Arthur Weidmann
Comment la BNF sécurise ses accès à privilèges avec un bastion
Dès l’origine, la sécurité faisait partie des règles de conception du système d’information de la BNF. Très tôt, l’idée de déployer un bastion a émergé, mais le déploiement et l’adoption d’un PAM ne se sont pas déroulés comme dans les livres…
Issue de la fusion de la Bibliothèque Nationale et la Très Grande Bibliothèque en 1994, la BNF compte 7 sites en France, pour un effectif de 2 200 agents. Son système d’information a été originellement bâti en 1988 puis a bénéficié de l’ajout, 10 ans plus tard, du système d’archivage numérique SPAR (Système de Préservation et d’Archivage Réparti) dans lequel sont stockés plus de 9 millions de documents à ce jour.
C’est à cette occasion que la DSI songe à déployer un système de protection des comptes à privilèges, un PAM : « notre objectif était de mieux gérer les comptes à privilèges afin de limiter les risques », confie Adoté Chilloh, adjoint DSI et RSSI de la Bibliothèque Nationale de France. « Nous voulions améliorer la sécurité en éliminant les mots de passe écrits sur papier et réduire le nombre de personnes pouvant accéder aux comptes à privilèges de manière réglementée ou non », précise-t-il.
Il s’agit notamment de sécuriser les comptes accessibles par l’infogérant qui assure le support de niveau 1 pour le compte de la DSI : « le niveau 1 requiert l’accès à certains comptes et pour sécuriser ces derniers, nous avons souhaité mettre en place un bastion. Nous avons défini le besoin : ayant un site principal et un site de secours, il fallait couvrir les deux sites ».
Adoté ChillohAdjoint DSI et RSSI, Bibliothèque Nationale de France
Ce Bastion devait pouvoir gérer les différents domaines et profils d’utilisateurs, comme les administrateurs, les administrateurs de second niveau qui n’accèdent pas à toutes les ressources ainsi que les comptes liés au stockage.
La solution va considérablement gêner le travail des administrateurs
Un cahier des charges est rédigé et la sélection d’une solution est opérée en 2010. L’idée est alors de déployer ce bastion en 3 phases : « l’équipe informatique n’est pas assez nombreuse pour gérer le millier de serveurs et les 1 500 applications de notre système d’information. Il fallait un dispositif que l’on puisse déployer par phases ».
Lors de la première phase, tous les comptes à privilèges ont été recensés et placés dans le coffre sécurisé du bastion. La phase 2 du projet consistait à demander aux administrateurs de passer par le bastion pour accéder aux comptes d’administration. Les applications sont un autre cas d’usage de ces comptes à privilèges, pour lequel l’équipe projet a souhaité développer une couche logicielle spécifique afin d’aider les développeurs à passer par les API en vue de solliciter le bastion : « nous n’avons pas eu de soucis pour déployer cette couche d’interfaçage, mais là où le projet s’est bloqué, c’est dans le changement des usages de nos administrateurs ».
Car depuis les débuts du SI en 1988, les administrateurs avaient l’habitude d’accéder aux serveurs de manière simple, avec du multi-fenêtrage X11 à l’époque. Ce qu’interdisait la solution de PAM : « la solution gênait beaucoup les administrateurs dans leur quotidien. Quand une personne a une centaine de machines à gérer et que l’interface de l’outil que vous lui donnez ne tolère pas le multi-fenêtrage, la situation ne peut perdurer longtemps », relève le RSSI. Il cherche alors à corriger cette contrainte de taille lors de la phase 3 du projet, mais sans succès. La gestion du PAM représente à elle seule un ETP complet et les administrateurs sont gênés dans leur quotidien. L’éditeur n’étant pas capable d’apporter une réponse, fin 2019 la décision est prise d’arrêter le projet et de trouver une autre solution.
Le projet est relancé sur de nouvelles bases
Le cahier des charges initial est conservé, mais étendu sur le volet exploitation du bastion. Adoté Chilloh évalue alors les alternatives possibles : « nous faisons traditionnellement beaucoup de veille en sécurité et nous avons toujours un plan B. Wallix faisait partie des solutions considérées ».
