tous et une charte de bon usage mise en place ».
Un déploiement « à la carte »
La DSI a fait le choix de se montrer plutôt accommodante dans son planning de déploiement, chaque pays ayant ses contraintes propres, notamment en termes de date de fin de ses contrats. « La Grande-Bretagne avait besoin d’activer le filtrage Web bien avant le VPN, car leur contrat VPN continuait de courir. C’était l’inverse pour la France qui a préféré démarrer le volet VPN, mais n’avait pas un besoin immédiat de filtrage Web. De fait, le déploiement a été mené selon un planning très personnalisé ». Le déploiement va donc prendre 2 années, chaque pays activant les briques qui l’intéressent au moment qu’il juge le plus opportun.
Sur la France, le déploiement est mené en un an. Une phase d’explication sur le retrait du client Cisco a été nécessaire afin que les collaborateurs ne croient pas que cette démarche préfigurait la fin du télétravail. De même, les instances du personnel ont été intégrées à la démarche dès le début du projet, notamment pour rassurer quant à l’inspection SSL, en expliquant qu’elle ne serait pas synonyme d’intrusion dans la vie privée des collaborateurs.
« Après 2 mois de test sur le filtrage pour nous assurer qu’il n’y aurait pas d’impact sur nos applications, nous avons déployé la fonctionnalité en une nuit. Le lendemain matin, les 13 000 utilisateurs basés en France en bénéficiaient. C’est le côté très positif de ce genre de solution intégrée : il est possible de commencer avec une fonctionnalité, puis d’embrayer sur d’autres par la suite. C’est le même agent ». Au fur et à mesure du projet, les pays ont pu bénéficier de l’expérience des premiers déploiements et le rythme a pu s’accélérer.
Les atouts d’une plateforme de sécurité cloud
Pour une entreprise mondialisée telle que VINCI Construction, s’appuyer sur un service disponible partout dans le monde est un atout : les collaborateurs en déplacement n’ont pas à se raccrocher systématiquement à un point de présence en France. La contrepartie de ce choix est que Zscaler peut être considéré comme un « single point of failure ».
C’est d’autant plus le cas que dans une approche « Zero Trust » : le service est utilisé en permanence, quel que soit le contexte d’utilisation. « Le nouveau siège de VINCI fonctionne comme un cybercafé géant pour les 4 000 collaborateurs qu’il abrite : il n’y a pas d’autre réseau pour les collaborateurs que le lien Internet. Si l’accès tombe, tout s’arrête ». Si l’éditeur s’engage sur des SLA quant à la disponibilité de son service, il souligne la présence de solutions techniques pour maintenir les accès en cas d’indisponibilité totale de son cloud.
Une caractéristique très spécifique de l’accès Zscaler a posé quelques soucis aux ingénieurs de la DSI : Zscaler ne délivre pas d’adressage IP au poste qui se connecte au réseau. Un attaquant est ainsi incapable d’opérer un mouvement latéral vers les autres postes.
Cette spécificité est intéressante en termes de sécurité, mais peut poser des problèmes à certaines applications. Ce fut le cas de la remasterisation des postes au client qui était jusque-là effectuée avec Microsoft System Center Configuration Manager (SCCM), lequel nécessitait une adresse IP pour fonctionner. Une connexion directe au réseau MPLS via un tunnel spécifique a été mise en place, en attendant la disponibilité d’une fonctionnalité Zscaler qui doit permettre d’établir des communications vers une machine spécifique.
Désormais, la prochaine étape du projet va être d’accompagner la stratégie « Move to Cloud » des datacenters de VINCI Construction ou encore aller plus avant dans l’approche « Zero Trust », avec une plus grande segmentation pour améliorer encore la posture de sécurité du groupe.
