tostphoto - stock.adobe.com

Vinci Energies muscle son PAM CyberArk avec Ignimission

Afin de renforcer la sécurité de ses infrastructures IT, Vinci Energies utilise la solution de gestion des accès à privilèges de CyberArk depuis de nombreuses années. Pour combler certains manques et automatiser les traitements, l’entreprise y ajoute les outils d’Ignimission.

Présent dans les infrastructures d’énergie, l’industrie, la gestion des bâtiments et l’ICT, Vinci Energies compte 86 000 collaborateurs dans 1 800 entreprises. Présente dans 55 pays, cette filiale du groupe VINCI réalise un chiffre d’affaires supérieur à 15 milliards d’euros.

La DSI compte 450 personnes en interne et 250 prestataires au service des 4 grandes marques du groupe : Actemium, Axians, Omexom et Vinci Facilities. L’activité en France est découpée en 23 pôles, avec un responsable informatique dans chacun qui assure l’interface entre la DSI et le métier.

La cybersécurité est une problématique d’autant plus omniprésente que l’infrastructure IT du groupe s’étend sur 55 pays. Un projet de mise en place d’une solution de gestion des accès à privilèges (Privileged Access Management, PAM) a été engagé en 2015.

C’est la solution CyberArk qui est alors choisie par le groupe pour accroître le niveau de sécurité des comptes d’administration des serveurs et équipements réseau. Christophe Porciello, IT Security Manager et CyberArk Lead chez Vinci Energies revient sur ce choix : « nous avons initié ce projet en 2015. À cette époque, il existait peu de solutions sur le marché au niveau de ce que proposait CyberArk. Les solutions concurrentes étaient encore très loin – d’un point de vue fonctionnel – de CyberArk, qui était un précurseur sur ce marché. La suite nous a donné raison et l’éditeur a continué à innover et développer tout un écosystème de composants autour de son PAM qui lui a permis de garder une longueur d’avance sur la concurrence ». Le déploiement de la solution CyberArk a été confié à Orange Cyberdefense.

Un déploiement PAM à très grande échelle

« Le PAM nous procure une traçabilité très précise avec l’enregistrement vidéo des sessions. En cas de dysfonctionnements, nous pouvons procéder à une analyse du déroulé des opérations ».
Christophe PorcielloIT Security Manager et CyberArk Lead chez Vinci Energies.

La mise en place de la solution doit permettre de répondre à la problématique du remplacement régulier des mots de passe de ces comptes critiques pour la sécurité du système d’information, mais aussi assurer une traçabilité sur des comptes génériques utilisés par plusieurs personnes : « le PAM nous procure une traçabilité très précise avec l’enregistrement vidéo des sessions. En cas de dysfonctionnements, nous pouvons procéder à une analyse du déroulé des opérations : la vidéo permet de voir en image ce qui s’est réellement passé sur l’équipement, de vérifier s’il s’agit d’une erreur humaine, d’une action malveillante ou d’un facteur technique ».

La DSI dispose ainsi d’une capacité d’imputabilité des actions réalisées depuis ces comptes à privilèges tant sur ses serveurs, ses équipements réseaux et appliances que ses bases de données. Un peu plus de 75 000 comptes sont aujourd’hui contrôlés et surveillés par la solution de PAM. L’équipe à laquelle appartient Christophe Porciello s’attaque désormais à la gestion des comptes de service des applications elles-mêmes.

Cet usage extrêmement intensif du PAM a fait apparaître quelques manques fonctionnels de la solution de CyberArk. L’éditeur a mis en place les ER (Enhancement Request), mais les délais de développement des nouvelles fonctionnalités sont longs et l’équipe de la DSI de Vinci Énergies avait des problématiques à traiter sans délai.

« C’est en discutant avec un autre client de CyberArk confronté aux mêmes problématiques que nous avons découvert la solution de la société Ignimission. Celle-ci couvre certains de nos besoins, notamment le provisioning de comptes sur CyberArk », explique Christophe Porciello.

La solution Protec d’Ignimission vient se placer au-dessus de CyberArk afin d’en étendre les capacités. Elle permet désormais à Vinci Énergies de traiter de multiples aspects dans la gestion des comptes à privilège.

« La solution de la société Ignimission [...] couvre certains de nos besoins, notamment le provisioning de comptes sur CyberArk ».
Christophe PorcielloIT Security Manager et CyberArk Lead chez Vinci Energies.

Un premier projet a été lancé avec Ignimission afin de faire le provisioning de 4 000 PC. L’objectif est alors de sécuriser les comptes administrateurs locaux, mais la solution proposée par CyberArk ne convenait pas au responsable sécurité. Avec Ignimission, la DSI a pu exploiter des sources de données auxquelles CyberArk ne pouvait accéder et ainsi procéder à un provisioning des machines automatisées. La procédure mise en place à l’occasion de ce premier projet a permis au groupe de sécuriser plus de 30 000 PC.

