CetSI sécurise ses comptes à privilèges avec CyberArk
La SSII protège l’environnement informatique de ses clients en rationnalisant l’accès aux comptes d’administration de leurs systèmes. Et d’en profiter pour préparer une offre packagée bâtie sur le coffre-fort à mots de passe de CyberArk.
C’est en août 2013 que CetSI a commencé à déployer le coffre-fort à mots de passe de CyberArk. Olivier Poelaert, directeur général de la SSII, explique avoir voulu ainsi commencer par sécuriser « tous les équipements qui servaient à prendre la main sur le réseau ». Avant de poursuivre, quelques mois plus tard, avec les serveurs dont il assure l’infogérance. En tout, ce sont quelques 5000 équipements concernés, pour des clients tels que Bolloré, SNCF ou encore
Suez Environnement.
Il faut dire que CetSI a une position privilégiée, et potentiellement sensible. Il constitue à tout le mois une cible attractive pour des pirates : « nous avons des comptes chez nos clients pour nos techniciens. Le risques, c’est d’avoir des comptes administrateurs appelés admin, avec un mot de passe réduit à password ». Et ce risque n’est en aucun cas théorique : « en faisant un sondage sur des équipements clients, nous nous sommes aperçus d’une grosse redondance de mots de passe faibles, voires identiques entre eux. Dès lors, quelqu’un ayant réussi à coloniser une machine de l’un de nos clients aurait très bien pu réussir à rebondir ».
Sécuriser les infrastructures de ses clients
Le déploiement du coffre-fort à mots de CyberArk a donc été l’occasion de procéder à un important ménage : « nous avons supprimé tous nos comptes et demandé à nos clients de nous créer deux comptes par machine de leur environnement, avec les droits qu’ils voulaient nous concéder ». Plus aucun technicien n’accède directement à ces comptes : ils sont gérés par le coffre-fort à mots de passe de CyberArk : « de leur côté, les techniciens n’ont que leur identifiant de notre annuaire Active Directory. Ils ne connaissent jamais les identifiants réels des machines sur lesquelles ils interviennent ». Et deux comptes sont demandés pour que le second puisse être utilisé comme solution de secours en cas de blocage du premier.
A cela, CetSI ajoute l’authentification multifacteurs, basée InWebo, pour les accès se faisant depuis l’extérieur de son infrastructure. Il assure en outre la traçabilité complète des actions de ses techniciens et l’enregistrement vidéo des sessions d’administration.
Et construire de nouvelles offres
Satisfait de CyberArk, Olivier Poelaert l’est tellement qu’il prépare actuellement une offre de coffre-fort à mots de passe On Demand basée sur l’outil. « Elle n’est pas encore cataloguée, mais nous sommes en phase de PoC et c’est une attente claire de nos clients ». Là encore, une couche d’authentification forte sera intégrée, le tout dans une offre packagée basée sur celle de VPN en mode service que CetSI propose déjà.
Au final, l’intégration de l’outil de CyberArk ne s’est pas avéré très complexe : « il faut trois serveurs, un pour la présentation Windows, un pour la présentation Linux, et le coffre-fort lui-même. Installer ces trois machines virtuelles et leurs outils, c’est quelques jours ».
La difficulté est ailleurs, bien moins technique, dans « l’aspect gestion des comptes ». Et cela, « c’est très long ». Pour lui, déployer un coffre-fort à mots de passe est l’occasion de rationaliser les identifiants, un point clé.
Une situation inquiétante
Mais que trouve-t-on lorsque l’on se lance dans un tel projet ? Olivier Poelaert n’est pas tendre : « le niveau de sécurité que l’on rencontre dans les entreprises, c’est pitoyable. Généralement, personne n’a pensé à changer le mot de passe du compte administrateur SQL ». Et « déjà, en faisant une sonde de vulnérabilité, on a les cheveux qui se hérissent ». Certes, « c’est moins vrai dans les grands groupes, mais dans les grosses PME… à chaque fois que l’on intervient pour une mission de sécurité dans une structure de moins de 1000 personnes, c’est la fête ».
Pour le directeur général de CetSI, la situation de résumé aisément et… tristement : « en France, l’intérêt de sécuriser son informatique est totalement mécompris. Il y a un vrai travail d’éducation à faire ».