Engie abandonne le VPN au profit de Zscaler Private Access
Le groupe veut ainsi simplifier l’expérience utilisateur tout en capitalisant sur le recours à une plafeforme cloud qu’il utilise déjà depuis des années pour protéger ses connexions à Internet.
Zscaler n’est pas un inconnu d’Engie. Pierre-Antoine Falaux-Bachelot, architecte en chef chez l’énergéticien, explique que cette plateforme cloud de sécurité y est mise à profit depuis sept ans, à l’occasion d’une rencontre aux Assises de la Sécurité.
Initialement, il s’agissait de protéger les connexions à Internet « de petites entités qui n’avaient pas de ressources de sécurité, ou très peu ». L’objectif était alors de proposer « une solution simple à installer, à utiliser, et pas intrusive ». Tout a donc commencé par « les petites filiales, au Portugal, en Espagne, partout ». Jusqu’au jour où, il y a trois ans, « il y a eu un gros problème sur la sortie Internet principale », se souvient Pierre-Antoine Falaux-Bachelot : « nous avons décidé de retirer les appliances Blue Coat, au profit de Zscaler, et que cela serait la solution groupe ».
Le modèle retenu avait de quoi séduire : projet et licences sont financés par le groupe ; la solution s’avère donc gratuite pour les entités. Mais le groupe a quoi s’y retrouver : il peut disposer d’une vue globale de la sécurité en remontant l’intégralité des logs dans son centre opérationnel de sécurité (SOC). Les entités locales ont accès aux leurs, mais rien qu’à ces derniers.
Depuis deux ans, Engie va plus loin, déployant l’offre Private Access de Zscaler (ZPA) en remplacement du VPN pour l’accès aux applications métiers. Après un premier test convaincant à Monaco, le groupe a décidé d’étendre la couverture, « notamment aux partenaires, pour les centres d’appel : nous les avons transférés d’un monde où ils devaient passer par des postes managés par nous sur des liens IPSec, à ZPA, où ils n’accèdent qu’à leurs applications, avec de l’authentification forte », indique Pierre-Antoine Falaux-Bachelot. Pas question de l’imposer : c’est à la demande des services informatiques locaux.
Ce n’est pas la seule transformation en cours chez Engie pour la gestion des postes de travail et des accès aux applications. Historiquement, l’énergéticien était client d’Airwatch. Il l’est toujours, mais la migration du parc sur Intune est engagée – en combinaison avec les outils de Jamf pour les Mac.
Pierre-Antoine Falaux-Bachelot relève au passage que l’intégration entre Zscaler et Intune est à l’étude, afin de pouvoir conditionner les accès au respect des politiques de sécurité : « nous allons pousser nativement une base commune à tout le monde avec l’agent Zscaler intégré ». Les DSI locales pourront créer leurs propres règles, qui devront « être moins permissives » que celles de base. La délégation pour Intune est déjà en place, pour permettre aux entités de tenir compte de leurs spécificités.
Mais quitte à migrer vers Intune, pourquoi ne pas aller plus loin dans l’adoption des offres de Microsoft, avec notamment Defender ? « C’est une réflexion que l’on démarre en ce moment », reconnaît Pierre-Antoine Falaux-Bachelot. Cela sera au menu d’un appel d’offres à venir pour la sécurité des hôtes.
Pour les authentifications, c’est Okta qui est à l’œuvre chez Engie : l’authentification forte lui est déléguée, et « ça marche très bien », assure l’architecte, évoquant une phase pilote très satisfaisante. Et cela passe par l’intégration avec Azure AD. Les utilisateurs sont toujours gérés par un annuaire Active Directory local, mais celui-ci est répliqué via AD Connect. A court terme, toutefois, l’objectif est de migrer tous les postes de travail dans Azure AD. A plus long terme, pour les utilisateurs, Pierre-Antoine Falaux-Bachelot estime que le passage à la version cloud de l’annuaire de Microsoft aiderait à renforcer la sécurité globale. Mais « 120 000 utilisateurs dans l’AD, c’est beaucoup de travail ».
Toutefois, rien ne semble plus naturel alors que le passage au cloud est déjà bien engagé, notamment avec une migration presque complète sur Office 365 : « il reste un serveur Exchange que l’on ne peut pas encore supprimer ». Surtout, pour Pierre-Antoine Falaux-Bachelot, « il n’y a aucun intérêt pour une petite entité à gérer un AD » ; ce n’est pas leur métier.