Pour sécuriser les postes des chercheurs, Ifremer mise sur le sans-confiance

Restreindre les privilèges d’utilisateurs jusque-là Admin

Le but initial du projet était surtout de descendre les privilèges des scientifiques sur leurs endpoints. Cette population représente de 60 à 70 % du personnel de l’institut. Or ceux-ci se connectent de partout dans le monde, y compris sur des infrastructures qui n’appartiennent pas à l’Ifremer.

L’institut a des implantations à Tahiti, en Guyane, à Saint-Pierre-et-Miquelon, mais aussi des bateaux où les scientifiques mènent leurs campagnes de mesures : « sur nos bateaux, les réseaux nous appartiennent, mais nos scientifiques peuvent aussi intervenir sur des bateaux qui ne sont pas de l’Ifremer, ou travailler dans des universités à l'autre bout de la planète. Un chercheur peut être en conférence à Francfort le dimanche après-midi et se connecter depuis les îles Fidji le lundi pour envoyer des relevés scientifiques. Ce sont des points que nous devions prendre en compte, d’autant que cette population ne maîtrise pas les enjeux de cybersécurité ».

De même, les partenaires de l’Ifremer doivent avoir la capacité de prendre le contrôle de certains systèmes à distance, pour par exemple développer de nouvelles applications ou réaliser la maintenance de certains équipements. « Nous avions des enjeux de conformité, des enjeux de réseau, des enjeux d'économie et d'amélioration de la résilience, avec une visibilité sur ce qui est utilisé par les scientifiques et ce qui ne l’est pas », ajoute Christophe Lassard.

L’Ifremer compte de l’ordre de 1 800 salariés, mais ce sont 5 000 personnes qui collaborent avec l’institut en moyenne sur un an, soit 40 000 connexions endpoint par mois. Des scientifiques étrangers peuvent avoir besoin de se connecter aux ressources de l’Ifremer, pour une journée, deux semaines, voire 6 mois.

Le choix d’une solution pour répondre à ces enjeux va être aussi dicté par l’hétérogénéité du parc des machines utilisées par les scientifiques. Celui-ci est composé en majorité de PC Windows, mais aussi de machines sous Linux et de terminaux macOS.

Une autre difficulté est induite par le mode de fonctionnement très collaboratif de la recherche. Chaque chercheur dispose de multiples identités numériques, en fonction du nombre de groupes de recherche avec lesquels il collabore : « on estime qu'à peu près chaque chercheur a entre 10 et 20 identités. Au-delà de leur identité Ifremer, ils ont fréquemment des comptes auprès du CNRS, une identité à l'INSERM, à l'université d'Hawaï, etc. Nous avons besoin de tableaux de bord pour surveiller ces accès, mais aussi les accompagner pour réduire cette surface d'attaque, parce que toutes ces identités, ce sont des vecteurs d'attaque potentiels sur nos ressources ».

Une solution déployée on-premise

L’Ifremer devait remettre la situation à plat pour, in fine, réduire les droits des utilisateurs, accroître la protection de leurs postes et réduire le volume d’appels au support pour installer des applications ou des mises à jour en urgence, avant de partir en mission.

La solution EPM (Endpoint Privilege Management) de BeyondTrust est alors déployée en mode on-premise sur les serveurs de l’Ifremer. L’institut ne met en œuvre aucune solution SaaS. La solution a tout d’abord été déployée sur les postes Microsoft, puis sur les machines Linux et enfin macOS.

« La solution fonctionne en mode hors-connexion et c’est un point très important pour nous », explique Christophe Lassard : « lors d’une mission océanographique, il y a des liaisons satellite mais nous ne nous voyions pas faire de l'administration déportée via ces liaisons et devoir installer des nœuds sur nos bateaux et des serveurs sur nos sites distants pour faire le relais. Nous avions besoin d’une solution avec un cache. Si on publie des règles lorsque le collaborateur est en mission, il suffit de lui dire de se connecter en VPN pour que les règles de sécurité soient mises à jour en quelques minutes ».

Autre caractéristique atypique de l’Ifremer, l’usage de protocoles de communication exotiques, comme c’est le cas des protocoles de communications des bouées. BeyondTrust PRA (Privilege Remote Access) est capable de réaliser de l'encapsulation de protocoles et peut effectuer des translations de ports pour traiter ces cas d’usage.

Un usage intensif du support distant

Le deuxième enjeu portait sur le support et le durcissement de la sécurité des accès externes, mais dans une approche sans VPN. Les scientifiques ont besoin de réaliser un support externe des applications qu’ils ont développées pour d'autres instituts, pour d'autres universités.

La solution Remote Support de BeyondTrust est alors choisie pour gérer tous ces accès liés au support. La solution est par ailleurs mise en œuvre de manière non conventionnelle lors de certaines missions : « sur le site de la Seine-sur-Mer à Toulon, nous avons une salle immersive qui peut accueillir une vingtaine de scientifiques pour faire de la téléscience avec d'autres scientifiques », raconte Christophe Guzman, urbaniste et architecte en système d'information à Ifremer.

Et d'expliquer que « Remote Support a été mis en œuvre lorsque Ariane, un de nos engins embarqués, a été prêté au département des recherches archéologiques subaquatiques et sous-marines (DRASSM) pour une plongée sur l’épave de la Lune, en Méditerranée. Nous n’avions aucun équipement à bord de ce bateau, donc nous avons simplement mis à disposition un PC qui était connecté sur la salle d'immersion à Toulon et qui a téléopéré la plongée en remote support sur ce PC ».

De cette façon, les chercheurs ont pu échanger en temps réel dans la salle immersive sur les images diffusées en temps réel depuis le robot. 

Un bastion pour protéger les mots de passe

Un dernier axe de travail porte sur le bastion destiné à sécuriser les accès à privilèges. L’objectif était de sécuriser les mots de passe de chaque utilisateur, mais toujours dans une approche sans VPN car les nombreux partenaires de l’institut ne veulent pas installer son client VPN sur leurs postes de travail pour accéder aux équipements et les dépanner, notamment.

Afin de réduire la charge de support pour le service informatique et pour les équipes scientifiques, l’équipe projet souhaitait pouvoir créer des workflows d'approbation pour la création/suppression des comptes utilisateurs, mais surtout mettre en place de la délégation de l’administration des accès auprès des partenaires de confiance de l’institut comme l’Inserm ou le CNRS : « nous avons des correspondants chez eux et ceux-ci ont besoin d'intervenir chez nous. Plutôt que de devoir échanger des appels téléphoniques et des emails, nous faisons de la délégation ».

C'est à dire que le responsable du projet concerné par un nouvel accès « va valider les accès pour ce personnel directement sur notre système pour le faire. Tout est tracé, tout est enregistré et nous avons un compte rendu, tout comme notre correspondant ».

N’ayant pas accès à leurs annuaires, Ifremer laisse à ses partenaires le soin de créer les comptes des utilisateurs avec leurs propres outils : « nous ne sommes que deux à administrer la plateforme, mais avec la délégation de contrôle, nous avons des dizaines d’équipes de recherche scientifique qui disposent de leur propre portail et chacune gère sa propre communauté. Le contrôle a été restreint, mais il leur est délégué », ajoute le RSSI adjoint.

Qu’il s’agisse des utilisateurs internes ou externes, cette approche a permis d’abaisser de manière significative la charge qui pesait sur le support, de même que les tâches de support assurées par les équipes scientifiques elles-mêmes.