Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

la RTBF fait évoluer ses certificats utilisateurs grâce à GlobalSign

octobre 2018 par Marc Jacob

La Radio-télévision belge de la Fédération Wallonie-Bruxelles (RTBF) est une entreprise publique autonome à caractère culturel. Active en télévision, en radio, sur le web et les réseaux sociaux, la RTBF est un acteur de sa communauté et moteur d’expression et d’épanouissement de ses publics. Devenue une entreprise publique autonome à caractère culturel comme à la suite du décret du 14 juillet 1997, la RTBF s’attache à produire du contenu audio et audiovisuel de qualité pour ses publics. Dans ce cadre, elle a lancé un appel d’offre public afin de choisir la meilleure solution pour faire évoluer sa vision des certificats utilisateurs internes.

La problématique : limiter l’usurpation de sa marque à des fins de phishing et faciliter le déploiement des certificats pour les utilisateurs internes aux autorisations d’accès différentes

La RTBF est elle-même sa propre autorité de certification, et utilise pour cela la PKI de Microsoft. Ses certificats publics sont quant à eux gérés manuellement par le groupe et utilisés pour sécuriser les serveurs du groupe basés en Suisse. Avec près de 2750 utilisateurs sous licence Windows 365, il était donc important de pouvoir avoir une solution pérenne qui permettait de gérer ces certificats de façon simple et rapide. Son objectif était aussi de pouvoir garder une maîtrise totale, sans surcharge de travail, et cela tout en maintenant un coût similaire à leur budget actuel.

« Comme nous sommes une entreprise publique, nous avons été obligés de passer par un appel d’offre public, au cours duquel il est apparu que l’offre GlobalSign répondait le mieux à nos besoins », précise Cédric Cantillon, conseiller en Sécurité et Gestion des Risques à la direction générale Technologies & Exploitation. « Le rapport qualité / prix de GlobalSign, associé à la disponibilité des équipes et à la facilité de gestion des certificats, a achevé de nous convaincre de lui faire confiance ».

Un POC réussi qui a fait pencher la balance

Une fois les deux finalistes choisis, la RTBF lance un Proof of Concept (POC) pour identifier en réel les forces et les faiblesses des solutions en compétition. Après quelques échanges d’emails afin d’intégrer la solution GlobalSign dans le système d’information de la RTBF, le projet test est lancé sur de bonnes bases. La décision est alors prise d’accorder le marché public à GlobalSign qui a su relever haut la main le défi proposé par le groupe audiovisuel.

Une mise en œuvre progressive

Encore sous contrat avec son ancien prestataire, la RTBF décide de remplacer les certificats qui arrivent à échéance par ceux de GlobalSign au fur et à mesure des changements de serveurs. Progressivement, des utilisateurs sont ajoutés au système de la RTBF.

L’idée directrice serait de déployer les certificats de signature pour tous les utilisateurs, et de chiffrement pour le management, et notamment sur les terminaux mobiles. Pour cela, la RTBF utilise les certificats PersonalSign 2 Pro de GlobalSign qui lui permettent non seulement de prouver l’identité du signataire, mais aussi et surtout l’appartenance de ce dernier à l’organisation. Le destinataire peut clairement voir d’où provient l’e-mail, limitant ainsi les risques d’usurpation de la marque, mais il peut aussi avoir la garantie que le contenu de l’e-mail n’a pas été modifié.

Mais, comme pour tout changement, la RTBF doit faire face à des difficultés d’appréhension de cette technologie par les utilisateurs. Pour cela, la RTBF procède par étape. D’abord un groupe de 10 personnes est implémenté, suivi de 50 personnes en pilotes. Ce seront enfin 1970 certificats utilisateurs qui seront déployés au final. Ceux-ci seront destinés au management qui a en effet en priorité besoin de chiffrer ses e-mails étant donné la nature des données et informations échangées.

Pour le déploiement sur les appareils mobiles, la RTBF va progressivement déployer le MDM de Microsoft sur l’ensemble des terminaux des utilisateurs afin de distribuer de manière transparente les certificats sur tous les appareils identifiés. Ce n’est qu’une fois le MDM mis en place que RTBF pourra procéder à un déploiement en masse des certificats utilisateurs pour que leurs employés puissent bénéficier d’une expérience unique pour signer leurs e-mails aussi bien en interne, que lors de leurs déplacements.

Des résultats encourageants

Aujourd’hui, la RTBF se félicite des résultats concernant la solution GlobalSign. En effet, grâce au portail AEG, à la réception d’une demande de certificat, il suffit au service Desk du groupe de placer un ou plusieurs utilisateurs dans un groupe Active Directory. Le certificat demandé est automatiquement généré et reçu, le tout en quelques instants. L’équipe de Pol Marchand, en charge d’automatiser tout le système et de mettre en place les objets de stratégie de groupe, qualifie le processus de génération de simple, efficace et transparent.

En effet, le logiciel AEG fonctionne comme un connecteur entre le service de certificats en mode SaaS de GlobalSign et l’environnement serveur de l’entreprise. Il simule certains aspects d’une Autorité de Certification tout en transférant l’ensemble des demandes d’enregistrement à GlobalSign, permettant ici à la RTBF de garder le contrôle de ses utilisateurs et de ses règles, et laissant à GlobalSign la gestion de la sécurité, la haute disponibilité et l’activité opérationnelle de l’AC. Les entreprises qui fonctionnent dans des environnements aussi bien Windows que mixtes avec des milliers de terminaux mobiles et de réseaux peuvent ainsi enregistrer et gérer automatiquement leurs certificats numériques.

Cédric Cantillon nous fait également part de ses réflexions quant à l’évolution de la sécurité : « La plus grosse difficulté que nous rencontrons tient dans le change management. Alors que tout le monde parle de blockchain, on en est juste à la genèse d’ajouter une simple signature dans un mail, alors que cela fait 20 ans qu’elle existe. Le chemin vers la sécurité est encore long. »


Voir les articles précédents

    

Voir les articles suivants