Blog - Lockself

Coffre-fort de mots de passe externalisé : un choix stratégique

Rédigé par LockSelf | 09 mai 2023

Entretien et retour d'expérience avec Vincent Dupont, RSSI / CISO du groupe Armatis, spécialiste de la relation client !

Découvrez pourquoi Vincent a choisi
LockPass pour sécuriser la gestion des mots de passe au sein de son organisation 👇

1. Bonjour Vincent, pouvez-vous nous présenter Armatis et votre poste au sein de la société ?


Créé il y a 34 ans, Armatis est un spécialiste de la Relation Client, dans l’écosystème Service provider des centres de contact.

Nous mettons à disposition de toutes les grandes marques : des plateaux de production, des chargés de clientèle, des postes de travail, des salles techniques, des logiciels, des dispositifs de back-office etc… pour traiter tout ce qui touche au service client.


Aujourd’hui les 200 plus grandes marques françaises font appel à nos services pour la gestion de leur relation client.

 

Chaque client étant différent, toutes les formules sont possibles. Parfois certains clients n’ont besoin que d’open space de production et d’humains, on va dans ce cas simplement venir s’interconnecter avec leurs logiciels ou leurs systèmes d’information. Parfois nous fournissons les différentes solutions digitales nécessaires à la prestation.

Nous accompagnons des clients de toute taille, avec des besoins pouvant aller de la mise à disposition de 2 personnes à 1 500 personnes pour la gestion de leur service client. Les contrats mis en place peuvent également aller de 3 mois à plus de 10 ans en fonction de leur besoin et de leur fidélité.

 

Les centres de relation client du secteur fonctionnent par pôle géographique / par langue, étant donné que nous regroupons des personnes au contact des clients que ce soit par mail, téléphone ou chat.

Chez Armatis nous travaillons pour le marché français (French Speaking Market) et à l'international avec nos filiales en Europe de l’Est, en Tunisie ou au Portugal, nous comptons 10 000 employés.

 

Parmi nos clients on peut citer de nombreux partenariats avec le CAC 40 ou des services publics nationaux. Nous couvrons tous les secteurs (énergie, industrie, luxe, santé…). Bien souvent, nos clients disposent de centres relations clients en interne, mais pour un besoin de flexibilité plus grand ou par nécessité d’avoir un spécialiste précis sur une thématique, ils font appel à des sociétés comme Armatis.

 

On peut aussi bien gérer des données dans un SI ou des fichiers que les clients nous confient temporairement pour que l’on puisse les exploiter ou les enrichir dans le cadre de leurs relations commerciales ou en prospection, ou bien on peut avoir un accès direct à leurs systèmes d'information. Nous avons de nombreuses données qui transitent soit par des flux à plat, SFTP, soit par des API, ou par des systèmes d’interconnexion plus complexes. 

 

Au quotidien, nous travaillons aussi bien en entrant, qu’en sortant, en mail ou bien en chat, et nous accédons nécessairement à de la donnée client depuis nos systèmes. Le cœur de notre métier consiste donc à manipuler de la donnée, à l’exploiter pour le compte de ces clients et bien sûr à les sécuriser. Nous avons inévitablement des risques inhérents à la quantité de données que nous gérons.

Je suis pour ma part RSSI chez Armatis.

 

J’ai pris ce poste il y a 3 ans, je dépends directement de la direction générale et cette indépendance me permet de remonter et d’adresser des sujets directement liés à la sécurité du SI aux directeurs exécutifs, lors d’un comité de sécurité par exemple.

 

J’ai construit une équipe autour de 4 profils complémentaires : 

  • Un risque manager, qui s’occupe d’aborder toute la partie sécurité par les risques, internes ou fournisseurs, et qui s’occupe également des aspects sécurités en avant-vente.

  • Un chef de projet Cyber technique, qui va pouvoir piloter des projets sécurités applicatifs ou sur des écosystèmes de défense complexes avec la DSI.

  • Un chef de projet Cyber opérationnel qui va pouvoir travailler avec l’ensemble des entités de l’entreprise pour organiser le quotidien de la sécurité, d’un point de vue opérationnel, sur les unités de production, dans le cadre de certification de management de la sécurité, comme l’ISO 27001.

  • Un chef de projet Cyber orienté Tests et Vulnérabilités, qui va utiliser des outils de sécurité, tels que des scanners, des logiciels de pentest etc… pour faire de la remédiation de l'hygiène de systèmes informatiques suite aux audits que l’on peut mener.



Comme nous disposons d’un grand portefeuille clients, nous sommes également amenés à avoir de nombreux audits externes, lissés sur l’année, c’est environ un audit par semaine, réalisé par nos clients ou des sociétés de Cybersécurité, l’ensemble de l’équipe est alors utilisée, selon le contexte de l’audit.

 

2. Est-ce que contractuellement, vous notez une exigence accrue de vos clients en ce qui concerne la sécurité des données gérées ?

 

C’est une courbe croissante, causée par des impulsions conjoncturelles comme la guerre en Ukraine mais aussi structurelles comme les arrivées du RGPD et du NIS2 aujourd’hui où Armatis est directement concerné.

 

De ce fait, certains clients vont nous imposer des exigences de sécurité au niveau du cloisonnement physique de la donnée ou des PAS (Plan d’Assurance Sécurité) qui sont des exigences plutôt liées à des référentiels (PCI DSS pour la partie bancaire, ISO 27001 pour le management de la sécurité du système d’information). Les clients vont finalement impulser les demandes de certification, et de notre côté nous avons dû systématiser la contractualisation d’un PAS avec l’ensemble de nos clients.

