Skip to content

Fleury Michon

Centraliser et renforcer la sécurité des accès internes et externes, aux systèmes OT & IT, tout en garantissant le cloisonnement entre les 2

Demander une Démo
Contactez nous

Fleury Michon

> Entreprise agroalimentaire

> 3000 employés

> 8 sites de production en France avec une présence au Canada et aux Pays-Bas.

Enjeux

> Reprendre le contrôle des accès distants au périmètre usines.

> Sécuriser les accès d’administration IT, internes et externes

> Centraliser la gestion des accès distants avec un pilotage cloisonné entre réseaux industriels (OT) et réseaux informatiques (IT)

Bénéfices :

> Une maîtrise des accès OT & IT, internes et externes, respectant le principe de cloisonnement

> Une stratégie de sécurité des accès OT & IT basée sur les principes du Zero Trust

> Une solution adaptée au contexte de silotage AD, qui facilite les audits

« cyberelements Cleanroom est le socle de notre stratégie de sécurisation des accès basée sur le modèle 3-Tiers: nous pouvons gérer de manière centralisée les accès internes et externes à nos ressources cibles OT & IT en mettant en pratique tous les principes du Zero Trust. »

Nicolas Verdière
Ingénieur Système – Fleury Michon

A propos de Fleury Michon

Fleury Michon, entreprise agroalimentaire française fabriquant des produits de charcuterie, traiteur, restauration hors domicile et catering, est la troisième marque la plus vendue en France. Employant plus de 3 000 salariés elle est présente sur 8 sites de production en France ainsi qu’au Canada et aux Pays-Bas.

L’enjeu : centraliser et sécuriser les accès internes et externes aux systèmes OT & IT

Ayant déjà été la cible d’une cyberattaque, Fleury Michon avait besoin de mettre en place une stratégie de sécurisation des accès basée sur le modèle 3-Tiers (silotage AD), suivant ainsi les recommandations de l’ANSSI. C’est dans ce cadre que les équipes ont recherché une solution qui permette de gérer les droits d’accès d’administration aux systèmes industriels et informatiques, par type d’utilisateur, en fonction des équipes, afin de gérer ces droits avec la granularité la plus fine possible.

Reprendre le contrôle des accès distants au périmètre usines.

Les accès distants au périmètre usines étaient gérés par plusieurs solutions hétérogènes suivant les sites et les équipements en place. Parfois ces solutions étaient implémentées par les équipementiers eux-mêmes qui avaient seuls la maitrise de l’accès sur le périmètre usines de Fleury Michon. Cette gestion était chronophage et la sécurité était difficile à maintenir. L’entreprise recherchait donc une solution pour gérer ces accès distants, depuis le réseau du prestataire ou depuis le domicile de ses collaborateurs, de manière centralisée tout en lui garantissant la maîtrise de ces accès.

Sécuriser les accès d’administration IT, internes et externes.

Dans le cadre de sa stratégie de sécurisation des accès, Fleury Michon souhaitait mettre en place une gestion des droits d’accès d’administration, par type d’utilisateur, en fonction des équipes, pour gérer les droits au plus près. La volonté des équipes était de déployer cette solution tout d’abord pour les administrateurs internes puis de pouvoir l’étendre aux accès d’administration des prestataires. Les accès prestataires étaient gérés via le client Forty, directement sur leurs firewalls. Il y avait donc une volonté d’uniformiser ces accès d’administration sur une même plateforme en supprimant l’usage du VPN par les prestataires pour accéder aux automates.

Centraliser la gestion des accès distants avec un pilotage cloisonné entre réseaux industriels (OT) et réseaux informatiques (IT)

L’enjeu pour les équipes était de maintenir un pilotage des accès cloisonné entre réseaux informatiques (IT) et réseaux industriels (OT), et donc de bénéficier d’une solution permettant la gestion centralisée (création, modification, suppression, activation …) de comptes utilisateurs nominatifs afin de répondre au besoin de non-répudiation. La solution devait également permettre de faciliter la revue des comptes et la conformité des habilitations des utilisateurs.

Pourquoi Fleury Michon a-t-il fait le choix de cyberelements Cleanroom pour centraliser et sécuriser les accès à ses systèmes OT & IT ?

Suite à l’étude de 3 solutions dans le cadre d’un appel d’offre pour sécuriser les accès OT, les équipes Fleury Michon ont fait le choix de cyberelements Cleanroom : les fonctionnalités OT étaient plus avancées que les autres solutions et répondaient aux attentes de l’entreprise tout en proposant un coût maîtrisé. En voyant la couverture fonctionnelle de cyberelements Cleanroom, les équipes ont élargi l’AO à la sécurité des accès d’administration IT. Le déploiement de la solution s’est ainsi déroulé en 3 phases : pour les administrateurs IT, puis pour les prestataires IT et pour finir pour les prestataires OT.

