Bloc d'activités : Pilotages des intégrateurs externes

Négocier des délais, des prix, les choix de briques logicielles et d'implémentation

Entreprise : Office Français de la Biodiversité (OFB)

Client : idem

Projet : Sécurisation, gestion et audit des accès privilégiés à distance des "insiders" et des tiers sans VPN

Dates/Durée : Septembre 2020 - mars 2021/ 10 jours

Réalisation : Intégration de la solution Beyond Trust Privileged Remote Access (PRA)

Source documentaire :

La réalisation majeure

Définition du projet ou de la réalisation

Ce projet consiste en l'intégration de la solution Beyond Trust Privileged Remote Access (PRA) à l'OFB.

Beyond Trust PRA permet :

  • de prendre la main sur les serveurs de l'OFB de manière sécurisée et nominative,

  • le partage de votre session de travail avec votre équipe,

  • l'élévation de privilège pour les personnes autorisées,

  • faire du MFA quand activé (Multi Factor Authentication),

  • l'enregistrement et la visualisation des sessions de travail, la supervision des serveurs (CLI, Registry, File transfer, System info.).

Il existe 2 moyens d'accéder aux serveurs soit via la :

  • Console d'accès (Desktop client – recommandée, uniquement en interne ou via VPN),

  • Console d'accès Privileged Web (Web client – en interne, via VPN ou via internet).

Objectifs, contexte, enjeu, risques, opportunités

Faisant de plus en appel à des prestataires extérieurs pour assurer la mise en place de solutions métier hébergées en interne, l'OFB ne pouvait plus se permettre de proposer des accès à distance via des logiciels orientés station de travail (càd : TeamViewer etc.) , qui plus est externes et non maîtrisés en interne par nos équipes.

Il a donc été décidé par notre, DSI Thierry Thomas, de doter l'OFB d'une solution de gestion et audit des accès privilégiés à distance : Beyond Trust PRA a été choisi.

Par conséquent j'ai du assurer :

  • la validation des devis auprès de ma hiérarchie puis de lintégrateur,

  • le pilotage de l'intégrateur externe qui nous a été proposé par l'éditeur,

  • la mise en œuvre complète de cette solution permettant de gérer les accès à une flotte de plus de 600 serveurs Microsoft + GNU/Linux,

  • l’administration de la solution.

Pour ce faire nous avons fait appel à un intégrateur de cette solution : la société CROIZAC avec Michel Altazin.

Étapes

Voici comment le pilotage de l'intégrateur s'est déroulé :

  • Dans en premier temps j'ai pris contact avec la société CROIZAC pour mettre en place une réunion de lancement du projet : Daniel Calloce fût mon interlocuteur privilégié,

  • Ensuite nous avons entamé les négociations concernant les tarifs des licences mais aussi de la prestation d'intégration et de maintenance de le solution,

  • J'ai ensuite validé les devis puis envoyé une demande d'accords auprès de ma hiérarchie,

  • Une fois la partie commerciale derrière nous, j'ai ensuite planifié les réunions, avec mon interlocuteur technique Michel Altazin (CROIZAC), visant à définir :

    • l'architecture de la solution à déployer dans notre infrastructure à l'OFB,

    • les étapes de mise en place de la solution : le planning.

  • Enfin nous avons demander l'instanciation des serveurs (5 Machines virtuelles réparties judicieusement sur nos 4 sites principaux) auprès de nos administrateurs système,

  • Nous (Fabrice Morizur N+1, Trung-Hien PHAM N+1 et moi-même) avons assuré la rédaction de la stratégie d'accès aux ressources, et ce de manière générale et par conséquent pleinement applicable au projet BeyondTrust PRA,

  • Pour finir nous avons, Michel Altazin et moi-même, assuré le paramétrage complet de la solution et j'ai eu à rédiger la documentation permettant l'exploitation de cette solution,

  • En parallèle j'ai fait l'import de tous les hôtes de notre SI et j'ai codé les règles d'accès à notre SI dans la solution.

    La création de ces régles s'est faite en accord avec la stratégie d'accès défini ci-dessous.

