PAM : l’aéroport de Bordeaux généralise l’usage du bastion

La solution Bastion de Wallix était prévue uniquement pour la tierce maintenance applicative (TMA). Mais le télétravail a modifié la donne.

L’aéroport de Bordeaux a misé sur les compagnies low cost (EasyJet, Ryanair) pour attirer 7 millions de passagers annuellement (chiffre 2019). Il dessert essentiellement les villes d’Europe du Nord et d’Afrique du Nord. Sa particularité est d’être aussi une base aérienne militaire, où Dassault vient tester ses Rafale.

Ce qui différencie le système d’information des aéroports par rapport à celui d’une entreprise classique, c’est la multiplicité des systèmes et applications, interconnectés ou non. L’État se charge du contrôle aux frontières ; la DGAC (Direction générale de l’aviation civile) suit les vols. Le gestionnaire aéroportuaire n’intervient que lorsque l’avion est garé sur le parking (débarquement, sécurité, bagages). S’y ajoute la gestion des commerces et des parkings automobiles.

Un bastion uniquement pour la TMA…

En 2019, l’aéroport souhaite améliorer la sécurité de son système d’information : « plus précisément, il s’agissait de sécuriser la TMA (tierce maintenance applicative) », indique Gurvan Quenet, RSSI de l’Aéroport de Bordeaux. Après appel d’offres, c’est la solution Bastion de Wallix qui est choisie, formant une architecture complète avec la TMA, le VPN, et surtout l’authentification à double facteur. Une des conditions était que la solution devait être certifiée par l’Anssi.

Si l’intégration technique n’a pas causé de souci particulier, la principale difficulté a été de prioriser les projets dans une structure qui évolue très vite. De plus, les tiers mainteneurs ont plutôt l’habitude de travailler avec des VPN ou une application telle que Teamwiewer. Un effort de sensibilisation est apparu indispensable auprès de différentes sociétés pour leur expliquer les enjeux.

La problématique de la double authentification est sensible pour ces entreprises ayant un personnel qui tourne souvent : ce n’est pas toujours les mêmes personnes qui interviennent… sur un même compte utilisateur. Or la double authentification nécessite une identification rigoureuse des intervenants. Tous les systèmes de TMA, les bagages par exemple, passent par le Bastion de Wallix.  

… mais voilà qu’arrive la Covid-19

Prévu pour une quinzaine de connexions simultanées, le projet a été mis en production début février 2020… soit un mois avant le premier confinement ! Problème, une partie du personnel ne travaillait que sur site et rien n’était prévu pour qu’ils puissent être en télétravail. Pas d’ordinateurs portables professionnels, et impossible de s’en procurer à l’époque à cause de la rupture des stocks.

« La différence du Bastion avec un VPN classique est que les collaborateurs se connectent à leur PC professionnel sur site. C’est une sorte de déport d’écran. »
Gurvan QuenetRSSI de l’Aéroport de Bordeaux

Il a donc été décidé que des collaborateurs de la DRH, des achats, des services juridiques, etc. – qui peuvent donc manipuler des informations sensibles – travaillent depuis chez eux avec leur ordinateur personnel, en passant par le Bastion et une double authentification, par jeton (token) matériel ou logiciel : « la différence du Bastion avec un VPN classique est que les collaborateurs se connectent à leur PC professionnel sur site. C’est une sorte de déport d’écran. Et l’avantage du Bastion est de contrôler l’ensemble des actions qui sont faites sur le système d’information grâce au proxy. Cela permet d’appliquer un certain nombre de règles. Toutes les interventions effectuées sur le SI sont tracées et enregistrées », explique Gurvan Quenet.

Les collaborateurs concernés ont donc pu être placés en télétravail du jour au lendemain. La formation s’est limitée à un petit guide expliquant comment se connecter. Les salariés et la direction étaient donc très satisfaits. Le Bastion supportait alors une quarantaine de connexions simultanées.  

La double authentification, un sujet à affiner

La double authentification n’était prévue initialement que pour les acteurs de la TMA : « c’est un choix technologique qui avait été dicté pour cet usage exclusif. Aujourd’hui, nous devons avoir une réflexion stratégique sur le sujet. Par exemple, doit-on prendre la même solution de double authentification en interne et en externe, ou en fonction des applications ? Et est-il raisonnable de se passer de la double authentification pour consulter son webmail Microsoft ? J’en doute », s’interroge Gurvan Quenet.

L’aéroport de Bordeaux a sécurisé la TMA et le télétravail. « Aujourd’hui, la mobilité est là pour durer et nous sommes amenés à avoir en mobilité des accès d’administrateurs aux applications internes sensibles de l’aéroport (vidéosurveillance, par exemple). Dans ces cas-là, les accès s’effectuent aussi par le Bastion », affirme Gurvan Quenet.

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)

Close