wladimir1804 - stock.adobe.com

Surveillance des comptes à privilèges : une étape incontournable de la transfonum de Mane

Le groupe français a entamé une vaste et ambitieuse modernisation de son système d’information. Mais sans négliger la sécurité, et en particulier celle d’éléments critiques que sont les comptes utilisés pour l’administration et la maintenance.

Cet article est extrait d'un de nos magazines. Téléchargez gratuitement ce numéro de : Information Sécurité: Information sécurité 16 : La gestion des comptes à privilèges n’est plus une option

Créé à la fin du 19e siècle, le groupe Mane, spécialiste de la production d’arômes et de parfums, présent dans le monde entier, n’a pas l’habitude de faire parler de lui.

Pourtant, il s’est engagé dans une transformation numérique aussi ambitieuse que prudente. Car comme l’explique Benjamin Serre, son directeur technique, « qui dit pas de transformation numérique, dit pas d’innovation et pas de nouvelles expériences pour les collaborateurs ». Et l’année 2020 aura montré à quel point celles-ci peuvent être nécessaires, ne serait-ce que pour permettre la mise en œuvre du télétravail. La crise aura donné raison à une transformation impulsée avant qu’elle ne survienne.

Photo Benjamin Serre, CTO ManeBenjamin Serre, CTO Mane

Mais avec plusieurs dizaines d’usines et de centres de recherche et développement à travers le monde, il faut également compter avec de nombreux tiers, des prestataires, notamment de tierce maintenance applicative (TMA), ou encore ceux qui interviennent sur les technologies opérationnelles (OT), le monde industriel. Dans ce contexte, pas question, de toute évidence, de laisser des interventions à distance sur les systèmes IT et OT sans sécurité. Une problématique des comptes à privilèges devra être prise rapidement en compte.

« La question des comptes à privilèges est très forte au sein du groupe, en raison du choix, il y a dix ans, de recourir à l’infogérance », explique Benjamin Serre.

La priorité est là de sécuriser les accès aux centres de calcul, à commencer par celui du siège social, près de Grasse : « c’est le point le plus important, parce que nous ne sommes pas une entreprise full-cloud ni full-on-premise ; nous avons une approche hybride. Ce qui implique de conserver des actifs en local ».

Ce sont les outils de BeyondTrust (anciennement Bomgar), qui ont été retenus « pour sécuriser les différents flux et donner une meilleure traçabilité et visibilité sur les comptes à privilèges ». Et cela s’accompagne par un effort de refonte de l’infrastructure Active Directory pour limiter les comptes génériques, privilégier les comptes nominatifs, tout en permettant « aux tiers mainteneurs d’avoir une expérience utilisateur améliorée, sans qu’ils aient à se soucier des problématiques de connectivité ni de sécurisation ».

L’authentification forte est d’ailleurs au programme et sera mise en œuvre graduellement.

« Nous ne sommes pas une entreprise full-cloud ni full-on-premise ; nous avons une approche hybride. Ce qui implique de conserver des actifs en local. »
Benjamin SerresDirecteur technique, Mane

Pour certains partenaires, les identités des intervenants sont gérées manuellement par les équipes internes à Mane, car les intégrations les plus poussées sont réservées à ceux avec lesquels sont nouées des relations de long terme.

Pour les utilisateurs, on retrouve l’approche hybride du cloud retenue par le groupe : l’annuaire local est synchronisé avec Azure AD, lequel est de plus en plus sollicité pour l’authentification, notamment sur les applications SaaS.

Pour Mane, le choix de BeyondTrust a d’abord été celui de la simplicité, d’utilisation, comme d’intégration au sein du système d’information. Et cela d’autant que les actifs patrimoniaux ne manquent pas et apportent déjà une complexité intrinsèque pour la gestion des comptes à privilèges. Sans compter le monde OT, où la complexité émerge de la multiplicité des solutions, des modes d’accès ou des méthodes d’authentification.

Le déploiement des outils de BeyondTrust est aujourd’hui bien avancé. Parmi les prochaines étapes, il y aura l’élargissement du périmètre couvert, aux implantations dans les Amériques et en Asie. D’autres outils du portefeuille de l’éditeur pourraient ensuite être mis à contribution, que ce soit pour la gestion des élévations de privilèges, ou le support à distance des utilisateurs pour le service desk.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close