kras99 - stock.adobe.com

La Métropole du Grand Nancy déploie un PAM pour ses prestataires

La capitale des ducs de Lorraine a fait le choix de l’éditeur de bastion français Rubycat afin de sécuriser ses comptes à privilèges. Sa solution, Prove It, a été déployée pour gérer les accès des prestataires dans un premier temps, puis ceux des administrateurs.

Une demi-journée, c’est le temps qu’il a fallu à la Métropole du Grand Nancy pour déployer le logiciel de PAM (pour Privileged Access Management, ou gestion des accès à privilèges) destiné à sécuriser l’accès de ses prestataires.

Alban Coujard, RSSI de la collectivité, une métropole de 260 000 habitants, explique le besoin initial qui l’a poussé à lancer ce projet express : « nous sommes une DSI mutualisée pour 20 communes et 8 entités supplémentaires comme l’Opéra de Nancy, par exemple. Notre défi est d’assurer une cybersécurité optimale avec énormément de besoins métiers. Nous avons de l’IT, de l’OT, de forts besoins de mobilité, mais aussi des collectivités de tailles très différentes. Certaines comptent plus de 2 500 agents, d’autres n’en ont qu’un seul ».

La DSI doit assurer une cybersécurité à la hauteur des enjeux tout en assurant sa conformité à la réglementation, dont le RGPD, au Référentiel général de Sécurité de l’Anssi et se préparer à NIS2, sachant qu’aucun poste autre que celui du RSSI n’est dédié à la cyber.

La télémaintenance, un risque cyber avéré

Lorsqu’Alban Coujard rejoint la Métropole, il parvient à intégrer le Parcours Cybersécurité du plan Cyber France Relance de l’Anssi : « j’ai audité l’ensemble du SI, rédigé un plan d’action et nous avons choisi de nous concentrer sur un point essentiel, la gestion des accès à privilèges et tout particulièrement sur les accès distants. Nous avons considéré qu’il était crucial pour nous de mettre en place un système de PAM ».

« Nous avons choisi de nous concentrer sur un point essentiel, la gestion des accès à privilèges, et tout particulièrement sur les accès distants. »
Alban CoujardRSSI, Métropole du Grand Nancy

Les cas de compromission via des accès tiers étant relativement fréquents, le RSSI a souhaité se focaliser sur les accès externes des télémainteneurs et des prestataires dans un premier temps : « il y avait deux raisons à cela. Il s’agit des accès que l’on maîtrise le moins, mais cela devait aussi prouver à nos équipes infrastructure internes qu’un bastion n’était pas forcément une contrainte en plus et peut même devenir un facilitant ».

S’appuyant sur les guides de l’Anssi quant à l’administration sécurisée des SI, reposant sur Active Directory et sur celui relatif à l’administration sécurisée des SI, le RSSI veut appliquer de nouvelles fonctions de confidentialité et de traçabilité sur ces comptes à privilèges, mais en privilégiant la simplicité.

« Je n’ai pas la chance d’avoir une équipe cyber et ce sont les ingénieurs infrastructures et les équipes réseaux qui assument ce rôle d’ingénieur cyber en plus de leurs tâches quotidiennes. Il ne fallait pas leur ajouter de contraintes supplémentaires », explique-t-il. Outre une administration simplifiée, la solution doit être facile d’accès pour les prestataires contraints de passer par là, afin d’accéder à leurs outils d’administration.

Dès lors, « 3 mots clés ont dicté le choix de la solution : d’une part, la solution Prove It de Rubycat nous a paru la plus simple de toutes celles que nous avons pu évaluer. La plus simple sur l’exploitation et sur son usage au quotidien. Sur le volet efficacité, nous avons de gros besoins de sécurité, mais il faut savoir que sur beaucoup de sites où il y a une compromission, l’attaquant est passé, car le bastion était insuffisamment durci, insuffisamment sécurisé, et des comptes d’accès pas assez sécurisés ».

Sur ce plan, le renouvellement du visa CSPN de la solution par l’Anssi en 2023 a rassuré le RSSI. Mais cela n’a pas empêché l’équipe informatique d’expertiser le niveau de sécurisation de la solution : « j’ai la chance d’avoir dans mes équipes un ingénieur infrastructures qui est hyper pointu sur Linux. Il nous produit des masters Linux sur mesure en respectant les préconisations de l’Anssi. Malheureusement, quand on intègre une application sur Linux, on est obligé de déconstruire ces recommandations pour que les applications fonctionnent. J’ai demandé à notre expert d’auditer la solution Prove It et son verdict était que l’ensemble des recommandations de l’Agence étaient bien respectées par la solution ». 

Un déploiement mené en une demi-journée

Le PAM de Rubycat est couplé au VPN existant et tous les prestataires doivent l’emprunter pour accéder au bastion et débloquer leurs accès. Ce VPN supporte l’authentification multifacteurs (MFA), ce qui avalise le choix d’architecture de la Métropole du Grand Nancy, car avec NIS2, le multifacteur deviendra obligatoire pour tous les accès des prestataires.

De même, le self-service pour la gestion des mots de passe a été conservé : « les prestataires étaient déjà habitués à l’utiliser et nous n’avons pas été contraints d’apporter de modification à ce niveau », ajoute le RSSI. Un autre point technique qui a fait peser la balance en faveur de la solution de l’éditeur rennais, c’est la capacité de Prove It à intégrer les consoles Web des multiples solutions réseau mises en œuvre dans le SI : « beaucoup d’infrastructures réseau et les plateformes VMware sont maintenant administrées via des consoles Web. Il ne fallait pas mettre un bastion, puis à chaque fois devoir mettre une passerelle de télémaintenance dernière, mais vraiment utiliser le bastion pour ses consoles Web, or peu de solutions le font ».

« Le plus complexe n’est pas dans la technique, mais dans la contractualisation avec les prestataires du fait qu’ils doivent passer par un bastion. Même si on n’a pas encore déployé de bastion, c’est un point auquel il faut penser avant. »
Alban CoujardRSSI, Métropole du Grand Nancy

Pour être certain de l’adéquation de la solution avec l’infrastructure en place, un démonstrateur est lancé en conditions réelles, mais aussi afin de ne pas refaire le déploiement une seconde fois en cas de succès. La solution Prove It est déployée en une demi-journée seulement : « nous étions dans un moment très compliqué avec un changement de datacenter et le remplacement du système de stockage. Il ne fallait pas refaire le travail deux fois. Il fallait partir d’un PoC qui soit propre et qui respecte les critères de l’Anssi ».

Pour le RSSI, l’objectif de ce déploiement éclair est pleinement atteint : « en une demi-journée, nous avons amélioré notre sécurité, simplifié la vie de nos équipes et de nos prestataires, nous ne pouvions pas espérer mieux ! »

La solution est en place depuis le mois de septembre 2023 et le RSSI s’est attaché à la tâche la plus complexe dans un tel projet : faire basculer tous les accès de ses prestataires sur le bastion. « Le plus complexe n’est pas dans la technique, mais dans la contractualisation avec les prestataires du fait qu’ils doivent passer par un bastion. Même si on n’a pas encore déployé de bastion, c’est un point auquel il faut penser avant », explique le RSSI. Pour lui, le point positif de ce déploiement est que les administrateurs sont rassurés. Le PAM ne viendra pas alourdir leur quotidien. Dès que les prestataires auront été basculés, ce sera au tour des administrateurs internes.

Propos recueillis lors du Forum inCyber 2024.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)