Projets

Comment le ministère de l'Intérieur a passé son VPN à l'échelle

Marc Boget, directeur adjoint du numérique, ministère de l’Intérieur : « quand vous devez équiper 1000 postes, il faut une solution simple à déployer et à configurer. »

Avec la crise sanitaire, le ministère de l'Intérieur a dû rapidement déployer des solutions d'accès à distance sécurisée sur grande échelle. Pour cela, il s'est appuyé sur la solution VPN de TheGreenBow.

PublicitéTout comme les entreprises, beaucoup d'acteurs publics ont dû lors du premier confinement passer massivement au travail nomade. Pour sécuriser ses accès distants, le ministère de l'Intérieur a choisi de mettre en oeuvre la solution VPN de TheGreenBow. Lors d'un webinaire organisé par l'éditeur le 3 février 2021, Marc Boget, directeur adjoint du numérique au ministère de l'Intérieur, est revenu sur ce déploiement.

« Le ministère de l'Intérieur représente environ 200 000 postes de travail, près de 300 000 boîtes mail et plus de 7000 sites connectés en France métropolitaine et en Outre-mer », a rappelé Marc Boget en introduction. Chaque année, le ministère consacre environ 300 millions d'euros au numérique, et près de 5000 collaborateurs travaillent sur ces sujets. Lors du premier confinement, le ministère était en phase de démarrage d'un nouvel outil de nomadisme, en pilote sur 300 postes. « Nous avons pris la décision avec le directeur du numérique de changer de braquet. Il s'agissait désormais de déployer entre 5000 et 10 000 postes sur tout le territoire », relate Marc Boget. Heureusement, le ministère ne partait pas d'une feuille blanche. Les équipes avaient déjà conçu une solution entièrement chiffrée pour le travail nomade, avec chiffrement à la volée du disque dur par carte à puce. Cette carte permettait aussi de monter le tunnel VPN pour se connecter à distance de façon sécurisée. Cependant, avec le changement de périmètre, les équipes avaient un choix crucial à faire, selon Marc Boger. Pour le VPN, il fallait une solution capable de passer à l'échelle, tout en respectant l'homologation « diffusion restreinte » des postes nomades du ministère. D'autres enjeux concernaient l'administration. « Il fallait un maximum d'automatisation. Quand vous devez déployer 1000 postes, il faut une solution qui se déploie par stratégie de groupe (GPO) », illustre Marc Boget. La simplicité d'utilisation était elle aussi primordiale, car les utilisateurs étaient partis en confinement, sans bénéficier au préalable d'une formation. Enfin, comme pour tout acteur soumis au code des marchés publics, les critères budgétaires étaient importants.

Les outils de nomadisme deviennent stratégiques

Le ministère de l'Intérieur connaissait déjà la solution TheGreenBow et l'avait retenue à l'issue d'un parangonnage européen début 2020. « Celle-ci répondait à tous nos besoins. Nous avons entamé un travail partenarial fin entre nos équipes et celles de l'éditeur, qui a permis de trouver des solutions à la fois techniques et budgétaires, de façon particulièrement efficace » apprécie Marc Boget. Aujourd'hui, le client VPN est rentré dans les habitudes des utilisateurs. « Notre politique numérique est de doter l'ensemble des utilisateurs qui peuvent télétravailler d'un portable Noemi (les postes de travail sécurisés du ministère) », explique Marc Boget. « Dans cette optique, il est important d'avoir un VPN capable de s'adapter de façon dynamique aux changements de configuration et de réseau. » La solution a été déployée partout en métropole et le ministère travaille actuellement pour la déployer en Outre-mer, avec quelques enjeux de latence liés à la distance. « Nous devons arriver à déporter les concentrateurs VPN sur les sites d'Outre-mer, ce qui nécessite un certain travail d'architecture », indique le directeur adjoint du numérique.

PublicitéDe cette expérience autour de la mise en place du travail nomade, Marc Boget a tiré plusieurs enseignements. « Aujourd'hui, les collaborateurs du ministère font entre 100 et 200 réunions en visioconférence par jour. Il n'est pas concevable que les outils ne marchent pas », observe-t-il. « Attention à l'engouement pour le nomadisme : d'un seul coup, un outil qui était en phase pilote peut devenir un outil stratégique, qui ne doit pas tomber en panne, entraînant derrière lui l'ensemble du système d'information. » Il pointe également des enjeux d'efficacité pour répondre à la demande. « Actuellement, nous déployons des milliers de postes supplémentaires. Nous nous intégrons sur des solutions de mastérisation des postes, pour accélérer la livraison aux usagers. Un portable Noemi nécessite en effet entre 2h et 2h30 pour être préparé », explique-t-il. En 2020, le ministère a également rencontré des difficultés pour obtenir des ordinateurs portables, comme beaucoup d'organisations. En réponse, il a choisi de centraliser les achats pour ne pas rallonger les délais d'approvisionnement.

La Mairie d'Yzeure adopte elle aussi le VPN

Lors du webinaire organisé par TheGreenBow le 3 février 2021, Philippe Casas, RSSI de la Mairie d'Yzeure (Allier), a également partagé son témoignage autour de l'offre « le VPN Français ». À travers celle-ci, l'éditeur propose aux acteurs du secteur public, quelle que soit leur taille, une solution VPN à un coût inférieur à 1€ par mois et par utilisateur.

Yzeure est une collectivité d'environ 13000 habitants, avec une centaine de postes informatiques. « Notre grand projet de 2020 portait sur le nomadisme. Depuis trois ans, nous avons entrepris une remise à plat de notre réseau, en essayant de suivre les préconisations de l'ANSSI », relate Philippe Casas. Certains des utilisateurs devaient parfois emporter leurs ordinateurs chez eux, avec des données transférées sur des clefs, ce qui posait des problèmes en termes de conformité. « Pour y remédier, nous avons réfléchi début 2020 aux solutions possibles », raconte le RSSI. L'équipe voulait un client VPN, avec des certificats pour l'authentification. « Notre pare-feu était compatible avec le client TheGreenBow, notre choix s'est donc porté sur celui-ci ».

Ensuite, le télétravail est devenu la priorité avec la crise sanitaire. Il a fallu mettre en oeuvre une solution très rapidement. « Quand l'éditeur a annoncé la mise à disposition de certificats gratuits durant le confinement, nous en avons profité, c'était parfait pour une petite collectivité », témoigne Philippe Casas. L'équipe IT a d'abord déployé une vingtaine de certificats pour les postes des directeurs et responsables équipés d'ordinateurs portables, et rapidement ce périmètre a été étendu, par petits groupes de licences. À l'issue du premier confinement, l'achat de licences a été inscrit au budget, afin de régulariser la situation. « La demande a été acceptée à l'unanimité, car les utilisateurs avaient apprécié de pouvoir accéder de façon sécurisée à leurs données », indique le RSSI. Lors du deuxième confinement, le service IT a encore étendu le périmètre, après avoir équipé l'ensemble des responsables d'ordinateurs portables. « Nous avons été agréablement surpris de voir la simplicité de connexion du VPN sur des accès distants, pour lesquels nous ne maîtrisions pas la bande passante : ADSL, 4G, parfois même 3G... Tout s'est très bien passé », se réjouit Philippe Casas. Le seul problème rencontré concernait des déconnexions récurrentes, liées à la politique d'attribution d'IP d'un opérateur. « Nous avons demandé une IP full stack et cela a résolu le problème. »