Nous avions 20% de clients avec un PAS il y a 3 ans, nous sommes aujourd’hui à plus de 50%. Dans tous les cas, la règle est désormais de fournir une PSSI (Politique de sécurité des systèmes d’information), mais également des PAS fournisseurs en cas de sous-traitances, au-delà d’une politique de sécurité, ces annexes au contrat donnent aussi des engagements de contrôle (c’est-à-dire qu’ils peuvent venir nous auditer) et encadrent la localisation et la sécurisation de la donnée dans leur contexte de prestation.

 

Ces dispositifs réglementaires sont également impulsés par l’État (ANSSI, CNIL) et l’Europe (ENSIA).

 

3. Sur la partie sécurisation des données, concrètement par quoi cela passe-t-il chez vous ? 


La première étape c’est de cloisonner en fonction de l’analyse de risque
, surtout quand on a plusieurs clients. Si la donnée n’a pas de justification d’être exposée en dehors de l’endroit où on l’exploite, on la cloisonne dans des réseaux, des équipements, des écosystèmes etc…

On va aussi privilégier des solutions "On-Premises" en intranet plutôt que des solutions intranets ou extranets. On peut également utiliser des écosystèmes applicatifs en Nuage privés ou même des infrastructures hardwares privatisées. En fonction de ce que va demander le client, du risque et du budget qu’il peut allouer, on va lui dédier un environnement cohérent. Donc même sur la partie sécurité on va être en mesure de proposer une offre adaptée à chaque client.

 

La deuxième étape c’est l’exposition et la segmentation logique (accès au moindre privilège).

 

Ensuite on va se baser vraiment sur toutes les problématiques classiques du type : systèmes de défense adaptés, surveillance de la donnée, sensibilisation des collaborateurs, micro-cartographie des risques …  jusqu’aux processus métiers etc.


Il y a vraiment beaucoup de mesures de sécurité que l’on se doit de prévoir.

 

4. Avant le déploiement de LockPass, comment gérez-vous les mots de passe en interne ?


On avait déjà une bonne hygiène IT en place.
Avant LockPass, nous avions un logiciel On-Premises, c’est-à-dire stocké en interne dans notre infrastructure et managé par la DSI.

La migration vers LockPass résulte d’abord d’une volonté d’externalisation qui peut certes apporter d’autres risques mais qui permet aussi de nous prémunir en cas de malveillance interne. Le fait de pouvoir externaliser sur un cloud privé a donc été un vrai plus dans notre stratégie de sécurité.

Ensuite, votre certification ANSSI et le haut niveau de chiffrement associé représentent clairement un atout sécurité mais aussi commercial auprès de nos clients. 

Le cloud privé nous permet aussi d’assurer que l’adresse IP utilisée sur le site de LockSelf pour le domaine d’Armatis n’est pas tracée ou revendue. C’est d’ailleurs un des 1ers tests que j’ai fait, segmentation IP et étanchéité.

Deux autres points : 

  • L’ancien outil en place n’était pas pratique au quotidien, interface trop lourde, gestion des droits trop complexes

  • Le modèle de licencing était trop compliqué contrairement à celui de LockSelf qui nous a offert beaucoup plus de visibilité d’un point de vue économique.

5. Qui utilise la solution au sein de votre organisation ? Et comment l’avez-vous structurée ?

Aujourd’hui LockPass est utilisé par la DSI, l’équipe sécurité et les fonctions achats IT. C’est-à-dire tout ce qui est critique en termes d’accès à privilège de l’entreprise. Cela représente 115 personnes chez nous environ.

Nous avons cloisonné les accès par direction technique  (infrastructure, applicative, achats, sécurité, digitale) puis par catégorie au sein de ces directions et ensuite par équipe. Ces catégories se divisent parfois par client lorsque l’on a vraiment un besoin de gestion au moindre accès avec des comptes de services qui vont lui être dédiés par exemple.

Seules les personnes qui en ont vraiment l’utilité doivent accéder aux mots de passe. On fonctionne avec un cloisonnement au moindre accès et non pas par praticité. 

Au niveau des utilisateurs, nous avons donné de l’autonomie aux managers qui ont la main sur leur propre arborescence et peuvent créer des catégories et des sous-catégories. Certains profils ont quant à eux des accès uniquement en lecture pour aller consulter de la donnée, ce qui constitue déjà un accès à privilège mais limite le risque de par ce cloisonnement qui est fait entre les différents rôles de chacun.

Nous avons aussi fait le choix de l’option SSO pour pouvoir interconnecter LockSelf directement avec notre annuaire d’entreprise. Nous avons cependant fait le choix de gérer l’onboarding et l’offboarding de nos collaborateurs de façon manuelle pour ne pas que cela puisse représenter une surface d’attaque. Le management de l’outil LockSelf est géré par moi-même ou mon équipe.

Ainsi, quelqu’un qui rentre à la DSI d’Armatis va suivre un processus d’arrivée et d’attribution des droits avec une fiche d’habilitation pour être justement au moindre accès et limiter par écosystème et par périmètre l’accès aux données. Cela permet, dès son arrivée, que le nouveau collaborateur ait accès aux bonnes données. S’il change de poste dans l’entreprise nous déplacerons ses droits, et s’il quitte l’entreprise nous désactivons ses droits. Avec 115 personnes dans l'outil, cela se gère très bien manuellement.

L’avantage que nous offre le SSO c’est un filtrage sur notre domaine et également qu’en cas de départ, l’accès à LockSelf sera nécessairement bloqué, la 1ère étape de l’authentification étant obsolète car la personne n’ayant plus d’accès à notre annuaire d’entreprise. 

Nous avons également mis une surcouche de sécurité à deux facteurs d’authentification, ce qui donne donc 3 étapes pour se connecter à LockSelf : Le connexion via l’annuaire d’entreprise, une double authentification MFA (clé/pin ou token personnel), et le code pin personnel LockSelf.

Merci Vincent !