Le Conseil Général des Bouches du Rhône virtualise et sécurise ses postes de travail

Marc Dovero, RSSI du Conseil Général des Bouches du Rhône, a expliqué, à l’occasion des Assises de la Sécurité, comment ses équipes ont commencé à virtualiser les postes de travail des milliers d’agents du CG avec XenDesktop, et à sécuriser les accès en s’appuyant sur les équipements de F5 Networks.

Marc Dovero, RSSI du CG13, plante d’emblée le décor, soulignant les contraintes de la DSI : le Conseil Général est une collectivité territoriale aux prérogatives vastes, avec de nombreux métiers. En tout, il compte 7000 agents pour 6500 postes de travail, le tout éclaté sur un grand nombre de sites. Certes, un site principal - l’hôtel du département - centralise environ 2500 personnes. Un second, à côté de la tour CMA, à Marseille, en rassemble 800, mais la problématique demeure. Et la multiplication des métiers propres à une collectivité territoriale induit celle des applications, «peu d’architectures Web, surtout des logiciels achetés avec des architectures client/serveur ». Les serveurs étant essentiellement concentrés sur l’hôtel du département.

L’allocation de locaux à proximité de la tour CMA a été l’occasion de mettre en place un socle technique adapté aux besoins des métiers, explique Marc Dovero : «il a fallu intégrer les nouveaux terminaux - tablettes et smartphones (personnels et fournis par la collectivité) -, et des ordinateurs dits personnels », même si le Bring Your Own Device n’a pas encore cours. Toutefois, il s’agissait de permettre à des prestataires de pouvoir utiliser leur propre matériel sur le réseau du CG. Plus globalement, le projet devait permettre à l’administration de gagner en agilité et de réduire les coûts associés aux postes de travail : «oui, cela représentait un investissement mais nous calculons le retour sur investissement sur la base de la réduction des coûts de maintenance, sur le poste de travail et sur le réseau, ainsi que sur l’exploitation des serveurs », explique le RSSI.

La place limitée sur les bureaux du nouveau bâtiment a poussé à l’adoption de clients légers. «Il y avait deux risques pour nous : la lenteur et l’acceptation des utilisateurs. Mais cela s’est bien passé », se rappelle Marc Dovero. Pour éviter les risques de ralentissement par rapport à des postes lourds, « on a fait simple en mettant tous les serveurs concernés dans le même bâtiment ». Et l’appropriation des terminaux s’est également bien déroulée : «la mobilité est la plus appréciée, cette capacité à se connecter depuis n’importe quel terminal. Ça a pris le pas sur le fait d’avoir son propre PC et ses propres personnalisations.» Les machines virtuelles sont sous Windows 7, avec Exchange et Lync; les serveurs sont virtualisés avec Hyper-V et les postes de travail, produits avec XenDesktop et XenApp.

Pour la sécurité, le CG13 voulait traçabilité et authentification : «il fallait au moins pouvoir tracer les demandes de connexion et les actions sur les applications. Les solutions de F5 Networks nous a été assez utiles pour faire ça: nous les avons déployées en coupure de beaucoup de choses. En authentification, NAC et 802.1X nous permettent de procéder à l’authentification à la connexion du poste. [...] Nous sommes partis du principe de recentrer la sécurité sur le centre de calcul, après avoir enlevé l’information du poste de travail. Le poste peut alors se permettre d’être hors de la zone de confiance.» Ce qui permet, au passage, d’aborder sereinement la question des accès distants, via Internet, « en OTP sur un VPN. Tous les utilisateurs n’y ont pas encore accès; nous sommes un peu frileux et en phase d’audit de sécurité ». Le Conseil Général a également mis en place un dispositif de partage de fichiers par Internet : «nous en avions un peu assez que les gens utilisent des services externes comme réceptacles des données de l’administration. Nous devions proposer une alternative, un équivalent plus industriel chez nous.» Sur le réseau local, les «clients légers sont connectés avec NAC, et authentifiés par certificat numérique. C’est vrai également pour les téléphones IP et pour les PC. On espère que ce sera vrai pour les iPad mais nous n’avons pas encore testé. Accessoirement, cela renforce la sécurité et cela réduit les coûts d’exploitation avec l’assignation automatique des VLAN ». Bien sûr, Marc Dovero avait dû conduire, au préalable, «un projet de PKI : 800 certificats pour les postes; autant pour les téléphones ».

Pour sécuriser les données, «les flux entre postes et applications sont contrôlés selon les profils ActiveDirectory ». Un étage de contrôle du trafic applicatif est assuré par les équipements F5 dont sont également activées les fonctionnalités d’équilibrage de charge. «Le cluster d’équipements F5 a été configuré en actif/passif sur un seul site, initialement. Dans le cadre du plan de continuité de l’activité, il a vocation à évoluer vers une configuration actif/actif sur deux sites », pour assurer l'équilibrage de charge, toujours, mais aussi la haute disponibilité. Le filtrage des flux applicatifs est quant à lui «en cours de renforcement : entre les machines virtuelles et les applications. Avec la solution F5, on peut encore affiner, en marquant certaines activités. Nous n’avons pas encore essayé mais nous allons y venir.» 

Marc Dovero souligne la flexibilité et l’évolutivité des solutions F5 : «nous les avons choisies en raison de leur ouverture et des capacités de personnalisation.» Mais il conserve un regard réaliste dessus. Heureusement que son partenaire - Telindus - était là pour le déploiement : «ils connaissent bien le produit et la réécriture de règles hors de l’interface Web est complexe.» Toutefois, passée cette première phase, «l’exploitation est facile.»

Pour approfondir sur Virtualisation du poste de travail

Close