Quick sécurise ses comptes à privilèges avec Wallix

La chaîne de restauration rapide a retenu AdminBastion pour contrôler les actions de ses prestataires sur son système d’information.

C’est en 2010 que Quick a décidé de se tourner vers l’AdminBastion de Wallix afin de contrôler les actions de tous les prestataires externes se connectant à son environnement. Une douzaine d’entreprises est concernée : « ils se connectent sur une machine, l’AdminBastion de Wallix, où sont configurés leurs droits d’accès aux serveurs sur lesquels ils sont amenés à intervenir », explique Fabien Chevrel, responsable datacenter et sécurité informatique au sein de la chaîne de restauration rapide.

De son côté, il apprécie la possibilité de gérer configurations et changements de droits de manière rapide et centralisée. Mais le plus important n’est pas là : « nos partenaires externes ne connaissent pas les identifiants d’administration de nos systèmes ». Non, ils ne connaissent que leurs identifiants gérés sur l’AdminBastion : « c’est quelque chose de transparent, souple, et sûr ». Sans compter que l’appliance Wallix assure l’enregistrement, y compris en vidéo, de toutes les sessions d’accès distant RDP : « en cas de mauvaise manipulation, on peut le voir ». Pour l’heure, « nous n’avons jamais eu besoin d’aller consulter ces enregistrements, car nos partenaires sont très sérieux avec nous ». Mais la possibilité est là.

Sont concernées, par exemple, les sociétés qui gèrent l’affichage dynamique dans les restaurants, ou encore le responsable de l’infogérance de l’ERP SAP de Quick, mais également celui chargé de l’ERP gérant la commande de produits alimentaires. Le tout pour quelques dizaines de personnes susceptibles d’intervenir.

Avec deux WAB 50 déployés en haute disponibilité, Fabien Chevrel souligne n’avoir rencontré aucun incident : « c’est une plateforme qui est super stable, même en montée de version ou autre », relève-t-il. Et les mots de passe sont changés tous les mois.

En tandem avec l'authentification forte

L’AdminBastion est géré conjointement avec un système d’authentification forte signé SafeNet. Une vingtaine de comptes utilisateurs sont ainsi gérés. Mais tous ne sont pas forcément individuels et nominatifs. Pour un prestataire comme celui chargé de l’ERP SAP, plusieurs personnes différentes sont susceptibles d’intervenir, mais via trois comptes banalisés.

Pourquoi procéder ainsi malgré la souplesse offerte par l’AdminBastion ? « Pour un prestataire comme celui chargé de notre ERP SAP, il peuvent être 30 ou 40 utilisateurs différents ». Une volumétrie importante assortie de contraintes spécifiques comme les astreintes tournantes..

Alors, certes, l’AdminBastion peut supporter la synchronisation avec l’annuaire du prestataire externe et permettre, ainsi, l’utilisation systématique de comptes nominatifs. Mais là se poserait une autre question : celle de la gestion des jetons d’authentification forte, qu’ils soient matériels ou logiciels, et celle des coûts assortis. Pour supporter plus d’utilisateurs individuels, la chaîne de restauration rapide devrait souscrire de nouvelles licences auprès de SafeNet, explique Fabien Chevrel.

A charge, donc, pour le prestataire externe, de suivre ses employés et leurs plannings d’intervention sur l’environnement de Quick. Et Fabien Chevrel de souligner, qu’en cas d’incident, la responsabilité de son prestataire serait mise en cause.

Si les justifications financières et pratiques de l’approche apparaissent claires, on ne peut s’empêcher de penser à l’incident Target. Là, la compromission de millions de données de cartes bancaires aurait trouvé son origine dans le vol d’identifiants affectés au sous-traitant en charge de la ventilation et de la climatisation. Mais aujourd’hui, c’est bien la responsabilité de Target qui est mise en cause par ses clients particuliers, ainsi que par les institutions financières émettrices de cartes.

 

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)