Cf. Annexe : Projet BeyondTrust pilotage et mise en œuvre

Mes actions

Les diverses réunions de pilotage initiales ont été menées avec ma hiérarchie directe et le commercial de la société Croizac.

Ensuite j'ai réalisé la quasi totalité des étapes de mise en place avec Michel Altazin, hormis pour l'import :

des hôtes,

des créations des règles d'accès à notre SI dans la solution

... que j'ai fait tout seul courant février 2021.

Acteurs et interactions au sein du projet

J'ai au tout début travaillé avec les personnes de ma structure hiérarchique et ensuite en duo avec notre prestataire CROIZAC :

  • Thierry Thomas (DSI OFB, initiateur du projet),

  • Daniel Calloce (Commercial, société Croizac),

  • Michel Altazin (Intégrateur, société Croizac),

  • Trung-hien Pham (Chef du service infrastructure OFB),

  • Fabrice Morizur (Chef adjoint du service infrastructure OFB).

Résultats (pour moi, pour l'entreprise)

L'objectif a été atteint donc c'est une bonne expérience pour moi et notre DSI.

Travailler avec Michel Altazin de la société Croizac fût un vrai plaisir : humainement ce fût donc un très bon moment alliant performance, compétence et efficacité.

Lendemains du projet

Avec l'aboutissement de ce projet j'ai réussi à mieux sécuriser l'accès à nos serveurs tout en permettant à notre hiérarchie de pouvoir contrôler (cette solution enregistre, entre autre, toutes les interventions en vidéo) toutes les actions menées sur nos serveurs.

Cet outil nous à, par exemple, permis de corriger à temps une manipulation qui a failli mettre en péril le mécanisme d’authentification de notre Active Directory lors de l'intégration de notre solution de SSO.

Mon regard critique sur le projet ou la réalisation

Ce projet englobe l’accès à tous nos serveurs qu'ils soient Microsoft Windows ou GNU/Linux.

Cependant pour la partie GNU/Linux j'avais déjà mis en place une solution robuste à base de bastion openSSH (pas de mot de passe que des clefs de sécurité), avec un coût quasi nul et sans contrainte de licence ou maintenance : la solution étant open source.

Cet outil comme de plus en plus, met durablement en place la surveillance généralisée, personnellement cela me pose un souci d'éthique, mais c'est un autre débat.

"Beyond Trust" , littéralement : "Au-delà de la confiance"

La compétence : autocritique et évolution

Mon niveau de maîtrise de la compétence

Je dirai que mon niveau est bon.

Place, importance, priorité de cette compétence dans mon profil d'Expert en Ingénierie ou dans mon métier actuel

Faisant de plus en appel à des prestataires extérieurs pour assurer la mise en place de solutions métier hébergées en interne, ce genre de compétence me sera de plus en plus utile.

Mon évolution

La différence majeur, avec beaucoup de projet que j'ai au à mener jusqu'ici, fût d'être intégré quasiment au début de la démarche de pilotage des prestataires : au stade de la négociation des tarifs et de l'acceptation des devis.

En général j'intervenais plutôt pour la partie architecture système, intégration et technique d'un projet, ou alors sans prestataires extérieurs en faisant tout moi-même.

J'ai d'ailleurs eu, en juin 2021, à travailler sur un projet de SSO (Single Sign On, Okta) avec des prestataires extérieurs : le projet s'est concrétisé avec succès.

Place de la compétence dans mon projet personnel

J'ai failli en avoir besoin lors d'un projet personnel de construction immobilière, ou volontairement nous avions choisi une société qui nous permettait d’intervenir dans le choix et le pilotage des entreprises des différents corps de métiers, donc de jouer un rôle de MOA en symbiose avec notre constructeur.

Niveau que je souhaite atteindre dans cette compétence à moyen terme

je n'en ai aucune idée.

Formation ou autoformation en cours ou à venir, sur cette compétence

Actuellement je n'ai aucune formation en vue concernant cette compétence, mais peut-être devrais-je ....