Un Bastion pour gérer et suivre les administrateurs réseaux

Pour gérer l'accès des administrateurs et des prestataires à ses ressources informatiques, la mairie de Beauvais s'appuie sur AdminBastion. L'outil, via une interface graphique, permet aussi de suivre précisément les interventions.

Commune la plus peuplée du département de l'Oise avec plus de 54 000 habitants, Beauvais est aussi une ville picarde ouverte au logiciel libre. Les deux tiers de son parc informatique font ainsi appel au système d'exploitation Linux. Il s'agit pour la part restante d'environnements Windows. Les services de la ville s'appuient en outre sur une informatique répartie sur 80 bâtiments, connectés en fibre optique pour moitié, puis en VPN MPLS.

Pour la maintenance applicative et des solutions techniques, Beauvais fait appel à différents prestataires. Pour ces diverses opérations, des droits d'accès sont donc accordés. En 2007, la direction informatique décide de canaliser l'ensemble de ces flux pour des raisons de sécurité via une authentification des accès, mais aussi d'exploitation, au travers d'un suivi détaillé des interventions. Ce contrôle et ce suivi des accès sont étendus aux administrateurs salariés de la municipalité. 

"La sécurité peut-être perçue comme un château fort avec un pont-levis, un firewall, que l'on baisse ou non. Mais se contenter d'ouvrir sans examiner ce qui se passe n'aurait pas de sens. Nous voulions donc voir à la fois qui entrait et tracer ce qui était réalisé. L'objectif était de garantir au maximum la confidentialité sur le réseau et les serveurs, notamment de messagerie. Pour cela nous souhaitions enregistrer le détail des interventions au niveau des switch, pour l'étendre ensuite directement aux serveurs", précise Frédéric Dupuy, DSI de la mairie de Beauvais.

"On ne chasse pas des moustiques avec un canon" (F. Dupuy - DSI)

La DSI se met donc en quête d'un outil répondant à ses attentes de gestion des droits et d'enregistrement des logs. Les traces des interventions doivent toutefois être précisément associées à des comptes utilisateurs. Pas question en effet de devoir chercher une aiguille dans une meule de foin pour reconstituer les détails d'une maintenance.

La mairie écarte nombre de solutions dont le périmètre fonctionnel déborde largement du cadre de ses besoins et s'avèrent par conséquent à la fois trop complexes et coûteuse. "On ne chasse pas des moustiques avec un canon. Notre budget est celui d'une mairie, pas d'une multinationale. Ce dont nous avions besoin, c'était un outil simple d'utilisation, qui nous permettent de gagner du temps et d'être plus réactif", insiste Frédéric Dupuy.

Les faveurs de Beauvais vont donc à un logiciel spécialisé : AdminBastion de Wallix. Celui-ci se présente sous la forme d'un serveur lame 1U. Il est intégré directement dans une armoire réseau et placé en DMZ. Une patte relie ainsi l'AdminBastion au Lan et une seconde à la DMZ, faisant ainsi office de proxy. Le serveur est préparé préalablement par Wallix, qui assure également une journée de transfert de compétence.

interface adminbastion wallix
Interface d'administration d'AdminBastion © Wallix

En termes d'administration, le paramétrage s'effectue à trois niveaux. Les ressources sur lesquelles des opérations distantes d'exploitation pourront être réalisées sont dans un premier temps déclarées. Vient ensuite la déclaration des utilisateurs, aussi bien internes qu'externes. Enfin sont associées aux différents utilisateurs déclarés des ressources. L'accès se fait après une phase d'authentification sur un portail. L'utilisateur est alors orienté sur une page Web affichant l'ensemble des ressources pour lesquelles il dispose de droits. Un double clic suffit ensuite pour s'y connecter, en TSE, SSH ou Telnet. 

Quant au suivi des interventions, il s'effectue au travers d'une interface retraçant au format flash l'ensemble des actions et commandes manuelles des administrateurs. Le rendu graphique fournit ainsi des moyens de sécurité préventifs et d'analyse des opérations d'exploitation. Les données collectées par AdminBastion, opposables aux tiers, représentent aussi l'opportunité d'obtenir des informations sur la régularité des maintenances des prestataires.

"La confiance n'exclut pas le contrôle. AdminBastion permet également de synchroniser les équipes. En interne, nous sommes quatre à avoir la possibilité d'intervenir sur le réseau, avec chacun nos spécialités. Ces données sont dès lors aussi une occasion pour chacun de suivre l'état des différentes opérations et de partager des connaissances. De plus, en cas de problème sur un serveur, il est plus facile d'identifier la source de la panne, sans qu'il soit ici question d'identifier des responsabilités", argumente le DSI de la mairie.

Satisfaite de la solution Wallix, la municipalité envisage à présent d'étendre l'utilisation d'AdminBastion aux autres utilisateurs, non administrateurs. Ces derniers, par un VPN, se connecteront ainsi eux aussi au portail pour accéder à distance aux données de leur poste de travail et à des dossiers partagés. Ce projet devrait être mis en œuvre après le raccordement à la boucle locale de 30 nouveaux bâtiments, et surtout une démarche d'information auprès des agents de la ville afin de leur présenter le cadre de cette ouverture du système d'information.

 
Le projet en bref
Source : JDN Solutions
Organisation Mairie de Beauvais
Date de réalisation 2007
Solution retenue Wallix AdminBastion
Coût du projet 17 000 euros (support compris)