Réseau : les enseignements d’AG2R LA MONDIALE pour passer au télétravail
Le cloud est réputé pour sa capacité à monter en charge rapidement et c’est notamment le cas pour les solutions de sécurité. AG2R LA MONDIALE le prouve avec 3 000 accès distants provisionnés en 10 jours sur la plateforme Prisma.
Spécialiste de la protection sociale et patrimoniale en France, AG2R LA MONDIALE compte plus de 10 000 collaborateurs et 110 agences en France pour 15 millions de personnes protégées. Avant même que ne survienne la pandémie, l’entreprise avait initié une démarche en faveur du télétravail, une initiative qui s’est montrée particulièrement judicieuse au moment où la France décrétait la première période de confinement de mars 2020.
« Depuis environ 3 ans, AG2R LA MONDIALE favorise le télétravail. À ce titre, nous avions pris la décision de résoudre l’obsolescence de notre solution d’accès à distance avant même de savoir combien cela allait bientôt importer » confie Stéphane Rousseau, responsable réseau chez AG2R LA MONDIALE.
« En 2019, la solution VPN sur site dont nous disposions arrivait en fin de vie contractuelle et souffrait d’une limite à 5 000 utilisateurs. » Afin d’aller au-delà de ce nombre, la DOSI (Direction de l’Organisation et des Systèmes d’Information) a étudié la mise en œuvre d’une nouvelle solution d’accès distant, qui serait combinée au déploiement de passerelles SD-WAN dans ses agences, soit une centaine de sites distants à qui la DOSI souhaitait fournir un accès sécurisé vers Internet.
« La possibilité de répondre à tous ces besoins via un même projet est arrivée avec la solution Prisma, de Palo Alto Networks. En 2019, cette solution était encore relativement unique sur le marché et avait déjà une certaine maturité », indique Stéphane Rousseau. Prisma est une passerelle qui sécurise les accès vers les services cloud, qu’il s’agisse d’infrastructures virtuelles comme d’applications SaaS. Elle fonctionne elle-même en cloud, sous la forme d’un service SaaS motorisé par des machines virtuelles (VM) configurables. Elle s’interface avec un petit logiciel client, Prisma Access - historiquement connu sous le nom GlobalProtect -, à installer sur le PC des utilisateurs.
Encore en pilote, la solution est rapidement déployée lors du confinement
« L’approche SaaS de Prisma et sa facilité d’utilisation nous ont permis en 10 jours et 10 nuits seulement de connecter 3 000 utilisateurs supplémentaires. »
Stéphane RousseauResponsable réseau chez AG2R LA MONDIALE
Lors du premier trimestre 2020, la DOSI a commencé par tester la solution SaaS avec un premier pilote. Suite aux mesures de confinement, c’est assez naturellement que le projet s’est orienté vers un déploiement global. « L’approche SaaS de Prisma et sa facilité d’utilisation nous ont permis en 10 jours et 10 nuits seulement de connecter 3 000 utilisateurs supplémentaires. Cela nous a d’abord permis de faire travailler à distance tous les collaborateurs dédiés aux fonctions régaliennes durant les deux premières semaines, puis d’ouvrir un accès à tous les collaborateurs susceptibles de travailler à distance ».
Afin de préparer la montée en charge immédiate de cette nouvelle solution, l’équipe de Stéphane Rousseau a travaillé avec l’éditeur Palo Alto Networks et son intégrateur SFR. L’enjeu était alors de calibrer soigneusement les VMs qui, derrière la console SaaS, devaient supporter les fonctions de passerelle pour l’ensemble des utilisateurs. « Il s’agissait notamment de trouver comment correctement mettre en œuvre la fonction “Auto-Scale” pour que, au fur et à mesure de l’arrivée de nouveaux utilisateurs, le nombre de VMs s’accroisse progressivement. »
« En termes d’agilité et de facilité de déploiement, je n’avais jamais connu cela auparavant ! Nous n’aurions certainement pas réussi un tel projet dans ces conditions très particulières avec une solution sur site. »
Un critère majeur dans le choix de cette solution était de pouvoir déployer une même politique de sécurisation des accès vers Internet, que ce soit depuis les grands sites parisiens ou régionaux, depuis les agences et pour les collaborateurs hors des murs de l’entreprise.
« Nous souhaitions absolument éviter d’introduire de l’hétérogénéité dans la sécurité des accès. Nous voulions administrer de la même manière les règles de filtrage de nos différents accès vers Internet, qu’il s’agisse des accès des utilisateurs nomades comme de ceux effectués depuis nos plus importants sites, via des firewalls Palo Alto avec filtrage d’URL. »
La solution Panorama fournie par Palo Alto Networks a répondu aux attentes du responsable réseau, afin de disposer d’une même solution pour gérer une politique de sécurité uniforme sur ces différents contextes.
10 jours pour déployer 3 000 nouveaux terminaux
En 10 jours, le logiciel client Palo Alto Prisma Access a été déployé sur les 3 000 nouveaux ordinateurs portables distribués par AG2R La Mondiale à ses collaborateurs en télétravail. Hormis le petit logiciel client, l’utilisation est transparente pour les utilisateurs. Si le collaborateur est sur un site physique de l’entreprise, le client se connecte automatiquement. Si le collaborateur est à son domicile ou à l’extérieur, le client monte d’abord un tunnel chiffré, puis se connecte automatiquement à la plateforme Prisma.
« Nous imposons une double authentification mettant en œuvre un certificat installé sur chaque machine de l’entreprise. »
Stéphane RousseauResponsable réseau chez AG2R LA MONDIALE
La mise en œuvre de la solution n’a pas induit de relâchement vis-à-vis de la politique de BYOD pratiquée par l’entreprise. « Seuls les terminaux de l’entreprise sont tolérés. Et seuls les PC portables AG2R La Mondiale sont équipés du logiciel client. Un compte collaborateur ne peut pas l’utiliser sur un autre terminal, car nous imposons une double authentification mettant en œuvre un certificat installé sur chaque machine de l’entreprise. »
Pour sécuriser les accès réseaux de ses agences, AG2R LA MONDIALE a déployé la solution Prisma Remote Networks, qui se greffe sur un routeur SD-WAN pour apporter à ses accès vers Internet des services de filtrage des flux Web et des fonctions de Threat Protection.
« Actuellement, une dizaine d’agences ont été déployées, avec très peu de retours de leur part, ce qui est très bon signe », ajoute Stéphane Rousseau. « Outre la sécurisation de l’accès Internet, ce qui nous intéressait avec la solution Prisma, c’était aussi sa capacité à sécuriser les accès à toutes les applications SaaS, notamment Office 365, Salesforce. Il était important que les utilisateurs, qu’ils soient en France ou dans les DOM-TOM, n’aient pas à repasser par notre réseau WAN interne pour accéder à ces services, car cela aurait impliqué de la latence supplémentaire ».
En l’occurrence, le boîtier SD-WAN remplace le routeur WAN classique afin d’apporter une gestion plus intelligente des flux au travers des différentes connexions vers l’extérieur. Lorsqu’une passerelle SD-WAN est déployée dans une agence, celle-ci dispose alors de deux liens WAN : une connexion Internet et un lien MPLS. Et tous deux sont gérés par Prisma Remote Networks. Pour intégrer le service Prisma, les ingénieurs ont dû repenser la politique de routage.
« Une route par défaut a été déployée sur chaque site pour l’accès Internet et tous les réseaux internes sont routés de manière explicite. L’intérêt est de monter différents tunnels, à la fois sur le réseau MPLS fourni par notre opérateur et sur les accès Internet. Nous régulons ensuite les flux en fonction de leur type et en fonction de la qualité de chaque accès. Nous pouvons, par exemple, faire passer les mises à jour Windows via les liens Internet. »
Pour ne pas accroître les temps de latence, des tunnels sont par ailleurs mis en place entre le datacenter d’AG2R LA MONDIALE et le cloud qui héberge Prisma, ce dernier devant permettre aux collaborateurs nomades d’accéder aux ressources internes.
« Nous avons besoin de solutions qui nous apportent de l’agilité, de la rapidité de réaction. »
Stéphane RousseauResponsable réseau chez AG2R LA MONDIALE
Fort de cette nouvelle solution d’accès dans le cloud, l’annonce du deuxième confinement n’a pas soulevé de craintes à la DSI d’AG2R LA MONDIALE. Les collaborateurs confinés ont pu télétravailler sans soucis. La mise en œuvre de Prisma juste avant le confinement n’est pas, pour Stéphane Rousseau, le fruit d’un heureux hasard : « Nous faisons évoluer progressivement notre architecture de sécurité vers le concept de “Zero Trust” et nous nous devons aussi d’anticiper les besoins dans le cadre de la transformation digitale d’AG2R LA MONDIALE. »
« Nous avons besoin de solutions qui nous apportent de l’agilité, de la rapidité de réaction. Le confinement l’a bien montré : la mise en place anticipée des premières briques de la solution Cloud Prisma avant l’entrée en vigueur du confinement nous a permis de connecter sans contrainte l’ensemble de nos collaborateurs ».
