Terreal
>Industrie de fabrication
>3200 employés
>Siège en France et 50 usines en Europe de l’ouest et de l’est, Etats-Unis et Asie
Enjeux
>Remplacer le VPN, source de risques multiples
>Réduire la charge de travail liée à une gestion fastidieuse du VPN
>Permettre la publication d’applications industrielles sur Internet
Bénéfices
>Une approche Zero Trust qui permet une gestion sereine et sécurisée des accès prestataires.
>Un renfort de sécurité sans compromis sur l’expérience utilisateur qui favorise la productivité des équipes.
>Une plateforme SaaS qui simplifie le déploiement et permet de rapidement étendre les usages.
« Nous avons été convaincus par l’approche Zero Trust de cyberelements qui aujourd’hui réduit le risque global sur notre environnement et en particulier sur l’environnement informatique industriel. La solution a également permis de diviser par 5 la charge des équipes IT pour la gestion de nos accès prestataires. »
A propos de Terreal
Groupe industriel international dont le cœur de métier initial est la production de matériaux de bâtiment en terre cuite, Terreal a élargi son champ d’actions depuis une dizaine d’années avec la production de panneaux solaires et d’accessoires métalliques. Le groupe emploie 3200 collaborateurs à travers le monde et possède une cinquantaine d’usines majoritairement en Europe de l’Ouest et de l’Est mais aussi aux Etats-Unis et en Asie.
L’enjeu : sécuriser les accès des prestataires
RSSI du groupe pour l’ensemble des filiales, Amael Chamayou dirige le pôle sécurité, expertise technique et coordination infrastructure, en charge notamment d’établir la politique de sécurité du groupe et de s’assurer de la bonne application de cette politique. C’est dans ce cadre que Amael Chamayou et son équipe ont lancé une réflexion sur la refonte des accès distants des prestataires dont la gestion via des VPN représentait un risque majeur pour l’entreprise et une charge de travail importante pour les équipes IT.
Remplacer le VPN, source de risques multiples
Les prestataires se connectaient jusqu’alors via des VPN aux environnements industriels qui bien souvent étaient hérités d’investissements passés et donc plus vulnérables. Terreal ne pouvait plus se permettre d’avoir des accès à leur environnement depuis une machine inconnue dont ils ne connaissent pas les risques. Ces VPN offraient une connexion permanente au réseau, assez intrusive, qui ne permettait pas de faire du MFA, ne permettait pas de tracer ce qui avait été fait sur les équipements et donc ne permettait pas de sécuriser ces accès.
Réduire la charge de travail liée à une gestion fastidieuse du VPN
Les accès VPN étaient complexes à gérer et donc très chronophages pour les équipes IT. Celles-ci s’appuyaient beaucoup sur l’infrastructure locale ce qui signifie que dès qu’il y avait un problème technique, les accès n’étaient plus possibles, ce qui est vraiment problématique quand les usines fonctionnent en 24/7.
Permettre la publication d’applications industrielles sur Internet
« La règle d’or dans l’industrie est de ne pas connecter son environnement industriel sur Internet » souligne Mr Chamayou. Son équipe recherchait donc une solution permettant la publication d’applications industrielles sur Internet afin de faciliter l’accès aux utilisateurs internes, en dehors de la zone industrielle, à certains dashboard de pilotage.
Pourquoi Terreal a-t-il fait le choix de cyberelements pour sécuriser les accès prestataires ?
Terreal a réalisé un POC avec 3 solutions pour les tester en conditions opérationnelles et a fait le choix de cyberelements pour 3 principales raisons :
L’approche Zero Trust pour la sécurité des accès
« Sur un environnement industriel, qui peut être obsolète, nous avons absolument besoin, et c’est primordial, de maitriser qui s’y connecte et comment ». Les équipes Terreal ont été convaincues par l’approche Zero Trust de cyberelements et tout d’abord par le fait que la rupture protocolaire soit vraiment « by design » : cela leur permet de s’assurer que les équipements de prestataires, non maîtrisés, n’ont pas de connexion réseau directement sur leur environnement. D’autres fonctionnalités comme l’agent anti-rebond, qui empêche les mouvements latéraux et le coffre-fort avec injection de mots de passe, qui permet de ne pas divulguer les mots de passe ont séduit les équipes.
