Projets

Klésia sécurise ses accès administrateurs par des postes virtuels éphémères

Yann Renaud, responsable des départements architectures, sécurité et projets transverses chez Klésia, ne prévoyait pas de recourir à Systancia avant une démonstration de leur solution.

Pour améliorer la sécurisation des comptes à privilège, Klésia a choisi de déployer IPdiva Cleanroom de Systancia. Cette approche par environnements de travail à usage unique temporaire rompt avec le projet initial de déployer des bastions classiques.

PublicitéConstitué en 2012, le groupe Klésia est en train de refondre son système d'information. Un grand nombre de chantiers sont menés en parallèle, d'autant que la mise en conformité RGPD a constitué en elle-même un défi à relever conjointement à une optimisation de la sécurité. En Octobre 2017, un schéma directeur de la sécurité des systèmes d'information a été établi. Parmi les sujets prioritaires, la gestion des comptes à privilèges a été particulièrement mise en avant. Il s'agissait notamment de pouvoir tracer précisément les actions des fameux « utilisateurs à pouvoir ». Mais, suite à un audit au printemps 2018, il s'est avéré que les comptes d'administrateurs devaient également être mieux protégés afin d'éviter l'usurpation de leurs droits.

En février 2018, un appel d'offres est lancé auprès des acteurs classiques du marché des bastions. La sélection finale devait avoir lieu à la fin du printemps. Entre-temps, outre l'audit de sécurité, un projet sans rapport a abouti au choix d'une technologie de Systancia pour virtualiser certains postes de travail afin de régler un problème de performance applicative. Du coup, les technologies de l'éditeur ont été présentées plus largement au sein de la DSI. « Au départ, nous n'avions pas du tout identifié, au cours de notre étude préalable du marché, Systancia comme pouvant répondre à notre besoin » se souvient Yann Renaud, responsable des départements architectures, sécurité et projets transverses chez Klésia.

Un poste de travail virtuel éphémère

La short-list de la sélection comprenait trois éditeurs. Yann Renaud explique : « la solution de Systancia propose toutes les fonctions classiques des bastions qui sont globalement toujours plus ou moins les mêmes. Mais la différence résidait précisément dans son côté Cleanroom. » Systancia est en effet un éditeur qui, au départ, opérait dans le domaine de la virtualisation, pas dans celui de la sécurité. Son approche est donc différente des éditeurs classiques. Il s'agit de ne travailler qu'avec des « outils stériles à usage unique » comme l'indique l'éditeur, à la manière de ce qui se pratique en chirurgie.

La solution IPdiva Cleanroom propose en effet des postes virtuels éphémères, créés à partir d'images de référence uniquement lorsqu'un administrateur en a besoin. Dès que cet administrateur a terminé, son poste virtuel est immédiatement détruit. Chaque type de tâche d'administration ou de profil d'administrateur (administrateur réseau, applicatif, etc.) comprend ainsi une image de référence. Bien entendu, comme avec un bastion classique, les actions sont enregistrées afin de pouvoir être rejouées en cas de détection d'un incident. Les mots de passe (par exemple pour se connecter aux bases de données) et clés de cryptage sont gérés dans des coffres-forts avec une connexion SSO lorsqu'un poste virtuel est généré. Les mots de passe réels sont d'ailleurs réinitialisés et gérés automatiquement. Non seulement un attaquant doit donc pouvoir s'introduire dans un poste bien protégé mais, en plus, il ne peut le faire que pour un temps très court, avec l'obligation de recommencer de zéro à chaque action hostile et à un moment non-prévisible, le tout en ayant un enregistrement de toutes les actions opérées. Même si aucun dispositif de sécurité ne sera jamais parfait, Yann Renaud ne peut que constater : « la surface d'attaque est singulièrement réduite ».

PublicitéUn licencing très pertinent

La solution de Systancia est également utilisée pour des prestataires externes qui peuvent ainsi opérer de la maintenance à distance en se connectant à des postes virtuels dédiés à leur profil via un portail web. Klésia, d'une manière générale, a recours à beaucoup d'infogérance. Or, par définition, les moyens des infogéreurs ne sont pas sous le contrôle de Klésia : à chacun de définir de combien de personnes il a besoin à tel moment pour remplir ses obligations contractuelles. « Nous n'avons pas la maîtrise du nombre d'administrateurs pouvant intervenir sur notre SI » constate Yann Renaud.

