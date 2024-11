C’est en 2016 que le groupe Engie a initié sa roadmap vers le Cloud. Outre une évolution vers un modèle exclusivement Cloud et des sites connectés en « Internet Only », le modèle de sécurité du groupe évolue vers le sans confiance. Dans ce cadre, il devait se doter d’une solution de prise de main à distance de l’ensemble de son parc, notamment des PC et mobiles des télétravailleurs à domicile ou dans les locaux d’Engie.

« A partir de 2016, nous avions mis à disposition un poste de travail assez classique à l’époque, avec un PC sous Windows 10 lié à l’Active Directory et Microsoft SCCM (System Center Configuration Manager) et un VPN », se rappelle Olivier Mangon, Lead Architect Digital End User Solution d’Engie. « Cette configuration fonctionnait dans certaines situations, mais le terminal devait être connecté soit directement au réseau d’entreprise, soit par VPN, pour que nous puissions prendre la main avec l’outil nécessaire ».

Peu avant la crise du Covid, en 2019, GBS IT, l’entité qui opère les infrastructures IT du groupe et qui délivre des services informatiques, décide de revoir son approche et ouvre un marché pour trouver un outil pouvant lever toutes ces contraintes de connectivité et être en phase avec la roadmap sécurité. La solution recherchée devait assurer le support de tous les postes de travail, que ce soit des PC Windows, des Mac, mais aussi les tablettes numériques et smartphones, pour un déploiement à l’échelle mondiale.

D’autres cas d’usage sont apparus, notamment dans le domaine du « Human to Machine », qu’il s’agisse d’équipements industriels ou des terminaux de visioconference Windows ou Android dans les Teams Rooms : « nous avions le projet de déployer des Teams Room dans toute l’organisation du groupe. Les équipements étaient envoyés, puis l’installation était finalisée à distance pour ne pas avoir à déplacer de personnes sur chaque site. En cas de problème, au lieu d’appeler un membre du service audiovisuel et attendre qu’un technicien vienne diagnostiquer le dysfonctionnement, la prise en main à distance permet à tout le monde de gagner du temps et les utilisateurs sont plus satisfaits du service délivré ».

« Nous avons créé un nouveau service dans notre portefeuille d’offres internes. Jusque là, seules les équipes poste de travail ou ceux qui avaient accès à l’outil de management des postes de travail avaient le droit de prendre la main à distance. Toute personne qui doit interagir avec le device d’un utilisateur et qui est habilitée doit pouvoir le faire. Elle peut souscrire au service et grâce au logiciel on peut lui accorder accès à telle ou telle fonctionnalité sur tels ou tels postes », explique Olivier Mangon.

Très peu ont passé le filtre des critères définis par Engie et l’équipe d’Olivier Mangon en a fixé un de plus : compter le moins de vulnérabilités référencées (CVE) possible…

Stratégie Cloud First / Cloud only, la solution devait être disponible en SaaS, mais pouvoir fonctionner dans un tenant dédié : « nous souhaitions aussi disposer d’un maximum de logs, notamment pour les enregistrements, des logs d’activité, avec un niveau de détail très élevé. Notre groupe compte de nombreuses entités dans le monde et énormément d’activités différentes et des services IT qui interviennent sur leurs propres périmètres. La solution devait nous permettre de déléguer certaines tâches sur certains périmètres ».

L’équipe projet rencontre alors tous les principaux acteurs du marché. Les exigences techniques sont très claires : la solution devait être sécurisée et utiliser le port 443 (le port par défaut du protocole https), être compatible avec Zscaler et recourir obligatoirement à l’Idp du groupe (Identity Provider) qui s’appuie sur Okta.

Un déploiement éclair

La solution Remote Support de BeyondTrust étant de type SaaS et « agentless », le déploiement les 110 000 postes du groupe Engie à l’époque s'est, pour l'essentiel, en trois mois.

La solution est interfacée avec ServiceNow et l’utilisateur qui a un problème technique reçoit une simple URL qui va le mener au portail BeyondTrust Remote Support. Une clé d’échange lui est fournie par l’agent du Service Desk pour sécuriser la communication et un exécutable est téléchargé dans la mémoire du poste, sans qu’il soit nécessaire d’avoir les droits administrateur sur le poste.

La solution est accessible via une console Web et peut aussi assurer le support des mobiles et des tablettes : « toutes les plateformes sont supportées, y compris les plateformes Apple. Le changement de politique d’Apple en termes de sécurité fait qu’il n’est plus possible de prendre le contrôle des terminaux Apple iOS à distance. L’opérateur de Help Desk ne peut que regarder ce que l’utilisateur fait. L’opérateur indique à l’utilisateur ce qu’il doit faire, mais globalement, il n’y a pas d’effet de bord et d’incompatibilité avec nos applications », détaille Olivier Mangon.

Enfin, si le poste est totalement inutilisable, BeyondTrust propose une fonction Caméra qui permet à l’utilisateur de partager la caméra de son smartphone pour montrer à l’agent du Helpdesk l’état du poste.

Sur le cas d’usage « Human to Machine », comme il n’y a pas d’utilisateur pour réaliser de manipulation sur le poste, un agent doit être préalablement installé. Ce dernier permet aux personnes IT ou TMA de prendre la main sur la machine, mais aussi voir son état. Des données sont remontées vers la console comme l’état du disque, de la mémoire, etc.

Olivier Mangon précise : « nous traitons aujourd’hui des problématiques qui vont au-delà de la bureautique, notamment le volet OT. Il y a des postes de travail connectés aux réseaux industriels et sur lesquels les équipes industrielles internes ou les équipes sécurité ont parfois besoin de prendre la main à distance. Nous leur délivrons cet accès de manière sécurisée. Tout est enregistré : les connections entrantes, sortantes. Il ne s’agit toutefois pas des réseaux OT de bas niveau, mais des réseaux type proxy utilisés pour le dépannage ».