Darva centralise sa gestion de mots de passe
Acteur pivot du secteur de l’assurance français, Darva a revu début 2024 sa politique de gestion des mots de passe. L’entreprise a centralisé ses milliers de secrets sur la solution LockPass de l’éditeur français LockSelf.
Fournisseur de services dans le domaine de l’assurance, Darva assure notamment l’interconnexion des différentes compagnies d’assurance avec leur écosystème d’experts, de garagistes, etc. Cette interconnexion permet notamment la résiliation automatique des contrats d’assurance lorsqu’on décide de changer d’assureur.
L’entreprise qui utilisait la solution KeePass pour une partie de son personnel, a décidé de revoir sa position et de chercher une solution à déployer auprès des 350 utilisateurs internes et externes de son système d’information.
« Notre besoin initial était de fournir une solution de gestion de mots de passe à tous nos collaborateurs, qu’ils soient internes ou externes », raconte Martin Bonneau, Administrateur Systèmes chez Darva : « nous voulions une solution unique pour tous les collaborateurs et non pas une solution limitée à quelques équipes ou des outils utilisés en fonction des goûts de chacun, sans une gestion centralisée des secrets de l’entreprise ».
Le Visa de l’ANSSI, une assurance en termes de conformité
Le fournisseur de service a évalué 5 solutions du marché qui semblaient répondre le plus à ses exigences. La solution LockPass de l’éditeur français LockSelf, est sortie du lot car elle bénéficie d’une certification de l’Anssi : « le Visa de sécurité de l’Anssi est un réel plus pour nous, car nous hébergeons nous-mêmes des solutions certifiées. Étant audités très régulièrement, il est plus facile d’expliquer que notre gestion de mots de passe est assurée par une solution certifiée en France qu’avec une solution certifiée dans un autre pays, ou pas certifiée du tout ! »
En outre, le tampon de l’agence constitue, par essence, un gage de sérieux quant à la sécurité offerte par la solution. Sans réaliser de tests d’intrusion proprement dits, l’équipe informatique de Darva a procédé à quelques vérifications quant à la sécurité du logiciel LockPass, notamment sur le chiffrement des données en transit comme au repose. « Ces contrôles étaient relativement rapides, car nous accordons notre confiance au tampon de l’ANSSI », souligne Martin Bonneau.
L’autre raison du choix de LockSelf est que sa solution LockPass existe en version on-premise. En tant qu’acteur du secteur de l’assurance, Darva est soumis à différentes obligations relatives au stockage de certaines données qui lui sont confiées. Ces obligations ont pour effet d'éviter les solutions de type Cloud, même si les serveurs se situent en France. De ce fait, cette approche a été généralisée à l’ensemble des services d’infrastructure consommés par l’IT de Darva, y compris le volet gestion des mots de passe.
Un déploiement mené en 3 temps
Le processus de sélection de l’outil de gestion des mots de passe s’est déroulé en 3 temps. Une fois la phase d’évaluation des 5 solutions et les démonstrateurs arrivés à leur terme, Darva a retenu la solution LockPass pour un premier déploiement dans le département Production : « nous avons pris une cinquantaine de licences pour évaluer la solution pendant un an avant d’envisager un élargissement du déploiement ».
L’objectif de ce premier déploiement restreint était de faire remonter les problèmes et éventuelles limitations de la solution pour décider si elle serait conservée ou pas : « nous voulions aussi laisser le temps à l’éditeur de développer des points qui n’étaient pas couverts par son offre, mais très importants pour nous. LockSelf est un éditeur très dynamique sur les mises à jour, donc nous voulions aussi lui laisser le temps de corriger les éventuels bugs ».
Lors de cette expérimentation de longue durée, aucun bug majeur n’est apparu et les remontées faites auprès du support ont été traitées.
Martin BonneauAdministrateur Systèmes chez Darva
Suite à cette seconde phase, la décision est prise d’étendre le déploiement à toute l’entreprise. Celui-ci a été mené de manière classique chez Darva, avec une formation de tous les utilisateurs, puis un accès à l’outil : « nous avons demandé à LockSelf de réaliser des communications à destination de nos utilisateurs, avec une dizaine d’emails planifiés de semaine en semaine pour faire suite à la formation et donner des conseils et astuces pour exploiter au mieux l’outil ».
LockPass a été déployé dans une configuration haute disponibilité afin de pallier tout risque d'indisponibilité de l'un des datacenters. Le logiciel ne s’appuie pas directement sur l’Active Directory de Darva. Les comptes utilisateurs restent locaux dans l’application. Cette relative isolation des systèmes a pour but de ne pas provoquer de blocage en cas d’incident d’exploitation ou d’attaque informatique sur l’Active Directory. Si le gestionnaire de mots de passe est lui-même bloqué pour l’accès à l’Active Directory, toute connexion des membres de l’équipe d’exploitation serait impossible...
À l’arrivée d’un nouveau collaborateur ou d’un prestataire externe, les personnes chargées de l’annuaire y créent son identité et les comptes dans tous les outils qu’il sera amené à utiliser, en fonction de son profil. Chaque évolution de ces droits doit être répercutée dans LockPass ainsi que dans tous les comptes locaux.
95 % d’utilisateurs satisfaits
Comme dans tout projet, des utilisateurs peuvent se montrer réticents au changement et préférer conserver leur façon de travailler et stocker leurs mots de passe dans des fichiers texte ou csv… Si la saisie d’un code Pin a pu en rebuter certains, Martin Bonneau estime que la majorité des utilisateurs est plutôt satisfaite de la solution : « tous les collaborateurs disposent maintenant d’un outil géré et partagé par tous, qui leur offre notamment des espaces pour partager des secrets au niveau d’une équipe. Ce besoin n’était pas bien couvert jusque-là. Globalement, 95 % des utilisateurs se disent satisfaits de l’outil ».
Un point pose toujours difficulté : l’absence de support des clés de sécurité Yubikey par la solution LockPass. Les équipes techniques de Darva mettent en œuvre des Yubikey pour les accès sécurisés par MFA. Le système existant a été conservé, mais l’administrateur système attend avec impatience que l’éditeur développe une intégration avec le système Yubikey.
Le tableau de bord, une fonction récemment lancée par LockSelf, a séduit Martin Bonneau. Il délivre une série d’indicateurs synthétiques sur la part de mots de passe forts et ceux qui présentent un risque, le taux d’utilisation des mots de passe et la génération d’alertes sur l’utilisation de mots de passe sur des horaires ou des lieux inhabituels. « Ce dashboard nous est utile, mais sachant que nous avons de nombreux secrets, nous ne pouvons les gérer manuellement. Nous attendons la disponibilité d’une API pour pouvoir générer des listes de mots de passe à modifier par équipe et par service de manière régulière, » explique-t-il.
Darva mise en effet sur l’infrastructure-as-code pour automatiser ses processus d’exploitation et la plateforme LockPass a été mise à profit dans cette approche. La gestion des secrets centralisée et le pilotage de la solution par API permettent notamment de créer des machines virtuelles (VM) ou des bases de données de façon automatisée.
Lorsque le Dashboard sera lui aussi disponible sous forme d’API, les indicateurs permettront de mener des actions de sensibilisation auprès des utilisateurs ou même alimenter les écrans d’affichage de l’entreprise pour impliquer chacun dans l’amélioration de la sécurité des mots de passe.