Or Systancia propose sa solution non pas avec des utilisateurs nommés mais avec des utilisateurs simultanés. Pour Yann Renaud, « cela peut paraître un petit détail... mais, dans notre contexte, ça ne l'est pas ! » Le coût du déploiement a ainsi pu être contenu dans des limites très raisonnables. Choisie à la fin du printemps, la solution a été lancée dans la foulée. « Pour l'instant, nous sommes toujours, depuis le mois de septembre, en pilote » précise Yann Renaud qui se réjouit de la réactivité des équipes de l'éditeur.

Quelques difficultés liées à une maturité perfectible

Klésia est le premier client de la solution packagée IPdiva Cleanroom. Mais celle-ci est issue de l'intégration de plusieurs briques pré-existantes. Yann Renaud reconnaît « essuyer évidemment encore quelques plâtres, d'autant que Systancia n'avait pas l'habitude d'une architecture aussi complexe que la nôtre. Mais je suis content de les aider à progresser. » La solution a été installée sur une infrastructure dédiée afin d'éviter tout problème. Une difficulté a été de bien comprendre le rôle exact de chaque module, dont le nom n'est pas forcément très explicite, afin d'ouvrir les bons canaux dans les firewalls.

La relation entre l'éditeur et Klésia étant excellente, un autre projet a été lancé dans la foulée. Une brique de Legacy lourde et complexe à migrer est l'annuaire de référence, actuellement sous Lotus Notes. Cette migration sera opérée avec une solution de Systancia d'ici la fin de l'année. « Nous ne ferons pas une simple migration mais nous en profiterons pour faire quelques travaux complémentaires, d'où le délai » observe Yann Renaud. La migration entraînera la mise en place d'un traitement automatisé de l'accueil, du départ et des mutations des salariés (gestion du cycle de vie du collaborateur) avec un déclenchement opéré dans HR Access par la DRH et ticket opéré dans Service Now.

A propos de Klésia

Klésia est un groupe de protection sociale paritaire qui a deux grands métiers : d'une part les assurances de personnes et la prévoyance, d'autre part la gestion de la retraite complémentaire (AGIRC-ARRCO). Au contraire de la plupart des mutuelles, Klésia distribue ses prestations essentiellement sous la forme de contrats collectifs : le contrat de protection d'un groupe d'individus est conclu par une entité unique (par exemple une entreprise pour le compte de ses salariés).

Ce groupe a été créé en 2012 par le rapprochement des groupes Mornay (très présent dans l'hôtellerie, la restauration, la pharmacie...) et D&O (puissant dans le secteur des transports) ainsi que plusieurs mutuelles qui ont progressivement rejoint le groupe. Klésia comprend donc de multiples branches, certaines intégrant le nom du groupe (Klésia Retraite Agirc, Klésia Retraite Arrco, Klésia Mut'...), d'autres non (IPRIAC, CARCEPT...).

Une IT essentiellement centralisée

Les services centraux dépendent de AMK (Association de Moyens Klésia). L'informatique est centralisée : quand une structure rejoint le groupe, son IT entame une convergence avec celle de Klésia qui commence par une migration sur les infrastructures. En tout, la DSI-GP (DSI et Grands Programmes) compte de 180 à 260 collaborateurs, permanents ou prestataires. Le poste de travail classique a déjà largement migré vers le cloud avec l'adoption d'Office365.

Les vingt-cinq sites de Klésia se connectent au système d'information du groupe via un extranet. Clients et partenaires transitent, eux, évidemment via Internet. Dans les deux cas, la connexion est assurée via une paire de « netcenters » situés en région parisienne où sont gérés la sécurité et certains services de base. Ceux-ci sont connectés par des fibres dédiées à la paire de datacenters pour les applicatifs et les données placés auprès de Montpellier. Chaque paire est en mode actif/actif avec une distance physique de sécurité garantie entre les deux salles serveurs.

Un système d'information en cours de refonte

Les datacenters utilisent une architecture SDx avec les technologies VMware, le stockage utilisant des baies Dell/EMC virtualisées avec Vplex. Depuis deux ans, Klésia a recours à de l'hyperconvergence Nutanix sur certains projets. Netcenters et datacenters sont infogérés chez IBM mais les infrastructures appartiennent à Klésia. Postes de travail et réseaux sont, eux, infogérés chez Consort NT.

Depuis 2012, le SI s'est d'abord construit par fusion des existants. De ce fait, il reste encore du mainframe mais une évolution en cours va faire reposer le SI sur une architecture distribuée Unix. En s'appuyant sur une intégration par Sopra-Steria, Klésia migre actuellement son SI coeur de métier vers Active Infinite de Cegedim qui est en train d'être adapté aux spécificités métier de Klésia comme les contrats collectifs.