Une plateforme unifiée pour l’accès aux ressources OT & IT

Aujourd’hui, les accès internes et externes aux ressources cibles OT & IT sont exclusivement gérés via le portail cyberelements Cleanroom. Cela représente 45 accès simultanés les jours ouvrés, avec un rapport de 75%/25% entre les accès des administrateurs internes et les accès des prestataires. La solution permet de paramétrer les accès en fonction des usages : les accès RDP des administrateurs internes se font via le client Cleanroom alors que tous les autres accès ainsi que ceux des prestataires se font via le portail HTML5 ce qui évite de forcer l’installation du client sur des postes qui ne sont pas maîtrisés par l’organisation. 80% des sessions d’administration internes et externes sont enregistrées.

Une seule solution pour couvrir tous les cas d’usage des accès industriels

Fleury Michon a une grande diversité de fournisseurs industriels et ne disposait pas de l’infrastructure ou des licences pour donner un accès distant à ces fournisseurs ou à leurs prestataires de services. Avec cyberelements Cleanroom, les équipes Fleury Michon centralisent et tracent les accès aux infrastructures cibles selon les possibilités offertes par les fabricants et les protocoles industriels : accès aux applications de contrôle sur une station d’ingénierie, accès aux équipements depuis l’application d’ingénierie tournant sur le poste du prestataire ou du fabricant. Cette diversité des modes d’accès rend transparente l’utilisation du bastion et facilite l’adoption de la solution par l’ensemble des utilisateurs.

Une gestion granulaire très fine des différents accès

cyberelements Cleanroom permet de gérer ces accès avec une granularité très fine puisque les accès et autorisations spécifiques sont définis en fonction des rôles des utilisateurs (support, exploitants, experts, etc.). La possibilité de pouvoir créer des objets « groupes » permettant de regrouper tous les utilisateurs disposant d’accès identiques simplifie grandement l’administration de ces accès.

Quels sont aujourd’hui les bénéfices de cyberelements Cleanroom ?

Une maîtrise des accès OT & IT, internes et externes, respectant le principe de cloisonnement

cyberelements Cleanroom permet de centraliser sur une infrastructure unique les accès sécurisés, internes et externes, à l’IT et à l’OT, tout en garantissant le cloisonnement entre IT et OT grâce à son approche multi-gateway. L’architecture unique Zero Trust de la solution permet également de créer des tunnels sécurisés entre le fournisseur externe et le LAN OT : les équipes d’administration industrielles peuvent déployer leurs outils d’administration (supervision, gestion de patchs…) sur les réseaux de production. cyberelements Cleanroom facilite ainsi la gestion de ces accès en réduisant les coûts d’exploitation.

Une stratégie de sécurité des accès OT & IT basée sur les principes du Zero Trust

cyberelements Cleanroom permet à Fleury Michon de mettre en œuvre l’ensemble des principes du Zero Trust au niveau de son infrastructure industrielle :

  • Application du principe du moindre privilège afin de permettre l’accès aux administrateurs internes ou aux prestataires uniquement à la ressource autorisée, lorsqu’ils en ont besoin, et pour le temps de leur intervention.
  • Contrôle du contexte d’accès de l’utilisateur (conformité du poste d’accès, plages horaires autorisées pour l’accès…).
  • Non divulgation des secrets d’authentification : les équipes Fleury Michon ont déployé le coffre-fort de mot de passe avec l’injection des mots de passe pour les accès RDP et VNC et avec renouvellement automatique pour les accès RDP.
  • Mise en place de moyens d’authentification forte (MFA) en fonction des usages :  MFA du portail Azure pour les accès internes et MFA via mail pour les prestataires OT & IT.

Une solution adaptée au contexte de silotage AD, qui facilite les audits

cyberelements Cleanroom s’interface avec l’AD de Fleury Michon en respectant les principes et règles de sécurité en environnement Microsoft Active Directory basé sur le modèle 3-Tiers. L’interfaçage de cyberelements Cleanroom avec l’AD facilite les audits sur la gestion des comptes et des accès distants puisque les équipes bénéficient d’un contrôle de l’ensemble des comptes avec une visibilité complète sur les habilitations effectives sur les ressources IT et OT. cyberelements Cleanroom permet à tout moment de prouver qui a fait quoi, quand et sur quel système, garantissant ainsi l’imputabilité de tous les accès à l’infrastructure industrielle.

Demander une Démo