Présentation de la société DARVA
1. Bonjour Martin, pouvez-vous nous présenter votre métier et l'organisation dans laquelle vous travaillez ?
DARVA est un éditeur au service de l’assurance.
Nous concevons et développons des plateformes collaboratives et des outils d’échange à forte dimension technologique pour relier les assureurs et leurs partenaires (experts, réparateurs, assisteurs…). Acteur incontournable dans la chaîne de la gestion des sinistres en France, nous traitons chaque année plus de 8 millions de dossiers sinistres.
Nous proposons également des solutions pour la résiliation des contrats d’assurance, la facturation électronique ou encore pour l’hébergement de données.
DARVA compte aujourd’hui près de 200 collaborateurs sur son site proche de Niort (Chauray).
Nous sommes à ce jour une cinquantaine de collaborateurs au sein de la DSI, divisés en plusieurs pôles : Infrastructure, Réseaux, Bureautique, Exploitation, Assistance, Architecture et Sécurité.
Je suis pour ma part Administrateur Systèmes au sein de l’équipe infrastructure. Nous gérons le commissionnement des serveurs, virtualisation, et autres actions en lien avec l'infrastructure du data center.
Nous sommes responsables de la mise en place des outils et des infrastructures physiques et virtuelles.
De KeePass à LockPass
2. Vous avez fait le choix de mettre en place notre gestionnaire de mots de passe LockPass. Avant son déploiement, comment gériez-vous les mots de passe en interne ?
Avant de commissionner LockPass nous avions KeePass comme solution “officielle” en place.
Chaque collaborateur pouvait avoir sa propre base et en fonction de ses missions, avoir accès à des bases KeePass partagées. La segmentation et la traçabilité n’était pas optimale en l’état.
Vis-à-vis des contraintes de sécurité qui sont les nôtres cela n’était pas suffisant. Notre suivi des accès n’était pas satisfaisant selon nos critères de sécurité.
À l’époque, nous n’avions pas l’obligation de mettre en place une solution comme LockPass mais cela nous a permis de nous mettre en conformité en avance de phase. Une gestion professionnelle des accès à tous les niveaux étant un véritable pré-requis de sécurité aujourd’hui.
Décommissionner KeePass pour déployer LockPass nous a permis deux choses :
1. Segmenter les accès et voir très rapidement qui a accès à quoi, quels mots de passe ont été utilisés etc…
2. Sécuriser et piloter la gestion des accès à l’échelle de toute l’organisation.
Aujourd’hui, la mise en place de LockPass vient répondre à ce besoin de centralisation des mots de passe, de segmentation des droits, de traçabilité sur l’utilisation des accès et une nécessité réglementaire, liée à notre métier, de conserver l’intégralité de nos secrets en interne sur nos data centers.
Lors de la mise en place de LockPass nous avons décidé de migrer l’ensemble des collaborateurs de la société sur cette solution. Certaines équipes métiers ont été au départ un peu réfractaires, mais une fois les premiers mots de passe et utilisateurs onboardés dans la solution il y eut un véritable effet « boule de neige » et l’adoption s’est faite rapidement.
Nous avons dans un premier temps fait un test de l’outil sur l’équipe production et support client afin de valider la simplicité d’utilisation et de migration de l’existant. Ayant réussi à migrer simplement nos quelques milliers de mots de passe, nous avons ensuite poussé la solution auprès de l’ensemble des équipes DARVA.
Afin de faciliter le déploiement et l’adoption nous avons intégré LockPass sur l’ensemble des postes de nos collaborateurs via GPO. Nous avons ensuite formé tout le monde à l'utilisation de l’outil grâce aux formations dispensées par les équipes LockSelf. Enfin, nous avons bloqué la possibilité de pouvoir enregistrer les mots de passe sur les navigateurs ou dans toute autre extension afin qu’il ne soit possible d’enregistrer ses mots de passe que dans LockPass.
Désormais LockPass est déployé sur l’ensemble de nos collaborateurs et prestataires en missions longues, ce qui correspond à plusieurs centaines de personnes.
La certification de LockPass par l’ANSSI est un vecteur de facilitation dans le cadre des audits et obligations auxquels nous sommes contraints.
Côté organisation nous avons créé une catégorie et un groupe par service permettant de responsabiliser les équipes au partage au moindre privilège de leurs secrets.
API LockSelf : deux cas d’usages détaillés
3. Vous avez fait le choix de prendre l'accès à l'API LockSelf. Pouvez-vous nous détailler vos cas d'usages ?
Aujourd’hui nous utilisons l’API dans deux cas d’usages :
- En premier lieu pour créer des machines virtuelles (VM). Ce qui facilite l’automatisation de déploiement.
Cette automatisation est un levier de sécurisation via la gestion et le stockage de certains des mots de passe grâce à l'API.
- En second lieu pour créer des bases de données de façon automatisée.
Nous sommes en cours de déploiement sur ce cas d’usage. Cela va nous permettre, lorsqu’une base de données est créée, déployée ou que de nouveaux utilisateurs sont créés, de venir automatiser le processus dans son ensemble et notamment la création des mots de passe associés.
Retour sur le Dashboard LockSelf
4. Vous êtes fervent utilisateur du Dashboard LockSelf. Comment l'utilisez-vous ?
Le Dashboard nous offre des données intéressantes et pertinentes grâce à un vrai travail UI / UX et une gestion des logs optimisée.
L’une des données vraiment intéressante pour nous c’est le fait de pouvoir identifier les utilisateurs inactifs. Par définition, ce sont des collaborateurs qui n’utilisent pas LockSelf, et qui n’ont de fait pas une gestion conforme de leurs mots de passe, vis-à-vis de notre politique interne.
Nous attendons avec impatience l’API du Dashboard sur laquelle travaillent les équipes LockSelf ! Nous aimerions extraire les informations du Dashboard, notamment sur la force des mots de passe, afin de pouvoir mener des campagnes de sensibilisation et proposer le renforcement des mots de passe faibles auprès des collaborateurs concernés.
L’historisation des logs dans LockSelf nous permet également de savoir très rapidement si un mot de passe est corrompu, ou bien qui l’utilise et de conforter les auditeurs dans nos démarches de sécurisation et de gestion des accès.
Merci Martin !
_____
