Comment Engie a sécurisé une IT décentralisée mondiale à l'heure du cloud
L'énergéticien Engie a déployé les solutions de Zscaler pour sécuriser un SI particulièrement complexe avec une stratégie Cloud First.
PublicitéLe groupe Engie est issu d'une fusion, opérée en 2008, entre Gaz de France et Suez, le changement de nom datant de 2015. Avec près de 160 000 salariés dans le monde, il génère un chiffre d'affaires de plus de 60 milliards d'euros. Il produit de l'électricité (éolien, solaire, centrales nucléaires belges...) et vend du gaz en France. Par ailleurs, il dispose de filiales orientées vers des services aux entreprises et aux collectivités (Ineo, Cofely...). « Le principe est la décentralisation : c'est la DSI métier qui gère l'IT du métier, la DSI groupe ayant un rôle limité » explique Pierre-Antoine Falaux-Bachelot, Group Lead Architect chez Engie. A cela s'ajoute une logique de « cloud first » adoptée en 2016 ainsi que le développement d'une large mobilité pour un grand nombre de collaborateurs. Dans un tel contexte, assurer la sécurité à un niveau acceptable pour l'ensemble du groupe peut sembler une gageure. Pourtant, il fallait bien relever le défi.
En 2012, Engie décide de déployer les solutions de Zscaler sur certaines entités. Face à la multiplication de problèmes de performance et de sécurité, Zscaler est devenu obligatoire dans toutes les entités du groupe en 2016. Les 15 instances déployées pour partie à Paris, pour l'autre à Bruxelles, ont été alors regroupées en une seule instance groupe avec une politique commune de sécurité. Pierre-Antoine Falaux-Bachelot soupire : « il y avait des entités qui affirmaient avoir un firewall mais paramétré pour ne presque rien bloquer afin de satisfaire les utilisateurs. Le déploiement de Zscaler a résolu ce genre de problèmes. » Le projet global a donc été lancé, avec l'option d'inspection SSL, pour les 150 DSI du groupe. « La migration est progressive, en commençant par les volontaires » précise Pierre-Antoine Falaux-Bachelot. A ce jour, 90 000 collaborateurs disposent de la solution.
Accroître la sécurité en même temps que la performance
La logique de Zscaler est de disposer d'infrastructures propres (réseau et datacenter) qui vont s'intercaler dans tous les échanges Internet. Cette sorte de tampon, connecté par des tunnels chiffrés aux entités communiquant entre elles, réalise un contrôle temps réel sur le contenu des échanges. Un script malicieux dans une page saine (une publicité pervertie sur un site de presse par exemple) peut être bloqué sans bloquer l'accès à un service utile. L'outil peut aussi garantir le respect d'une politique de sécurité, par exemple en interdisant la sortie de données sensibles dans un espace de stockage privé d'un collaborateur. L'accès aux applications (y compris SaaS) peut être contrôlé en fonction des droits de chacun, la technologie empêchant d'utiliser une connexion à une application pour, par une connexion oblique, rentrer dans une faille d'une autre application, une liaison reliant un utilisateur vers une application. Et, même pour un utilisateur en mobilité, l'outil dirigera les flux vers la bonne instance, celle la plus proche de son point effectif de connexion. Par exemple, si une application est disponible dans un cloud en Amérique du Sud et en Europe, un collaborateur sera connecté au premier quand il est à Buenos-Aire et au second à Paris.
PublicitéNon seulement la solution garantit la sécurité mais elle accroît ainsi la performance applicative. « Les VPN traditionnels posent des problèmes de performance d'accès à des IaaS, surtout en multicloud » soulève Pierre-Antoine Falaux-Bachelot. La solution, elle, évite les embouteillages dans des points critiques, surtout en multicloud. Et elle permet aussi de se mettre en conformité avec certaines législations nationales comme en Chine et aux Emirats Arabes Unis, Engie pouvant bénéficier d'un noeud local de Zscaler pour la sortie vers l'Internet. Résoudre les problèmes de performance des VPN est d'ailleurs une motivation importante pour les DSI locales d'Engie pour adopter la solution. Le déploiement peut s'opérer via la mise en place d'un agent client lourd, un script de redirection dans le navigateur mais aussi via une redirection depuis la connexion à un SaaS (ou une autre application) lorsque celui-ci appelle une identification sur un annuaire géré par le groupe, via le protocole SAML. En tel cas, la requête provoque la redirection.
Un travail sur les règles
Engie a travaillé avec la CNIL pour que la politique adoptée soit conforme aux réglementations et au respect de la vie privée des utilisateurs. Ceux-ci craignaient en effet un « flicage », y compris (à cause de l'inspection SSL) quand ils se connectent à des sites bancaires ou de santé. Pour répondre à ces exigences, Zscaler catégorise les sites et peut ne pas inspecter les paquets cryptés d'un certain nombre de sites. Chez Engie, c'est le cas pour les sites de banques et en lien avec la santé. Ces règles peuvent être « localisées » selon les règles nationales de telle ou telle implantation, normalement pour être plus restrictives. L'outil permet enfin de gérer des droits d'accès à des populations globales, y compris à des collaborateurs de partenaires.
Engie utilise la solution d'Okta pour agréger ses identités et des SIEM de Splunk et de Qradar. En cas de soucis, comme Zscaler dispose d'une instance mondiale unique, il est aisé et rapide d'amender la politique de sécurité. La solution étant imposée par le groupe, c'est celui-ci qui en assure la budgétisation (quelques dizaines d'euros par an et par utilisateur actif non-nommé). Le fournisseur indique que, pour l'ensemble de ses 3600 clients dans le monde, il gère 70 milliards de requêtes par jour, bloque 100 millions de menaces toujours par jour et effectue 100 000 mises à jour des règles quotidiennement.
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire