Présentation de la société THALOS
1. Bonjour Sylvain, pouvez-vous nous présenter votre métier et l'organisation dans laquelle vous travaillez ?
Chez THALOS nous sommes créateur de solutions digitales pour le monde maritime depuis plus de 25 ans. Nous sommes une soixantaine de collaborateurs répartis sur 3 sites, avec notre siège en France, une filiale à l’île Maurice et une autre à Taïwan.
Notre cœur de métier c’est de gérer et sécuriser la connectivité satellitaire entre des navires et la terre et vice-versa, pour répondre à de multiples besoins avec notre solution « OceanBox ».
Nous nous occupons de la configuration et du déploiement de nos solutions aussi bien à bord des bateaux que sur les chantiers navals partout dans le monde. Nous installons les antennes, toute la partie connectique, gérons l’informatique embarquée et les réseaux bord, la mise en place de firewall applicatifs de niveau 4, jusqu’à la proposition de forfaits de communication entre la terre et la mer et nous gérons également toute la partie optimisation, sécurité et compression de flux et des informations.
Aujourd’hui nous équipons près d’un millier de navires dans le monde avec nos solutions.
Au-delà de notre casquette connectivité, nous sommes développeurs de solutions pour améliorer l’efficacité opérationnelle des navires avec notre système de supervision électronique des opérations « OceanLive ». Cette solution collecte, exploite et analyse des données bord (notamment des vidéos) qui sont transmises chaque jour à l’armement pour la gestion des opérations de pêche.
Nous développons également une solution d’aide à la pêche : le logiciel « CATSAT » déployé à bord. Tous les matins nous récupérons auprès de notre partenaire CLS , des données satellitaires et des cartographies de l’ensemble du globe. Ces données permettent de comprendre la dynamique des océans avec des informations comme la température de l’eau, le courant, la salinité, l’évolution du plancton etc… Cela permet ensuite à nos clients de cibler des zones de pêche favorables.
Aujourd’hui je suis DSI chez THALOS. J’ai notamment en charge le département IT, pour lequel nous nous occupons de l’ensemble de l’infrastructure informatique avec la gestion de nos deux data centers en propre, ainsi que le déploiement en cours d’une solution chez Google Cloud Platform. La mise en place de cette nouvelle solution d’hébergement dans le cloud intervient pour répondre à un besoin stratégique : celui de pouvoir déployer une partie de nos solutions de connectivité au plus proche des zones d’opérations de nos clients (avec des données géographiquement localisées dans le cloud).
Aujourd’hui un bateau en Chine passe par notre data center en France pour se connecter au reste du monde. Nous avions ainsi des problématiques de latence. Bientôt ce bateau se connectera directement à un point de présence THALOS en Chine dans le cloud. Cela nous permet également de rendre notre site en France moins critique en cas de problématique technique.
Nous gérons également l’administration des systèmes et la sécurité de l’entité THALOS, que ce soit au niveau cyber, gestion des accès, serveurs etc…
Enfin, nous allons de plus en plus vers une offre de prestation de services de sécurité à l’intérieur de certains navires pour nos clients, pour lesquels nous allons déployer de l’antivirus ou de l’EDR à leur demande.
Cybersécurité dans le secteur maritime : quelles spécificités ?
2. En termes de cybersécurité, y a-t-il des spécificités liées au secteur maritime ? Lesquelles sont-elles ?
Le secteur maritime à de grosses spécificités en termes de cybersécurité avec la gestion des communications d’une part, et le public d’autre part (les pêcheurs n’étant pas des profils informatiques de formation).
C’est dans cette optique que THALOS a intégré il y a 3 ans maintenant l’association France Cyber Maritime, créée en partenariat avec l’ANSSI et d’anciens membres des renseignements de la marine.
Cette association basée à Brest a permis de créer une taskforce avec un collège d’utilisateurs et un collège de solutions orientées pour le milieu maritime. THALOS y est adhérent dans le collègue solutions de par les offres de connectivité et de sécurité que nous proposons à bord des navires.
Le Maritime CERT à Brest, en collaboration avec l’association France Cyber Maritime, vont également pouvoir, en cas d’attaque, mettre en relation les entités ciblées avec les bons prestataires pour apporter rapidement des solutions sur des problématiques qui sont spécifiques au domaine maritime.
Migration : de KeePass vers LockPass
3. Vous avez fait le choix de mettre en place notre gestionnaire de mots de passe LockPass.
Avant son déploiement, comment gériez-vous les mots de passe en interne ?
Avant le déploiement de LockPass nous étions sur KeePass (voire pour certains collaborateurs sur des fichiers Excel) et chaque service avait son propre fichier. Il n’y avait pas de centralisation.
Nos techniciens, chargés d’installer nos solutions sur les navires, utilisaient par exemple une base KeePass protégée par un simple mot de passe.
En prenant en compte le nombre d’équipements et de ressources par navire cela représentait une base de mots de passe conséquente. À tel point que nous avons constaté des dérives, telles que l’utilisation d’un même mot de passe pour des équipements identiques sur des navires différents.
Il nous fallait mettre en place un outil permettant de centraliser et de gérer finement les droits d’accès à chaque mot de passe.
Après avoir fait un benchmark des solutions existantes, nous avons shortlisté LockPass et Bitwarden. Le choix s’est porté sur LockPass du fait que la solution soit française et certifiée par l’ANSSI. À fonctionnalités équivalentes, cela a vraiment fait la différence.