De multiples cas d’usage pour le duo CyberArk/Ignimission Protec

Vinci Énergies figure parmi les tout premiers clients d’Ignimission. Ce dernier est basé à Angers, à une centaine de kilomètres seulement du siège de Vinci Énergies, au Mans. Cette proximité géographique va s’avérer très profitable dans la collaboration des équipes : « nous travaillons encore fréquemment avec les équipes d’Ignimission sur de multiples nouveaux projets pour lesquels nous ne disposons pas de réponse technique de CyberArk. Heureusement, la solution de PAM de ce dernier offre de nombreuses API que nous pouvons exploiter, afin de développer des automatisations ».

Illustration des nouveaux cas d’usage mis en place par les deux partenaires, l’automatisation du changement de mot de passe utilisateur sur les postes de travail. Lors de la mise en service des nouveaux PC, l’équipe de Christophe Porciello, souhaitait disposer d’un outil pour intégrer et changer les mots de passe de ces PC. Les outils existants de CyberArk ne le permettant pas, le responsable s’est tourné vers les équipes d’Ignimission pour développer un outil de provisioning automatisé adapté à ses besoins. L’outil est en place depuis 2018 et fait l’objet d’une nouvelle évolution : « actuellement nous travaillons avec Ignimission sur une évolution qui consiste à programmer un changement de mot de passe du PC à une date précise lorsqu’il est communiqué à un utilisateur ».

De l’infrastructure aux applications

Le premier périmètre du projet CyberArk/Ignimission est aujourd’hui intégralement couvert : la plateforme sécurise les identifiants des serveurs dans les datacenters du groupe, ainsi que ceux qui sont en production dans les 800 entreprises du périmètre France.

« La solution de PAM de CyberArk offre de nombreuses API que nous pouvons exploiter afin de développer des automatisations ».
Christophe PorcielloIT Security Manager et CyberArk Lead chez Vinci Energies

De même sont gérés tous les comptes d’administration des routeurs et les firewalls du WAN groupe au niveau mondial. L’internationalisation du projet se poursuit, avec des projets en Afrique de l’Ouest, et sur le continent européen avec l’Autriche, le Royaume-Uni, la Suisse. De plus en plus de PC passent ainsi sous le contrôle du PAM.

Le second axe de développement pour l’équipe PAM porte désormais sur la sécurisation des applications : « certaines applications ont besoin de récupérer des informations dans l’annuaire Active Directory ou dans notre ERP. Notre approche consiste à interfacer ces applications avec CyberArk Application Access Manager (AAM) afin de stocker les secrets nécessaires au fonctionnement de ces échanges ».

Pour sécuriser ces données, l’équipe met en œuvre les capacités de scripting de CyberArk ainsi que ses API. « Nous configurons les applications afin qu’elles aillent chercher les secrets dans le bastion CyberArk soit via Web Services, soit via un agent installé sur le serveur applicatif », explique Christophe Porciello.

La force des API REST

Exemple de ce travail d’interfaçage, Vinci Énergies exploite la solution de RPA BluePrism. Celle-ci a été interfacée à CyberArk en exploitant la capacité de la solution BluePrism à faire des requêtes sur les API REST de CyberArk AAM. La RPA récupère ainsi les secrets des applications stockés dans le Bastion du PAM afin de pouvoir exécuter ses processus.

Cette sécurisation des applications est bien plus complexe pour l’équipe PAM, car le groupe exploite de nombreuses applications spécifiques développées en interne. Les plus anciennes d’entre elles ne sont que peu documentées. Il est donc nécessaire d’analyser ces applications pour voir où et comment sont utilisés les secrets. De ce fait, certaines doivent être en partie réécrites afin d’utiliser les secrets stockés dans la solution de CyberArk.

Christophe Porciello résume le rôle d’Ignimission dans le déploiement de tous ces cas d’usage du PAM de CyberArk : « Ignimission, c’est un peu notre couteau suisse. Nous exposons les nouveaux cas d’usage du PAM auxquels nous avons pensé et nous parvenons toujours à une solution à travers l’outil Protec d’Ignimission. Les seules limites sont celles des API fournies par CyberArk, mais il y a de moins en moins de brides à ce que l’on peut faire aujourd’hui et il est de plus en plus possible de développer des applications customs exploitant les capacités du PAM. Nous déléguons à Ignimission ces développements et Ignimission les gère sur tout leur cycle de vie. Ainsi, lorsque la faille Log4Shell a été découverte, c’est Ignimission qui a corrigé les développements impactés ».

CyberArk et la solution Ignimission Protec comptent aujourd’hui environ 300 utilisateurs chez Vinci Énergies. Tous appartiennent à la DSI.

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)