La place du PAM/bastion dans la sécurité du SI d’une collectivité
Pouvez-vous vous présenter en quelques mots ?
Je suis administrateur Système, Réseaux et Sécurité au sein de la Mairie Sotteville-lès-Rouen. Après une expérience au sein d’une ESN, j’ai intégré le service informatique de la mairie de Sotteville-lès-Rouen depuis fin 2019.
Mon rôle est principalement de mettre en place la politique de sécurité du SI et de participer également à la prise de décision sur les sujets réseaux.
Comment s’organise le service informatique au sein de la Mairie ?
Nous sommes une équipe de quatre personnes et nous gérons au quotidien la partie réseau (routage, équipements…), hébergement, la gestion des applications métiers, la téléphonie, les postes de travail, etc.
La commune de Sotteville-lès-Rouen compte environ 30 000 habitants. C’est la 3ème plus grande commune du département de la Seine-Maritime en région Normandie. Étant une collectivité, nous regroupons plusieurs corps de métier (crèches et écoles, urbanisme, bibliothèques, police, etc.), de nombreux prestataires peuvent donc intervenir sur notre SI.
Quelle démarche avez-vous alors adoptée ?
La première étape de cette démarche a été de mettre en place un VPN pour protéger l’ensemble de nos équipements et de nos connexions.
D’ailleurs pour l’anecdote, cette sécurité était déjà mise en place au moment du covid et du premier confinement ce qui a grandement simplifié et sécurisé cette période comparer à beaucoup d’autres administrations qui étaient en retard à l’époque. Nous avons ainsi pu mettre en place le travail à distance le plus sereinement possible malgré la situation.
Ensuite, nous avons eu la chance d’être sollicités au bon moment : nous avions un besoin et Rubycat nous a démarché juste à cette période là pour nous présenter la solution PROVE IT.
Nous avons donc sollicité une présentation de la solution assez rapidement.
Pourquoi aviez-vous besoin de renforcer la traçabilité des accès sensibles ?
Avant de connaitre la solution PROVE IT de Rubycat, nous avions déjà une solution de gestion des accès à privilèges. L’objectif principal était de sécuriser les accès aux serveurs. Nous l’utilisions également pour sécuriser les accès en interne.
Au sein de la collectivité, nous adoptons une sécurisation en profondeur du SI.
Comme évoqué précédemment, nous avons des prestataires qui peuvent intervenir sur nos équipements et/ou nos serveurs. Le but du bastion d’administration était aussi de restreindre l’accès réseau à une population limitée et de tracer les accès de nos prestataires.
Pour l’anecdote, il y a quelque temps, l’une des actions réalisées par l’un de nos prestataires a engendré un problème sur notre production et c’est grâce au bastion que l’on a pu déceler la source !
Pourquoi avoir changé de solution pour PROVE IT ?
La solution initiale nous ne convenait plus. Il y avait un manque de réactivité du support et nous avions moins confiance envers la solution après quelques problèmes rencontrés.
Nous avons décidé de comparer les autres solutions françaises de PAM/Bastion sur le marché et notre choix s’est porté sur PROVE IT de Rubycat, une solution certifiée CSPN par l’ANSSI. Nos critères de choix étaient : une solution fiable, rapidement déployable et avec un budget défini.
Avant de faire un choix final, nous avons testé deux solutions, dont PROVE IT. Cette solution m’a séduite car elle propose un mode de licence se basant sur le nombre de sessions simultanées, ce qui est avantageux pour la taille de notre collectivité.
Les résultats du test de la solution ont démontré sa fiabilité, sa rapidité de mise en place et le peu de maintenance à effectuer.
Quel constat faites-vous après quelques mois d’utilisation ?
Nous utilisons la solution PROVE IT depuis la fin de l’année 2022. Son installation au sein du SI s’est bien passée. C’était très rapide : environ 20 minutes !
Le constat reste le même qu’au moment du test de la solution ; c’est-à-dire très peu de maintien en condition opérationnelle. Son utilisation, par le reste de l’équipe, au sein de la collectivité s’est déroulée sans problème.
Je soulignerais aussi une excellente réactivité et écoute du support technique Rubycat. Une chose qui devient rare lorsque l’on compare avec le support d’autres solutions, toutes confondues.
C’est une équipe à taille humaine avec une vraie capacité d’écoute. Ils prennent le temps de regarder en détail les problèmes éventuels rencontrés et nos demandes. Pour preuve, nos remarques liées à l’évolution du produit sont prises en compte.
Cela nous conforte dans notre relation de confiance avec Rubycat !
Est-ce que vous recommanderiez la solution à une autre collectivité ?
Pour toutes les raisons citées, je recommanderai sans hésiter la solution à une autre collectivité afin d’augmenter leur niveau de sécurité. La solution PROVE IT est adaptée à ce type de structure et est en constante évolution. La roadmap est connue à l’avance : nous attendons impatiemment l’arrivée du portail web RDP cet été.
Administrateur Système, Réseaux et Sécurité
Mairie Sotteville-lès-Rouen