[RATPdev] Relever le challenge de la gestion des identifiants
En 2020, cette filiale privée de l’opérateur de transport s’est dotée de la solution LockPass afin d’assurer une gestion sûre et optimale des mots de passe au sein de l’entreprise. Michael Goyon, RSSI Groupe à RATPdev, explique le cheminement qui a conduit à cette décision.
À QUELLES PROBLÉMATIQUES ÉTIEZ-VOUS CONFRONTÉS EN CE QUI CONCERNE LA GESTION DE MOTS DE PASSE ?
Pour nous, gérer les identifiants était un gros challenge, et ce, à deux niveaux : d’abord, nous avions besoin de sécuriser les identifiants, mais aussi d’avoir la possibilité d’accéder à ces informations de façon unifiée avec une seule plateforme pour tous les usages IT. Notre support IT est externalisé, avec une société de prestation qui travaille dans nos locaux mais a un turnover important. Surtout, de nombreux prestataires effectuent des missions ponctuelles et utilisent donc des accès, avec un risque qu’ils les conservent une fois le projet terminé. En effet, si un administrateur quitte l’entreprise, on ne sait pas avec quelles informations il part. Cela peut être avec des identifiants qu’il a créés et qui contrôlent l’accès à des fonctions vitales de l’entreprise. On parle vraiment ici de données sensibles, de mots de passe qui appartiennent à l’entreprise : les propres mots de passe des collaborateurs mais aussi les mots de passe partagés. Un risque de blocage de l’activité existait.
Concrètement, nous étions confrontés à une problématique de shadow IT puisque ces équipes externalisées utilisaient KeePass pour gérer les accès sans que nous ayons la main dessus et sans approche centralisée. Comme cet outil est gratuit, on se retrouvait avec une multitude de bases KeePass et cela devenait ingérable, en plus d’être dangereux d’un point de vue sécurité. Nous avions besoin de beaucoup plus de transparence. Enfin, le dernier enjeu pour nous était de pouvoir imposer une authentification plus forte et maîtrisée avec du SSO, voire du MFA, chose que l‘on ne pouvait pas faire avec KeePass. Globalement, nous avions donc trois problématiques :
- Le shadow IT ;
- Le risque de data loss ;
- L’authentification forte.
QUELLE POPULATION EST CONCERNÉE ?
Le premier périmètre concerne les équipes IT locales, avec toujours cette volonté d’avoir une approche centralisée des accès. On parle ici en priorité des comptes à hauts privilèges. Dans un second temps, la solution va s’adresser à notre population d’administrateurs sur le plan international afin d’uniformiser les process. Nous travaillons enfin à des déploiements sur les comptes à privilèges des fonctions « support » type direction financière, par exemple, car nous sommes convaincus de l’intérêt de l’outil pour ces profils.
QUEL(S) OUTIL(S) ÉTAI(EN)T UTILISÉ(S) ?
Comme je l’ai dit, il y avait du KeePass, mais également des fichiers Excel qui référençaient les mots de passe de certaines équipes. Nous avons benchmarké des gestionnaires de mots de passe du marché et même des solutions de type bastion. Cependant, ceux-ci ne répondaient pas à notre besoin spécifique, ou étaient surdimensionnés dans le cas des bastions. Au-delà des fonctionnalités, la certification ANSSI a aussi été un élément important pour nous.
QUELLES EXIGENCES AVIEZ-VOUS DANS LE CHOIX D’UN GESTIONNAIRE CENTRALISÉ DE MOTS DE PASSE ?
Il nous fallait une plateforme SaaS. Nous avions pour idée d’avoir une plateforme externalisée, de déléguer les risques à un tiers et de ne pas avoir à gérer la maintenance. Les deux principales raisons qui ont guidé notre choix sur LockPass sont le fait que la solution soit disponible en mode SaaS et le fait de ne plus avoir besoin d’identifier les mots de passe en local ; d’avoir la main sur l’ensemble de ceux-ci. LockPass permet vraiment de sécuriser les usages des collaborateurs via une gestion fine des droits d’accès. L’intégration à notre Azure AD était également un prérequis important afin de monitorer rapidement l’onboarding et l’offboarding des équipes du support externalisé et de s’assurer que les personnes n’avaient plus accès aux ressources une fois leur mission terminée.
EST-CE QUE / EN QUOI CE PROJET S’INCLUT DANS UNE STRATÉGIE PLUS LARGE DU GROUPE SUR LA PARTIE CYBER ?
Il y avait effectivement une réflexion sur la mutualisation des licences à la RATP, qui avait pour contrainte d’utiliser des acteurs reconnus par l’ANSSI. De notre côté, l’objectif est d’être proactif, dans l’anticipation, et de s’aligner avec les exigences de l’ANSSI et la LPM (loi de programmation militaire), même si nous n’avons pas aujourd’hui le même statut. Le choix de partir avec LockPass va donc dans le sens d’une uniformisation des process et d’un alignement par le haut de notre cahier des charges vis-à-vis de la RATP, qui est une structure publique et qui a un statut impliquant l’utilisation d’une solution certifiée, par exemple. Le fait de proposer un hébergement en France sur le cloud d’Outscale va également dans ce sens.
Sur le même thème
Voir tous les articles Cybersécurité