Le fait d’avoir proposé l’outil LockPass nous a permis de réimplanter facilement et rapidement les bonnes pratiques en termes de gestion des différents accès : mots de passe uniques et robustes.
Nous avons fait le choix de prendre la solution LockSelf en On-premises pour pouvoir gérer nous-même la sécurité de nos données. C’est dans notre culture d’entreprise chez THALOS de privilégier l’hébergement en interne lorsque cela est possible.
Avec LockPass nous avons voulu fournir une solution fonctionnelle et unique pour gérer les mots de passe de l’entreprise.
C’est aussi moins pénible qu’un client lourd, en termes de gestion, d’administration et de mise à jour des postes utilisateurs, avec un réel danger au niveau de la sécurité en cas de vol d’une machine.
Aujourd’hui l’intégralité de nos collaborateurs utilisent LockPass au quotidien !
Faciliter l’intervention des équipes techniques en zone blanche via une automatisation KeePass <> LockPass
4. Vous avez fait le choix de prendre l'accès à l'API LockSelf. Pouvez-vous nous détailler vos cas d'usages ?
Nous avions une problématique propre à notre secteur, liée au fait que nos techniciens partent souvent à l’étranger parfois sans accès à Internet pendant plusieurs jours. Sur ces missions, ils ont besoin de pouvoir récupérer les bons accès aux outils, même hors ligne.
Dans 95% des cas, nos techniciens ont de la connectivité sur les navires sur lesquels ils partent en mission et utilisent l’application web de LockSelf. Dans moins de 5% des cas, ils ont la nécessité d’accéder à leurs mots de passe sans connexion. C’est un besoin limité mais auquel nous devions répondre avec notre outil de gestion des mots de passe.
Lorsque nos techniciens vont installer des switch, des modems, des firewalls etc… sur des bateaux, ils ont besoin d’avoir accès à ce qui a été défini au préalable comme étant les mots de passe de ces équipements. Mais sans connectivité à bord du bateau ils n’auront pas la possibilité d’accéder à LockSelf.
La vraie difficulté pour nos techniciens ce n’est pas tant d’accéder à leurs mots de passe en mer (puisqu’ils disposent d’une connexion internet et de dispositifs de communication), mais plutôt sur terre lors de la construction des navires sur les chantiers navals. Quand ils interviennent dans ce cadre, ils vont travailler sur des bateaux sur lesquels les communications satellites ne sont pas encore installées !
LockSelf répondait vraiment à tous nos besoins, nous avions simplement besoin de venir répondre à cette contrainte opérationnelle en attendant que la fonctionnalité soit développée en natif.
Aujourd’hui pour pallier à cela nous avons fait le choix de conserver KeePass comme outil de backup. Mais pour que ce palliatif fonctionne correctement il est nécessaire que la base KeePass soit systématiquement à jour.
Ainsi, nous avons fait le choix d’automatiser l’ensemble du processus grâce à l’API de LockSelf.
Tous les matins :
- Nous faisons un export de notre base LockSelf complète via l’API,
- Nous la déchiffrons par la suite avec le bon certificat
- Nous requêtons suite à cela uniquement la branche qui concerne le technicien qui doit partir en mission et qui a besoin de ses accès offline pendant celle-ci.
- Nous allons ensuite rendre cet export compatible au format KeePass
- Rechiffrer le CSV
- Et le déposer dans l’architecture NAS du technicien.
Le tout via un script automatisé.
Nos techniciens ont ainsi un export quotidien de leurs mots de passe à jour qui est fait. Cela permet à ceux qui doivent partir en déplacement de prendre le dernier fichier en date, de le décompresser en local sur leur machine et de l'intégrer à un KeePass.
Bien sûr, une fois qu’il n’a plus besoin de l’export et qu’ils reviennent de mission, les techniciens suppriment cette base KeePass.
C’est le processus que nous avons mis en place afin de permettre à nos techniciens d’accéder, le temps de leur mission offline, aux mots de passe strictement nécessaires à celle-ci.
Nous sommes également en train de mettre en place une solution de supervision unifiée avec différents outils que nous utilisons.
Notre objectif est de nous créer un tableau de bord multi-produits, nous permettant notamment de remonter les nombreuses données de notre outil de test de vulnérabilités Qualys, ainsi que celle de notre EDR, de notre anti-virus et évidemment de LockSelf.
Nous sommes ainsi en train de voir ce que les API de nos différents outils nous permettent de récupérer comme informations, de façon à centraliser certaines métriques. L’usage de l’API LockSelf va donc prendre tout son sens avec ce projet, en nous permettant notamment de remonter les logs et de créer des alertes.
Organisation générale et autres cas d'usages de l'API LockSelf
5. Comment êtes-vous organisé dans l'outil?
Nous avons opté pour une arborescence par métier (commerce, IT, technique etc…), avec des sous-arborescences par projet.
Si je prends par exemple l’équipe technique chez THALOS qui gère de nombreux navires, ils vont avoir une branche par armateur, par bateaux et des déclinaisons spécifiques pour chaque bateau.
Lorsque nous avons un nouveau navire qui rejoint notre base de données, nous utilisons également l’API pour dupliquer l’arborescence dans LockPass afin de gagner du temps et de ne pas recréer chaque catégorie à la main. Nous avons créé ce template d’arborescence à l’aide d’un script qui relie un outil que nous avons en interne avec LockSelf via l’API.
Nous utilisons également l’API pour inscrire automatiquement chaque nouveau navire sur notre solution anti-spams grâce aux noms de domaines que nous rentrons dans LockSelf.
_____
Merci Sylvain !
