Prise en main à distance : Engie conserve ses outils en place
Engagé dans une stratégie cloud et Internet Only, le groupe Engie a choisi une solution agentless de la prise en main à distance sur l’ensemble des postes et mobiles de ses collaborateurs. Elle a permis au Helpdesk du groupe de traverser la crise du Covid sereinement.
C’est en 2016 que le groupe Engie a initié sa roadmap vers le cloud. Outre une évolution vers un modèle exclusivement cloud et des sites connectés en « Internet Only », le modèle de sécurité du groupe évolue vers le sans confiance. Dans ce cadre, il devait se doter d’une solution de prise de main à distance de l’ensemble de son parc, notamment des PC et mobiles des télétravailleurs à domicile ou dans les locaux d’Engie.
« À partir de 2016, nous avions mis à disposition un poste de travail assez classique à l’époque, avec un PC sous Windows 10 lié à l’Active Directory et Microsoft SCCM (System Center Configuration Manager) et un VPN », se rappelle Olivier Mangon, lead architect Digital End User Solution d’Engie. « Cette configuration fonctionnait dans certaines situations, mais le terminal devait être connecté soit directement au réseau d’entreprise, soit par VPN, pour que nous puissions prendre la main avec l’outil nécessaire ».
Peu avant la crise du Covid, en 2019, GBS IT, l’entité qui opère les infrastructures IT du groupe et qui délivre des services informatiques, décide de revoir son approche et ouvre un marché pour trouver un outil pouvant lever toutes ces contraintes de connectivité et être en phase avec la roadmap sécurité. La solution recherchée devait assurer le support de tous les postes de travail, que ce soit des PC Windows, des Mac, mais aussi les tablettes numériques et smartphones, pour un déploiement à l’échelle mondiale.
De nombreuses exigences techniques à satisfaire
L’équipe projet rencontre alors tous les principaux acteurs du marché. Les exigences techniques sont très claires : la solution devait être sécurisée et utiliser le port 443 (le port par défaut du protocole HTTPS), être compatible avec Zscaler et recourir obligatoirement à l’Idp du groupe (Identity Provider) qui s’appuie sur Okta.
Stratégie Cloud First/Cloud only, la solution devait être disponible en SaaS, mais pouvoir fonctionner dans un tenant dédié : « nous souhaitions aussi disposer d’un maximum de logs, notamment pour les enregistrements, des logs d’activité, avec un niveau de détail très élevé. Notre groupe compte de nombreuses entités dans le monde et énormément d’activités différentes et des services IT qui interviennent sur leurs propres périmètres. La solution devait nous permettre de déléguer certaines tâches sur certains périmètres ».
Très peu ont passé le filtre des critères définis par Engie et l’équipe d’Olivier Mangon en a fixé un de plus : compter le moins de vulnérabilités référencées (CVE) possible…
BeyondTrust répondant à l’ensemble des critères imposés par Engie, un PoC a été mené sur 3 mois. À l’issue de ce démonstrateur, l’industriel a contractualisé avec l’éditeur pour déployer la solution sur l’ensemble de ses postes de travail et mis à disposition la solution dans son offre de service.
« Nous avons créé un nouveau service dans notre portefeuille d’offres internes. Jusque là, seules les équipes poste de travail ou celles qui avaient accès à l’outil de management des postes de travail avaient le droit de prendre la main à distance. Toute personne qui doit interagir avec le device d’un utilisateur et qui est habilitée doit pouvoir le faire. Elle peut souscrire au service, et grâce au logiciel on peut lui accorder accès à telle ou telle fonctionnalité sur tels ou tels postes », explique Olivier Mangon.
« En cas de problème, au lieu d’appeler un membre du service audiovisuel et attendre qu’un technicien vienne diagnostiquer le dysfonctionnement, la prise en main à distance permet à tout le monde de gagner du temps ».
Olivier MangonLead architect Digital End User Solution, Engie
Cette capacité répond aux besoins des TMA applicatives (Tierce Maintenance Applicative), où des utilisateurs clés assurent le support d’un groupe d’utilisateurs métiers. Dans ces cas de figure, le Help Desk n’intervient pas directement, mais c’est un expert métier qui répond aux demandes des métiers.
