Les aéroports de Lyon protègent leurs données sensibles avec Prim’X
Les aéroports de Lyon ont retenu la solution de chiffrement ZoneCentral, du français Prim’X, pour protéger leurs données sensibles ou réglementées.
Les activités aéroportuaires ne sont pas anodines, loin s’en faut. Dominique Machu, RSSI des aéroports de Lyon, le sait bien : « nous manipulons des données sensibles ou réglementées – à l’échelon français ou européen –, comme celles relatives à la sûreté ou à des agréments ». Sans compter des documents confidentiels émis par l’Etat.
De fait, les aéroports de Lyon opèrent avec une délégation de service public. Dès lors, pour répondre aux besoins de protection de ces données contre le vol ou les accès illégitimes, le RSSI a retenu la solution ZoneCentral de Prim’X.
Ce fut l’un des premiers sujets auxquels Dominique Machu a du s’atteler en 2010, à son arrivée dans ses fonctions. Et,« en 2013, nous avons reçu un parc mobile de 120 machines qu’il fallait protéger. Nous avons étudié les solutions du marché et nous avons choisi de continuer avec ZoneCentral parce que les utilisateurs avaient besoin d’accéder aux mêmes données ».
Une intégration aisée
La solution de Prim’X est utilisée pour chiffrer les données stockées localement, mais également celles des partages réseau, et même des communications transitant par la messagerie électronique.
Dominique Machu reconnaît que de nombreuses solutions du marché pouvaient répondreà ses besoins. Mais « nous avons choisi ZoneCentral parce qu’il ne nécessitait pas que l’on déploie de serveur dédié ».
Et d’expliquer que la solution d’intègre à l’infrastructure à clé publique (PKI) déjà en place au sein de l’entreprise. Pour le reste, « nous définissons des stratégies de groupe [ou GPO] dans l’annuaire Active Directory » pour construire les règles de chiffrement et d’accès : « l’ensemble est complètement intégré à notre infrastructure existante ». Ce qui se traduit sur le temps de déploiement : 4 jours, en 2010, avec l’aide d’un intégrateur ; « cela fait, nous avons produit des masters et les avons déployés sur les postes de travail ».
Au-delà, l’intégration de ZoneCentral à l’annuaire permet de consolider l’authentification des utilisateurs, par certificat individuel, et donc par clé individuelle. Les masters et la gestion des clés sont réalisés avec des outils fournis par Prim’X.
Un effort de sensibilisation limité
Pour les utilisateurs, le but était « d’être aussi transparent que possible ». Dès lors, un petit guide d’utilisation assorti d’un effort de sensibilisation a suffi à l’adoption : « il s’agissait de souligner que les documents confidentiels doivent être placés dans des emplacements spécifiques » et leur expliquer comment utiliser les conteneurs chiffrés pour la messagerie.
De leur côté, les utilisateurs voient un cadenas, en fond de fenêtre de l’explorateur de Windows, lorsqu’ils accèdent à un partage chiffré.
Mais pas besoin d’aller plus loin : « les utilisateurs manipulant des données réglementées étaient déjà sensibilisés à cette question. Les pratiques qu’ils doivent respecter sont décrites dans des instructions générales ministérielles ». Et la classification des informations avait déjà été faite, en 2010, dans chaque direction métier.
Le chiffrement ne pardonne pas
ZoneCentral concerne aujourd’hui quelque 135 utilisateurs sur un total d’environ 500, entre ordinateurs sous Windows 7 Pro et tablettes Windows 8.
Avec le recul, Dominique Machu souligne la fiabilité de l’outil de Prim’X. Un seul incident a pu être déploré : un utilisateur avait placé dans la corbeille des fichiers qu’il aurait bien apprécié récupérer… mais l’effacement de ces fichiers chiffrés rend leur restauration impossible. « C’est malheureux, mais c’est le but », souligne avec ironie le RSSI.
Depuis cet incident, des clés de recouvrement ont étémises en place, ainsi qu’une sauvegarde en mode Cloud des zones chiffrées pour les ordinateurs portables, AirBackup de TeamViewer. Et là, « les fichiers chiffrés restent chiffrés ». Mais il est possible d’y accéder en cas de perte ou de dommage du terminal mobile.