L’université de Cergy-Pontoise sécurise l’administration à distance avec Bomgar

C’est à l’occasion de l’édition 2016 des Assises de la Sécurité que Guillaume Renier, directeur informatique de l’université de Cergy-Pontoise, a rencontré les équipes de Bomgar. Un premier contact qui a débouché sur la mise en place de démonstrateurs – pour étudier d’une part l’éventail fonctionnel de la solution de gestion des accès à privilèges (PAM), et d’autre part son administration. Une expérience convaincante : la commande a été signée début 2017.

La solution de PAM de Bomgar est aujourd’hui utilisée pour donner accès aux prestataires externes aux serveurs Windows, en RDP, pour l’administration à distance. L’objectif affiché est de « contrôler ce qu’ils font sur nos systèmes ». Parce qu’avant cela, l’université comptait sur une solution à base de rebond : un lien VPN, ouverture de session sur une machine de rebond en RDP, et de là, les prestataires intervenaient sans surveillance. Difficile, dans ces conditions, de s’assurer que les prestations étaient bien assurées, avec ce que cela avoir comme conséquences pour la production, la sécurité, mais également les finances.

Avec la solution de PAM de Bomgar, la direction informatique est notifiée à chaque connexion. Le week-end, les tiers ne peuvent pas intervenir sans autorisation exceptionnelle de la direction. Et bien sûr, tout est enregistré. Et dans certains cas, c’est loin d’être superflu. Guillaume Renier prend ainsi l’exemple des tunnels SSH : désormais, l’ensemble de l’écran est enregistré tout au long de la session. Et il y a une bonne raison à cela : « il est possible de créer d’autres tunnels à partir de là, donc on veut voir ce qui s’y passe. Cette condition figure désormais dans nos appels d’offres ».

Et c’est sans compter les inévitables indélicats prétendant assurer une prestation sans effectivement la réaliser : « désormais, on peut rejouer les sessions et voir si le travail a été bien fait ». Cela vaut par exemple pour les restaurations : précédemment, des prestataires pouvaient intervenir à distance, avec un logiciel client installé sur leurs équipements. Aujourd’hui, ils doivent passer un client installé sur une machine virtuelle, sur l’infrastructure de l’université, derrière la solution de PAM de Bomgar.

Et de nombreux systèmes administrés peuvent être critiques : « si quelqu’un censé superviser un équipement, comme un onduleur, ne le fait pas vraiment, on fait courir un risque au système d’information », souligne Guillaume Renier.

Et pour ajouter un niveau de contrôle supplémentaire, les comptes à privilèges expirent au bout de trois mois : avant l’échéance, les prestataires doivent demander leur renouvellement aux responsables métiers internes à l’université pour lesquels ils interviennent.

Outre les capacités de la solution, c’est la proximité et la réactivité des équipes de Bomgar qui ont séduit Guillaume Renier, y compris pour son support technique aux Etats-Unis : « j’ai eu besoin d’eux une fois. Il leur a fallu une heure pour analyser mon problème, puis moins de 24h pour le résoudre – il fallait intervenir directement sur la base de données de la solution. Le support a validé le processus, puis est intervenu avec notre supervision – ils ne peuvent pas intervenir sans nous ».

Dans la pratique, le déploiement s’est avéré plutôt simple : « le plus long, c’est que Bomgar génère les appliances personnalisées qui seront déployées dans l'infrastructure de virtualisation. Il faut compter 24 à 48h. Mais après, l’installation se fait en dix minutes ». Après, Guillaume Renier recommande de prendre le temps de l’appropriation : « il faut compter 30 à 40h de pratique pour bien maîtriser les mécanismes de gestion des droits ». Et après avoir expérimenté, « on efface tout et on réinstalle ». Une fois la solution en production et maîtrisée, l’exploitation s’avère simple et fluide : « créer un nouveau jump prend deux minutes. L’affecter à douze personnes en prend quatre. Mais il faut avoir bien réfléchi à son architecture au préalable ».

L’été dernier, l’université de Cergy-Pontoise a décidé d’aller plus loin avec Bomgar, en remplaçant KeyPass par Password Vault pour la gestion des mots de passe. Mais se pose encore la question de l’administration à distance des équipements actifs tels que commutateurs, ou pare-feu notamment. Là, le nombre est beaucoup plus élevé que celui des serveurs administrés, et le coût pourrait s’avérer bloquant par rapport à des solutions concurrentes.