La problématique
Le partage des identifiants met en péril les données accessibles sur le réseau
De la gestion des collèges au développement des territoires ou des infrastructures, le Conseil Départemental de la Mayenne emploie quelques 1500 agents. Son service informatique, composé de 10 personnes, gère pour tous ces agents un ensemble de 1000 postes de travail répartis sur 40 sites distants. M. Petit est Ingénieur Réseau et Sécurité au sein du service informatique, et l’adjoint au chef du service Infrastructure et Exploitation ; C’est à ce titre qu’il a initialement constaté certains problèmes d’utilisation et d’allocation des ressources informatiques et qu’il s’est chargé de leur résolution.
Le premier problème constaté concernait l’accès aux ressources informatiques et aux informations qu’elles mettent à disposition. Certains comptes utilisateurs, initialement créés pour des stagiaires, étaient de plus en plus utilisés comme des comptes « invités » pour différents interlocuteurs : consultants, partenaires extérieurs, visiteurs et autres utilisateurs ne disposant pas de login et mot de passe officiels. N’ayant pas été prévus à cet usage, ces comptes possèdent des droits d’accès à des ressources interdites à tout utilisateur externe à l’entité – Internet, fichiers et répertoires de données ou documents divers. Sans différentiation possible entre les utilisateurs connectés et sans moyen de contrôler les connexions effectuées, il n’y avait plus aucune visibilité sur les accès au réseau via ces comptes, et aucun historique disponible et exploitable en cas de problème avéré.
Une analyse de risque est effectuée, qui confirme un risque réel lié à ces partages d’identifiants et souligne les problèmes légaux posés par ces accès non autorisés – qui a le droit d’accéder à quoi, et comment s’assurer de l’identité des acteurs sur le réseau ?
Nous avons effectué une analyse de risques et l’usurpation d’identité en est ressortie comme un risque majeur.
Emile PETIT
Ingénieur réseau et sécurité au service informatique du Conseil Départemental de la Mayenne
En parallèle un deuxième besoin s’est profilé, celui de pouvoir vérifier et réguler les horaires et les lieux de connexion. En effet, certains agents avaient pris l’habitude de travailler de chez eux en se connectant via VPN sur le réseau interne. Le télétravail n’étant pas autorisé, la Direction des Ressources Humaines du Conseil Général a donc émis le besoin de pouvoir vérifier les connexions à distance, et à terme d’interdire les accès non autorisés.
La solution
Grâce au logiciel UserLock le Conseil Général sécurise, contrôle et limite les accès à ses réseaux
Ces problématiques de contrôle et de limitation d’accès des utilisateurs au réseau ne pouvant être adressées par les fonctionnalités natives des systèmes Windows, la recherche a donc été orientée vers des solutions tierces. Après une période de tests, le choix s’est porté sur le logiciel UserLock, édité par la société française IS Decisions.
Simple d’installation et d’utilisation, UserLock répond exactement aux besoins identifiés précédemment.
La prise en main est directe, pas besoin de formation pour par exemple bloquer le nombre de sessions comme on le voulait, ou générer des rapports assez complets sur les activités de session, ouverture, verrouillage, fermeture, etc. A l’époque, et même maintenant, il n’y a pas d’autres logiciels qui répondent exactement à ces besoins.
Emile PETIT
Ingénieur réseau et sécurité au service informatique du Conseil Départemental de la Mayenne
Une fois téléchargé, l’implémentation du logiciel se fait dans la journée. Des horaires de connexion autorisés ont été définis, ainsi qu’une politique de sessions Windows unique pour les comptes attribués aux stagiaires, résolvant ainsi en un tour de main les problèmes de partages d’identifiant constatés.
Des rapports détaillés et exhaustifs des connexions permettent de plus à l’équipe informatique de gagner en contrôle et en visibilité sur l’activité des utilisateurs sur le réseau. Il est maintenant possible non seulement de vérifier les connexions effectuées, mais aussi de faire respecter les directives en cours. Cet historique d‘activité réseau offre également la traçabilité nécessaire en cas de problèmes, et ceci sans effort supplémentaire.
Une fois installé le logiciel se gère tout seul, pas besoin d’y revenir et de vérifier les paramétrages.
Emile PETIT
Ingénieur réseau et sécurité au service informatique du Conseil Départemental de la Mayenne
Au contraire, Mr Petit a vu un gain de temps sur certaines tâches récurrentes de son équipe, notamment les requêtes du type « qui s’est connecté à quelle heure et sur quel poste » sont devenues beaucoup plus rapides. Ce genre de demande, souvent nécessaire en cas d’incidents, et qui pouvait avant prendre la journée, est maintenant effectué en deux clics.
C’est un logiciel très simple d’installation et d’utilisation.
Emile PETIT
Ingénieur réseau et sécurité au service informatique du Conseil Départemental de la Mayenne
De plus, la possibilité de déléguer des actions et de donner accès à certaines parties du logiciel à des collègues d’autres services permet de délester le service informatique. Grâce à l’interface intuitive du logiciel, un responsable d’un service non-informatique peut ainsi obtenir de manière autonome les informations dont il a besoin.
Le premier déploiement ayant été concluant, le périmètre d’utilisation du logiciel a été élargi, et UserLock a ensuite été implémenté dans les 27 collèges gérés par le Conseil Général, où 3000 machines sont mises à la disposition de quelques 9000 élèves. L’utilisation principale dans les collèges est l’audit et le suivi des sessions.
UserLock a été mis en place pour savoir qui est connecté sur quelle machine et pouvoir ainsi suivre et contrôler si nécessaire l’activité des élèves. Il agit un peu comme un garde-fou pour les élèves.
Emile PETIT
Ingénieur réseau et sécurité au service informatique du Conseil Départemental de la Mayenne
Une règle de session utilisateur unique est également mise en place, afin de limiter les partages d’identifiants et les potentielles usurpations d’identité, mais aussi pour s’assurer d’une bonne utilisation et optimisation des ressources matérielles.
Les avantages
Une implémentation logicielle centralisée couvrant tout un département
Aux deux serveurs contrôlant les 1000 licences des agents du Conseil Général, deux autres ont donc été rajoutés afin de gérer les 3000 utilisateurs des collèges, totalisant ainsi 4000 licences UserLock, centralisées par le service informatique. Ayant bien mis à l’épreuve le logiciel auparavant, la question de centraliser les serveurs ne s’est même pas posée.
Comme nous n’avons pas de grosses liaisons avec les collèges, si le poids des requêtes avait été trop important, l’installation n’aurait pas été envisageable. Mais là nous n’avons pas eu peur d’étendre l’implémentation de UserLock et de tout centraliser.
Emile PETIT
Ingénieur réseau et sécurité au service informatique du Conseil Départemental de la Mayenne
C’est aussi grâce à l’équipe d’IS Decisions, qui a accompagné Mr Petit tout au long des deux projets d’implémentation.
Le service informatique du Conseil Général peut ainsi maintenant, de manière centralisée, facilement auditer, surveiller et protéger les accès au réseau de tous les sites distants du Conseil Général sur l’ensemble du département de la Mayenne. La politique de contrôle d’accès aux ressources et aux données exigée par la direction est ainsi pleinement implémentée et respectée.
Le contact avec IS Decisions a toujours été simple, et les réponses très rapides, que ce soit le support technique ou le service commercial, pour des informations ou juste pour demander conseil. Nous avons eu la chance d’avoir le même contact dès le début et tout au long de nos échanges, ce qui nous a assuré un bon suivi.
Emile PETIT
Ingénieur réseau et sécurité au service informatique du Conseil Départemental de la Mayenne