Retour au blog

Sécuriser l'envoi de fichiers sensibles vers nos parties prenantes - SDIS38

Témoignages clients • 08 août 2023

Le secteur public tend à renforcer la sécurité de ses échanges informatiques dans une démarche de protection de l'ensemble de la chaîne de valeur.

 

C'est pourquoi le service départemental d'incendie et de secours de l'Isère a fait le choix de LockPass et LockTransfer pour assurer la sécurité de leurs mots de passe et des envois de fichiers vers leurs parties prenantes.

Entretien et retour d’expérience avec Maxime Welmant, Ingénieur système infrastructure du SDIS38 👇

Découvrez LockPass et LockTransfer de LockSelf à travers

Le retour d'expérience du SDIS38

Entretien avec Maxime Welmant, Ingénieur système infrastructure du SDIS38.
Bonjour Maxime, pouvez-vous dans un premier temps nous présenter le SDIS38 ainsi que votre poste.

SDIS signifie “Service Départemental d’Incendie et de Secours”. Cette structure regroupe les sapeurs-pompiers au sein d’un département.

 

Les SDIS sont répartis en trois catégories (A, B, C), en fonction du nombre d’habitants peuplant le département. Le SDIS38 est un SDIS de catégorie A. Nous avons 112 casernes réparties sur le territoire et réalisons un peu plus de 80 000 interventions par an.

 

Nous intervenons pour :  

  • Prévenir et évaluer les risques de sécurité civile,
  • Préparer des mesures de sauvegarde,
  • Organiser des moyens de secours,
  • Protéger des personnes, des biens et l’environnement,
  • Porter secours et évacuer si besoin les victimes d’accidents ou de catastrophes.

 

Le SDIS de l’Isère compte près de 1 000 sapeurs-pompiers professionnels et plus de 4 000 sapeurs-pompiers volontaires.
Dans la grande majorité des SDIS, les pompiers volontaires représentent 80% des effectifs. 

 

Nous sommes également 280 PATS (Personnels Administratifs, Techniques et Spécialisés). Cela correspond aux services ressources (RH, Finance, gestion des équipements (camions), informatique, etc...). 

 

En termes d’organisation, un SDIS est placé sous la double autorité :

  • Du préfet pour la gestion opérationnelle
  • Du président de son conseil d’administration pour la gestion administrative et financière. 

 

J’ai, de mon côté, rejoint le SDIS38, il y a deux ans en tant qu’ingénieur infrastructure, aussi chargé de la sécurité au sein du groupement des systèmes d’information.

 

Mon équipe est rattachée à la division des moyens techniques. Nous sommes aujourd’hui une quinzaine de personnes au sein du groupement, répartis en 3 services :  

  • Le service infrastructures, composé de quatre personnes,
  • Le service support utilisateurs, composé de quatre personnes également,
  • Et le service projets applicatifs, composé de sept personnes.
À titre personnel, comment vous positionnez-vous par rapport aux problématiques cyber ? Quelles sont les “bonnes pratiques” qui vous semblent essentielles pour protéger les données du SDIS38 ?

Je suis pour ma part assez sensible aux problématiques cyber. La protection des données passe avant tout par :  

  • Une phase primordiale de sensibilisation des utilisateurs (ne pas envoyer de pièce jointe par mail, ne pas stocker ses mots de passe sur son navigateur, etc.…), 
  • Puis une réduction de la surface d’attaque (politique de mots de passe, réduction des privilèges, etc.)
  • Et enfin garantir la disponibilité de notre système d’information. 

 

 

À ce titre, nous menons depuis deux ans un gros travail sur la sécurisation de l’ensemble de l'infrastructure (comptes, serveurs, applications…). 

 

Il y a également un travail de sensibilisation et de prévention qui a été mené par la DGSCGC (Direction générale de la sécurité civile et de la gestion des crises) auprès des SDIS au niveau national. Nous avons notamment la chance de pouvoir bénéficier de 2 outils mis à disposition par l’ANSSI : 

  • Un audit de notre Active Directory 
  • Et un audit de notre surface d’exposition à Internet. 

Le travail de promotion de ces outils auprès des SDIS et les cyberattaques ayant touché le secteur ont fait prendre conscience aux chefs de groupements des SI de l’importance de mener des actions de sécurisation de leurs systèmes d’information. 

 

Côté bonnes pratiques mises en place, nous avons commencé il y a deux ans, par un gros projet de migration global de notre infrastructure avec une sécurisation de nos systèmes d’exploitation. Nous avons profité de ce projet pour mettre en place un cloisonnement des accès au sein du SDIS. Cette mise en place d’une politique du moindre privilège a été appliquée à chaque service.

 

Nous avons aussi revu notre politique de mots de passe, tant sur la robustesse de ceux-ci que sur les accès en lecture et modification grâce à LockPass. 

