Après un audit confié en 2009 à SOLUCOM, cabinet indépendant spécialisé dans le conseil en management des systèmes d’information, plusieurs besoins ont été clairement identifiés notamment au niveau de la traçabilité des opérations et de la gestion des accès aux données sensibles.

La solution de sécurisation recherchée devait être à la fois capable de tracer les opérations effectuées sur les équipements du SI et d’enregistrer les sessions d’administration sur les serveurs hébergeant des applications critiques. C’est sur ces critères particulièrement rigoureux que la solution Wallix Admin Bastion (WAB) a été retenue.

Selon les responsables de la sécurité du SI du Ministère, un point important dans le choix de la solution finale a été la souplesse dont Wallix à fait preuve pendant la période de test précédant la mise en production. Ont également pesé dans la décision, la possibilité de tracer et d’enregistrer les connexions effectuées par des utilisateurs de comptes à privilèges sur des équipements critiques et la gestion des droits d’accès des administrateurs.

Le WAB répond ainsi point par point aux besoins du Ministère en termes de contrôle des applications métiers et de fourniture d’éléments de preuve (rattachement des opérations effectuées sur un équipement à leurs auteurs) pour les investigations en cas de problèmes ou d’incidents. Les conditions d’enregistrement et de stockage des sessions permettnt une reconstitution aisée des opérations effectuées dans le cadre de l’administration des équipements sensibles.

Le ministère est équipé de deux WAB 50 en configuration Haute Disponibilité (HD) sur son site principal et deux autres WAB HD sur un site distant.

La fonctionnalité HD a été obtenue en installant un cluster constitué de deux appliances (master/slave) WAB en tolérance de panne (actif/passif). Cette architecture permet une reprise automatique des services (accès aux équipements cibles et à la console Web, enregistrement des sessions, etc.) et garantit une continuité de service en cas d’indisponibilité ou de dysfonctionnement sur l’appliance de production.

Actuellement, douze utilisateurs en interne et trois en externe passent par le WAB pour administrer une soixantaine d’équipements, principalement des serveurs Windows 2003 et 2008 ainsi que de serveurs Linux Debian, sous protocoles SSH, TSE (RDP) et SCP.

Le WAB a même trouvé une utilisation originale puisqu’il est aussi utilisé par les équipes SI pour documenter, grâce à la fonction d’enregistrement des sessions, les procédures d’installation des serveurs afin de pouvoir les répliquer ensuite plus simplement sur les autres machines.

Christophe LOUVARD, Responsable de l’unité hébergement / exploitation du centre serveur du Ministère de l’Écologie exprime sa satisfaction en déclarant :

« Les responsables des SI, de plus en plus vigilants en matière de sécurité, exigent des solutions simples mais robustes. Avec le WAB, nous avons un produit stable que nous n’avons pas besoin de rebooter toutes les cinq minutes. C’est un produit rassurant et fiable qui avec le temps deviendra un élément incontournable des systèmes d’information ».