Interview de Nicolas Schockaert, DSI de la mairie de Beauvais
Sécurité réseau
La solution AdminBastion de l’éditeur Wallix sécurise l’administration des serveurs, des applications et des équipements réseau. Wallix AdminBastion (Wab) permet au Responsable Sécurité et au Responsable d’Exploitation de contrôler la totalité des connexions et de tracer l’ensemble des opérations techniques exécutées sur les équipements et applications composant le système d’information de l’entreprise. La mairie de Beauvais utilise cette solution depuis deux ans. Son DSI, Nicolas Schockaert, nous en détaille les caractéristiques et les avantages qu’il procure à une structure comme la sienne.
Quel est le profil de la mairie et de ses utilisateurs ?
La mairie de Beauvais compte 1300 salariés exerçant des activités professionnelles très variées avec un parc de 350 postes utilisateurs. S’ajoute à cela un réseau d’écoles équipées de 300 postes environ. Les sites sont distants sur tout le territoire de la commune. Depuis un peu plus de deux ans, elle est équipée en boucle locale optique, complétée par un réseau hertzien et des accès VPN-MPLS pour les sites isolés ou pour créer de la redondance.
Plus de 60 sites fonctionnent sur le LAN et d’autres y seront prochainement raccordés : hôtel de ville, centre technique, médiathèques, écoles, police, mais aussi les centres de loisirs, mairies et équipements de quartier... sans compter les caméras de vidéo-surveillance. Nous touchons un territoire large et varié.
Aujourd’hui, nous essayons de mutualiser et de standardiser le fonctionnement entre les différentes structures. Auparavant, aucun standard n’existait pour les accès distants. Une multitude de petits outils permettaient de réaliser des connexions à distance et des éditeurs de solutions logicielles assuraient la maintenance et l’assistance, avec une quarantaine de comptes existants.
Comment s’est déroulée la mise en place de la solution Wab ?
Nous avons lancé un appel d’offres en 2007 avec un cahier des charges précis. Nous cherchions un système unique sécurisé pour les accès à distance, capable de remplacer les différents outils existants, et qui puisse tracer les accès distants (journal de connexion). L’objectif était vraiment de pouvoir effectuer une surveillance accrue pour un meilleur suivi. La solution AdminBastion de Wallix a été choisie et mise en place fin 2007. Nous l’avons retenue pour sa souplesse et sa simplicité d’administration et pour la partie surveillance déjà intégrée dans le produit. Aujourd’hui, tous les accès distants passent par l’AdminBastion. L’outil est simple de conception, même si complexe en réalité, et répond à nos besoins avec toute la sécurité requise.
Comment la solution Wab fonctionne-t-elle ?
Concrètement, au niveau de l’administration, nous déclarons les ressources qui peuvent être accédées à distance. Il peut s’agir de tout équipement réseau administrable en ligne de commande Telnet, SSH ou RSH (commutateurs, périphériques, serveurs et postes de travail, autocommutateurs...) ou en session graphique RDP (accès Microsoft terminal server). Parallèlement, on gère les utilisateurs distants et c’est bien là tout l’intérêt du produit.
Chaque utilisateur reçoit un login et un mot de passe associés à une adresse IP fixe (pas obligatoire) garantissant la sécurité. On lui assure les accès aux ressources citées plus haut tout en lui attribuant un niveau de privilège personnel et distinct d’une machine à une autre et d’une ressource à une autre. Il est agrémenté selon les besoins et l’utilisateur n’a pas besoin de connaître le mot de passe admin. Il se connecte à l’URL fournie en zone DMZ, il s’authentifie et lui sont proposées alors les différentes machines auxquelles il a accès. Il clique sur la machine qu’il souhaite contrôler et n’a pas besoin d’une 2e identification pour travailler. L’appliance AdminBastion prend tout en charge.
Un paramétrage complet peut être fixé. On peut choisir des plages horaires par exemple si on le souhaite, et réaliser le traçage des connexions, ainsi que les tentatives ou échecs. L’administrateur peut aussi décider si des sessions sont enregistrées ou pas et l’utilisateur en est averti. Il est même possible d’effectuer un enregistrement vidéo (avec le suivi de la navigation, le parcours des clics de souris, etc…) pour la connexion RDP. Sinon, les lignes de commandes passées peuvent être mémorisées.
Quels sont les avantages pour un réseau comme le vôtre ?
L’intérêt est de pouvoir effectuer un diagnostic si un problème survient suite à une mauvaise manipulation. C’est assez rare mais ce type de dispositif est alors précieux quand ça arrive. Cela a été bien reçu par les utilisateurs internes comme externes. Et le blocage d’un équipement peut être déjoué par la relecture de la session. Au début, ces fonctions ont surpris les utilisateurs, mais ça a été bien reçu lorsqu’ils ont compris les avantages.
Les administrateurs d’applications n’ont pas tous bien accepté la politique dure de sécurisation, mais ça c’est normal au début, il faut bien communiquer sur les avantages. Pour les administrateurs, il n’y a pas d’agents à déployer sur les machines accédées, la solution Wab crée la passerelle qui permet de fournir un accès et on peut l’interfacer avec nos propres serveurs d’authentification (LDAP, Radius, AD).
Avec cette solution qui nous rend beaucoup de services, nous avons eu une réponse totale à nos besoins et en deux ans, aucun retour négatif.
Propos recueillis par Sylvie Pesme
20/07/09
|
 |
Dans la même rubrique
Antoine Collart, RSSI de l’AGPM
Pouvez-vous présenter votre entreprise ?
L’AGPM est au service de la principalement de la communauté de la Défense et des personnel des armées, des pompiers civils et des fonctionnaires de (...)
Emmanuel Chauveau, Directeur Général de NovXTel
Pouvez-vous nous présenter NovXTel et ses activités ?
Créée en août 2005, la société réalise un chiffre d’affaires d’un million d’euros. Nos produits sont revendus en France (...)
Interview de Florent Teissier, DSI chez Jean Jean
Pouvez-vous présenter votre entreprise ?
Le métier principal de Jeanjean est la négoce en vin. Le berceau historique de l’entreprise est situé à Saint-Félix de Lodez, dans le Languedoc et (...)
|
.gif){kind=small}