Le RSSI va demander à l’éditeur français de mettre en place un PoC pratiquement en grandeur réelle afin de vérifier que le produit répond réellement aux nouvelles spécifications : « Wallix a accepté de le faire et de nous fournir des licences sur plusieurs mois, il fallait le faire ! Le PoC a montré que leur solution répondait à nos préoccupations. L’architecture mise en œuvre pour le PoC était pratiquement celle qui allait devenir notre architecture de production par la suite ».
Adoté ChillohAdjoint DSI et RSSI, Bibliothèque Nationale de France
Le PAM de Wallix est mis en œuvre en interne pour accéder aux applications, mais aussi depuis l’extérieur : « l’accès via l’extérieur présente le risque d’attaque en force brute », estime le RSSI. « Nous avons mis en place une solution de MFA d’origine tierce, car nous ne voulions pas mettre tous nos œufs dans le même panier. Wallix n’est pas un spécialiste de la MFA donc nous avons préféré choisir un autre produit que nous avons couplé à Wallix ».
Lorsque l’utilisateur est sur le réseau interne, seule l’authentification Active Directory est mise en œuvre. Par contre, s’il s’agit d’un accès depuis l’extérieur, la MFA entre en fonction avec un token valable quelques minutes et l’authentification AD. L’annuaire joue le rôle de base maître pour tous les accès. Le bastion de Wallix est sollicité depuis l’AD de manière transparente pour l’utilisateur. Ce dernier peut accéder aux ressources en multi-fenêtrage sans savoir que ses demandes ont transité par le PAM.
« Nous sommes très soucieux de ce qui est accueil/mobilité/départ. Étant soumis à la PSSE, la politique de sécurité de l’État, tous les comptes et toutes les clés sont gérés en central. Si un collaborateur part, dès que l’annuaire de gestion des utilisateurs est mis à jour, tous ses accès et toutes ses clés sont immédiatement bloqués », souligne le RSSI.
Une application maison vient masquer l’écran de connexion Wallix
La DSI de la BNF a souhaité coiffer Wallix PAM de sa propre interface utilisateur. Une nouvelle interface graphique a ainsi été développée pour Windows et les administrateurs qui souhaitent se connecter à une ressource quelconque peuvent y accéder via une liste qui ne leur présente que les ressources pour lesquelles ils sont accrédités. De là, l’utilisateur peut ouvrir autant de fenêtres qu’il le souhaite sur autant de cibles voulues, que ce soit une ressource Windows ou Unix. Et cela, donc, de manière transparente.
Adoté ChillohAdjoint DSI et RSSI, Bibliothèque Nationale de France
« Nous ne nous sommes pas arrêtés là », précise le RSSI : « nous avons mis en place dans notre catalogue de services une page qui fait que l’utilisateur qui veut accéder à un compte à privilèges puisse adresser sa demande au responsable gestionnaire de ce compte. Si ce dernier accède à la demande, le workflow va configurer Wallix pour que l’utilisateur puisse utiliser ce compte ». La durée du besoin est spécifiée dans la demande, si bien que l’accès est annulé à l’issue du délai.
La solution a été déployée auprès de l’infogérant qui l’a mis en œuvre pendant 3 mois, puis elle a été élargie aux utilisateurs internes. Pour administrer les droits d’accès, un administrateur de proximité dispose dans chaque entité de son outil pour gérer les comptes et les ressources sur lesquels il a autorité. Pour accéder à des applications, serveurs ou espaces de stockage hors de son périmètre, il doit en faire la demande au gestionnaire qui va lui-même l’habiliter si la demande est fondée.
Les partenaires externes de la BNF utilisent aussi l’application, notamment les membres du DataLab où les chercheurs peuvent demander des VM, essayer des applications, tester leurs modèles d’IA, etc. : « pour accéder à nos ressources internes, ceux-ci se connectent sans savoir qu’ils passent par Wallix ».
Deux serveurs Wallix ont été déployés sur le site principal de la BNF. Ces bastions sont en réplication croisée avec une troisième instance hébergée dans le site de secours pour assurer la continuité d’activité. Un équilibrage de charge via une simple adresse IP virtuelle (VIP) connecte l’utilisateur sur l’instance du site principal la plus disponible.