À quelles problématiques étiez-vous confrontés ? À quels enjeux répondent LockPass et LockTransfer ?

La première problématique identifiée était la gestion des transferts de fichiers depuis le SDIS vers nos parties prenantes.

 

Dans le cadre d’enquêtes des services de l’État, nous devons fournir les enregistrements des appels reçus. Ceux-ci étaient auparavant envoyés via des supports physiques gravés, nécessitant le déplacement d’une personne pour pouvoir le récupérer.

 

Cette méthode étant contraignante et par l’absence de solution proposée par le service informatique, le service juridique commençait à envoyer ces données sensibles via des fichiers ZIP protégés par un mot de passe et envoyés par mail ou SharePoint (Shadow IT).

 

Nous avons ainsi souhaité trouver une solution permettant d’envoyer simplement et de façon sécurisée ces fichiers.

 

 

Je connaissais pour ma part déjà LockSelf par ma précédente expérience professionnelle dans laquelle nous utilisions également la solution. J’ai ainsi proposé de tester votre module LockTransfer qui pouvait répondre à notre besoin de modernisation des envois de fichiers sensibles. Nous avons dans le même temps fait le choix de mettre en place LockPass pour apporter de la traçabilité et venir renforcer la gestion des droits d’accès sur nos secrets. 

 

Pour la partie gestion des mots de passe, nous utilisions auparavant une solution open source, assez vieillissante (TeamPass), hébergée en On-premise. La gestion des droits dans l’outil était assez chaotique. 

 

L’un des points décisifs pour nous lors du choix de la solution était la possibilité d’héberger celle-ci en externe, chez un acteur français, si possible certifié par l’ANSSI et dans un cloud souverain.

 

 

Cette volonté d’héberger la solution en externe est issue d’une vraie réflexion stratégique. 

 

Nous avions, avec l’ancien outil utilisé, identifié la faiblesse de l’hébergement On-premise pour nous sur ce type de solution. En effet, si notre data center venait à tomber, nos mots de passe auraient été perdus. Nous étions ainsi dépendants du réseau du SDIS. C’est ce besoin de haute disponibilité (mots de passe accessibles n’importe où, à n’importe quel moment, pour pouvoir rebondir également en cas d’attaque et conserver nos accès en mobilité) qui nous a conduits à opter pour une solution hébergée en cloud privé.

 

Cette option d'hébergement sur le cloud nous permettait également un maintien de l'infrastructure externalisée libérant les équipes IT pour d'autres sujets.

Qui utilise la solution au sein de votre organisation ?

La solution LockTransfer est aujourd’hui dédiée au service juridique chez nous (5 personnes).

 

Nous réfléchissons actuellement à démocratiser l’outil pour l’envoi de fichiers sensibles en interne et en externe au niveau du directeur, des chefs de groupements et de divisions. C’est un véritable gage de sécurité et de qualité aussi bien pour nous que pour nos destinataires. En utilisant LockTransfer, nous sommes sûrs que la donnée sensible envoyée est protégée de bout en bout.

 

 

Au niveau de la solution LockPass, celle-ci a été déployée à l'intégralité du groupement des systèmes d’information (15 personnes) dans un premier temps. Nous avons ajouté de nouvelles licences depuis 1 mois permettant de migrer l’ensemble des utilisateurs de l’ancien outil (15 personnes supplémentaires).

 

Demain, nous agrandirons petit à petit le périmètre, en commençant par les personnes les plus à risques (directeur, chefs de groupements, de divisions, etc.).

Pourquoi le choix de LockSelf ? Quels sont, selon vous, ses avantages ?

Nous avons choisi la suite Lockself pour les raisons suivantes :  

  • Une suite de solutions 100% française,
  • Proposant un hébergement via un cloud certifié SecNumCloud
  • Permettant une gestion fine des droits
  • Une traçabilité sur l’usage des identifiants et mots de passe génériques, permettant de savoir qui s’est connecté à quel moment.
  • Une fonctionnalité permettant de cacher les mots de passe, pour une utilisation sécurisée des accès par un prestataire externe par exemple,
  • Certifiée par l’ANSSI
  • Et d’une grande facilité d’utilisation et de prise en main

 

 

Avant LockPass il nous fallait six clics pour accéder à un page web, désormais avec le plug-in navigateur et l'auto-complétion en seulement deux clics, nous accédons à nos applications, c'est aussi un véritable gain de temps.

 

Merci Maxime !

_____

Rejoignez nos 1 600+ clients !

 

Vous travailliez dans le secteur public ? Plus d'informations et de cas d'usages ici.

Livre blanc

DSI du secteur public : Comment mieux sécuriser ses mots de passe ?


Retour d’expérience de 3 établissements publics.