Le renfort de sécurité sans compromis sur l’expérience utilisateur
Chez un prestataire, il peut y avoir 25 personnes susceptibles d’intervenir sur l’environnement Terreal, sachant qu’ils utilisent souvent un compte générique pour faciliter leurs interventions, ce qui exclut le MFA via OTP. cyberelements permet de renforcer ces accès via un MFA par email, ce qui permet de renforcer la sécurité des accès sans compromis sur l’expérience utilisateur.
La plateforme SaaS qui simplifie le déploiement et garantit le niveau de sécurité
Le déploiement de cyberelements a été très rapide et très simple : cyberelements étant une plateforme nativement SaaS, le POC a été mis en place en 2H et s’est avéré être l’infrastructure définitive.
Par ailleurs Mr Chamayou souligne la sécurité apportée par cette rupture avec leur infrastructure on-prem : « Nous n’avons pas vocation à être hébergeur d’une solution aussi critique donc nous étions intéressés par le niveau de sécurité qu’apporte le SaaS. Nous avons préféré déléguer cette expertise sécurité à Systancia qui s’assure des mises à jour et montées en version. Dans notre environnement nous avons uniquement des gateways avec connexions sortantes »
Quels sont aujourd’hui les bénéfices de cyberelements ?
Une gestion sereine et sécurisée des accès prestataires
Le besoin initial étant d’augmenter drastiquement le niveau de sécurité des accès distants des prestataires en France et en Espagne il a fallu tout d’abord convertir tous les accès VPN en accès via cyberelements.
Cette première phase du projet a permis de mettre à plat les accès historiques en supprimant les accès inutilisés. Aujourd’hui, cyberelements permet de mettre en place automatiquement une date d’expiration lors de la création d’un compte dans cyberelements, ce qui permet de ne plus avoir de comptes orphelins.
Les prestataires accèdent via HTML5 aux ressources auxquelles ils ont besoin d’accéder pour accomplir leurs tâches :RDP, VNC, SSH et ressources web ce qui a permis d’éliminer complètement tous les accès VPN sur l’environnement Terreal. Ils ont profité de la mise en place du bastion pour faire de l’injection de login/mot de passe pour éviter de les communiquer aux prestataires, en déployant les agents anti-rebond qui permettent de cloisonner les prestataires sur les machines uniques sur lesquelles ils doivent se connecter.
cyberelements permet de gagner en visibilité sur ce qui est fait sur l’environnement par les prestataires grâce à l’enregistrement des sessions qui permet de rejouer ces sessions pour voir ce qui s’est passé lorsqu’un problème est identifié.
Une adoption immédiate de cyberelements synonyme d’optimisation de productivité pour les équipes
La solution a été immédiatement adoptée aussi bien par les équipes internes que par les prestataires. Auparavant il pouvait y avoir des coupures d’accès régulières liées aux aléas des telecoms, ce qui mobilisait les équipes internes. Avec cyberelements, ils ne subissent plus ces coupures d’accès et créent très simplement et rapidement des comptes pour de nouveaux prestataires, sachant qu’ils doivent ajouter 2 à 3 nouveaux prestataires par mois. « cyberelements a permis de diviser par 5 la charge de gestion des équipes IT qui peuvent maintenant se consacrer à d’autres tâches comme celles d’expertise technique » précise Mr Chamayou.
Les prestataires qui interviennent sur l’environnement Terreal sont de grands industriels qui ont l’habitude de travailler avec beaucoup de clients et donc via de nombreux accès VPN ce qui peut induire des problématiques sur le poste de travail en lui-même en matière de cartes réseaux virtuels ou de clients VPN qui se font concurrence. Le fait qu’ils soient déconnectés du VPN et qu’ils accèdent via HTML5 est ainsi beaucoup plus simple pour eux : via un seul écran, le prestataire a accès à toutes les usines, de manière centralisée.
Une plateforme SaaS qui permet très facilement d’étendre les usages
L’adoption immédiate de la solution et la simplicité d’utilisation ont permis à Terreal de rapidement étendre leurs usages. Ils ont ainsi convaincu les filiales en Allemagne, Pologne et Hongrie d’utiliser cyberelements pour gérer leurs accès distants prestataires. Les équipes Terreal utilisent également la solution en interne pour se connecter de manière sécurisée aux systèmes d’information d’autres filiales, notamment aux Etats-Unis. Les équipes étudient maintenant la publication d’applications industrielles afin d’améliorer l’expérience utilisateur en proposant un dashboard unique de connexion pour les utilisateurs.