D’autres cas d’usage sont apparus, notamment dans le domaine du « Human to Machine », qu’il s’agisse d’équipements industriels ou des terminaux de visioconférence Windows ou Android dans les Teams Rooms. Olivier Mangon raconte : « Nous avions le projet de déployer des Teams Room dans toute l’organisation du groupe. Les équipements étaient envoyés, puis l’installation était finalisée à distance pour ne pas avoir à déplacer de personnes sur chaque site. En cas de problème, au lieu d’appeler un membre du service audiovisuel et attendre qu’un technicien vienne diagnostiquer le dysfonctionnement, la prise en main à distance permet à tout le monde de gagner du temps et les utilisateurs sont plus satisfaits du service délivré ».
Lorsque la crise de la Covid a éclaté, les postes étaient déjà connectés à Internet et le support a pu être délivré à distance sans difficulté.
Un déploiement éclair
La solution Remote Support de BeyondTrust étant de type SaaS et « agentless », le déploiement des 110 000 postes du groupe Engie (à l’époque) s’est, pour l’essentiel, effectué en trois mois.
La solution est interfacée avec ServiceNow et l’utilisateur ayant un problème technique reçoit une simple URL qui va le mener au portail BeyondTrust Remote Support. Une clé d’échange lui est fournie par l’agent du Service Desk pour sécuriser la communication et un exécutable est téléchargé dans la mémoire du poste, sans qu’il soit nécessaire d’avoir les droits administrateur sur le poste.
La solution est accessible via une console Web et peut aussi assurer le support des mobiles et des tablettes : « toutes les plateformes sont supportées, y compris les plateformes Apple. Le changement de politique d’Apple en termes de sécurité fait qu’il n’est plus possible de prendre le contrôle des terminaux Apple iOS à distance. L’opérateur de Help Desk ne peut que regarder ce que l’utilisateur fait. L’opérateur indique à l’utilisateur ce qu’il doit faire, mais globalement, il n’y a pas d’effet de bord et d’incompatibilité avec nos applications », détaille Olivier Mangon.
« Nous traitons aujourd’hui des problématiques qui vont au-delà de la bureautique, notamment le volet OT. »
Olivier MangonLead architect Digital End User Solution, Engie
Enfin, si le poste est totalement inutilisable, BeyondTrust propose une fonction Caméra qui permet à l’utilisateur de partager la caméra de son smartphone pour montrer à l’agent du Helpdesk l’état du poste.
Sur le cas d’usage « Human to Machine », comme il n’y a pas d’utilisateur pour réaliser de manipulation sur le poste, un agent doit être préalablement installé. Ce dernier permet aux personnes IT ou TMA de prendre la main sur la machine, mais aussi voir son état. Des données sont remontées vers la console comme l’état du disque, de la mémoire, etc.
Olivier Mangon précise : « nous traitons aujourd’hui des problématiques qui vont au-delà de la bureautique, notamment le volet OT. Il y a des postes de travail connectés aux réseaux industriels et sur lesquels les équipes industrielles internes ou les équipes sécurité ont parfois besoin de prendre la main à distance. Nous leur délivrons cet accès de manière sécurisée. Tout est enregistré : les connexions entrantes, sortantes. Il ne s’agit toutefois pas des réseaux OT de bas niveau, mais des réseaux type proxy utilisés pour le dépannage ».
Une solution opérationnelle à l’échelle mondiale
Sur le plan conformité, Engie est soumis à de multiples réglementations, selon le lieu et l’activité concernée. Néanmoins, la solution a reçu l’aval de l’ensemble des RSSI du groupe. Elle est conforme au RGPD et l’instance est hébergée chez AWS en Europe. Tous les enregistrements sont chiffrés avec les clés propres à Engie. Le groupe a amené ses certificats et ses propres clés de chiffrement pour s’assurer de la sécurisation de l’accès au système.
Tous les sites mondiaux du groupe utilisent aujourd’hui la solution Remote Support, même si quelques zones restent encore à couvrir. Pour ses solutions de sécurité, Engie pratique une approche Best-of-Breed et ne souhaite pas consolider ses solutions. Le groupe fait déjà confiance à CyberArk pour le volet « Password Safe », et Olivier Mangon étudie la possibilité de déployer une solution d’EPM (Endpoint Privilege Management) sur des périmètres particuliers, comme le trading ou l’OT, mais n’a pas la volonté de consolider les solutions auprès d’un fournisseur unique. « La complexité de notre écosystème fait écho à la complexité des cas d’usage que nous devons porter. Les produits n’ont rien de magique et ne répondent pas à tous les cas d’usage », explique-t-il.
Le prochain chantier pour 2025 sera d’aller plus loin dans l’approche Cloud First et Internet Only et se passer totalement d’Active Directory..
Propos recueillis lors des Assises de la Sécurité 2024.
