Ouverture sécurisée à Internet d'un système d'information
L'assureur AGPM a accompagné l'ouverture vers l'extérieur de son SI avec la mise en place d'une architecture de sécurité : pare-feu en haute disponibilité, filtrage d'Url, antivirus et VPN SSL. D'autres projets sont en cours.
Assurance mutuelle, AGPM accompagne les personnels des armées, les pompiers civils et les fonctionnaires de police, mais aussi leur famille, soit au total 640 000 adhérents. Pour remplir sa mission d'assureur, AGPM dispose d'une trentaine d'agences connectées par un réseau MPLS en métropole et par VPN pour les DOM TOM.
Jusqu'en 2001, AGPM, dont le parc informatique se limitait alors à près de 150 postes de travail et des mainframes, s'appuie sur un réseau pratiquement fermé sur l'extérieur. Ainsi seuls quelques utilisateurs disposent d'accès à Internet. Les besoins d'ouverture du système d'information et les conclusions de l'audit de sécurité mené fin 2001 soulignent la nécessité d'initialiser un vaste projet de sécurisation.
AGPM souhaite en effet reprendre le contrôle de son site institutionnel, afin notamment de le rendre plus réactifs, mais aussi donner un accès, encadré, à Internet aux salariés, mettre en place une messagerie d'entreprise (avec un compte par utilisateur) et enfin raccorder au réseau ses agences situées hors métropole. Un projet d'envergure qui ne saurait aboutir sans un accompagnement sécurité.
Le réseau informatique est désormais organisé en 8 DMZ
"Avec l'appui d'un intégrateur local, nous avons rédigé en 2002 un cahier des charges portant sur toute une architecture sécurisée, dont un volet pare-feu. Dans ce domaine, nous avons retenu les boîtiers Netasq F100 pour plusieurs raisons principales : le prix, les fonctions VPN intégrées, la réactivité de la société et un support niveau 3 accessible", cite le RSSI d'AGPM, Antoine Collart.
L'assureur écarte en 2002 les offres de type tout-en-un UTM, jugées encore insuffisamment matures, et préfère donc des briques de sécurité indépendantes. Les deux boîtiers, en haute disponibilité, sont connectés au siège de l'entreprise, à Toulon. Outre Netasq, AGPM met également en place la solution de filtrage d'URL de Websense et l'antivirus pour relais de messagerie de Trend Micro.
Le réseau informatique est désormais organisé en 8 DMZ. Outre les liaisons VPN entre le siège et les agences, AGPM a mis en place une dizaine de connexions VPN avec des partenaires, parmi lesquels la mutuelle des motards notamment. Le VPN SSL apporte en outre aux salariés effectuant le soir des tâches depuis leur domicile une connexion de type TSE.
AGPM dispose d'un comité de sécurité transverse
Au total, 150 salariés, principalement les délégués sur le terrain, accèdent au réseau via la fonction VPN SSL du boîtier Netasq. Cette fonctionnalité est exploitée au sein de l'assureur depuis désormais un an. L'IPS, tout comme la qualité de service, sont également activés. En effet, au gré des montées de version (F1000 et F1500), les boîtiers sont devenus de véritables UTM. AGPM a toutefois fait le choix pour le moment de ne pas utiliser les fonctions antivirus, proxy, analyse de contenu ou des services complémentaires tels que le DNS ou le DHCP.
En ce qui concerne le paramétrage des pare-feu, il a initialement été réalisé par un intégrateur. Un transfert de compétence ultérieur et la certification expert sur la technologie Netasq du RSSI et d'un ingénieur permettent désormais à AGPM d'assurer en interne la configuration et l'administration des boîtiers en fonction des besoins.
La sécurité demeure une préoccupation majeure au sein de l'assureur comme en témoigne l'existence d'un comité de sécurité transverse dans lequel le RSSI représente le service informatique.
"Depuis l'audit de 2001, j'ai travaillé à l'élaboration d'une politique de sécurité et d'une charte, sur la base des normes ISO 27 001 et 27 002 dont je suis certifié Lead Auditor. D'autres projets ont concerné le plan de secours informatique, l'élaboration de tableaux de bord sécurité, la politique d'application des correctifs et à présent l'authentification forte par carte à puce", détaille Antoine Collart.
| Source : JDN Solutions | |
| Organisation | AGPM |
| Secteur | Assurance mutuelle |
| Coût du projet | 133 000 euros (prestations comprises) |
| Solutions retenues | Netasq, Websense, Trend Micro |
| Prix des pare-feu U1500 | Boîtier primaire : 15 000 euros / Boîtier de backup : 11 000 euros / Maintenance pour 3 ans : 10 000 euros |