Projets

Alstom Transport consolide ses systèmes de sécurité

Le groupe Alstom, 65 000 salariés, met en oeuvre une solution globale de sécurité autour d'un badge unique servant autant à l'accès au SI qu'à celui aux locaux ou à la gestion des temps. En commençant par les 26 000 salariés d'Alstom Transport.

PublicitéTout a commencé au sein de Alstom Transport en novembre 2005. La filiale du groupe Alstom voulait en effet accroître sa sécurité dans le cadre d'un plan à trois ans. La démarche a séduit au niveau groupe et le plan est devenu une stratégie commune à toutes les entités d'Alstom, selon le principe « une politique de sécurité efficace ne peut se comprendre qu'au niveau groupe ». Si Alstom Transport est resté pilote, la gestion du projet est passée entre les mains de Alstom ITC, une filiale dédiée aux services partagés du groupe en matière de TIC. « Le problème initial à résoudre en priorité était de donner à chaque utilisateur, notamment dans les travailleurs mobiles, la possibilité de sécuriser ses informations » se souvient Raphaël Viard, RSSI d'Alstom ITC. En effet, « chacun était prévenu qu'il était responsable de ses données mais n'avait aucun moyen fourni pour respecter cette obligation. De plus, même au niveau de l'existant, comme l'accès VPN des travailleurs mobiles ou à domicile, la solution installée était lourde à installer, complexe et peu efficace. Créer un système global unique s'est imposé assez vite car, à chaque brique de sécurité que nous voulions mettre en place, il nous fallait un certificat électronique. Enfin, chez Alstom Transport, la solution de gestion des temps était obsolète et devait être changée. Le projet a donc été greffé à l'ensemble. » Un badge unique multifonction Alstom a donc mis en place un badge unique multifonction pouvant couvrir l'accès aux locaux, la gestion des temps (en lien avec les progiciels de GRH), l'accès Wi-Fi, l'accès distant au SI via un VPN, le chiffrement des fichiers et des mails sortants, l'accès SSO au SI, l'accès aux cantines... Techniquement, le badge est bi-technologie et comporte une face imprimée personnalisée (avec photo), un identifiant RFID (pour le contrôle d'accès...) et une puce comportant des certificats électroniques. Les personnels, sur les sites industriels notamment, n'ayant que des besoins liés à la RFID (contrôle d'accès, gestion des temps...) reçoivent un badge moins coûteux sans puce avec certificats électroniques mais d'apparence similaire. La commande du système a été signée le 31 mars 2007, la clé maître de l'autorité de certification interne à Alstom a été créée mi-mai et dès le 11 juin 2007 les 1000 premiers badges étaient déployés sur le site d'Alstom Transport de Saint Ouen pour le seul contrôle d'accès. « Les 8, 9 et 10 juin, nous avons changé les contrôles d'accès au site et le 11 juin à 7 heures, nous avons commencé la distribution des nouveaux badges à l'entrée du site, ce qui a été terminé dans la matinée » se souvient Raphaël Viard. Un annuaire LDAP unique Techniquement, le système se compose d'une part d'une infrastructure de PKI fournie par OpenTrust (ex-IdealX) et d'un annuaire LDAP de Sun. Ce dernier est une réplication de l'annuaire de messagerie et d'application collaborative Domino Directory (d'IBM), qui ne pouvait pas être accessible en écriture par des applications tierces, avec des infromations spécifiques. L'annuaire LDAP comporte les couples identifiants/mots de passe du SSO, les identifiants RFID et charge dans la base d'OpenTrust les clés publiques de chiffrement. Chaque application (par exemple : le contrôle d'accès) réplique elle-même l'annuaire LDAP dans sa base interne avec les informations dont elle a besoin. Cela sécurise l'ensemble (un plantage d'une application ou d'un accès réseau n'aurait pas d'impacts trop vastes) et allège le trafic réseau. L'autorité de certification sous OpenTrust génère trois certificats de signature électronique qui sont stockés sur les cartes à puce individuelles : un pour le chiffrement des données (mis sous séquestre et récupérable en cas de perte de la carte), un pour la signature électronique des messages et un autre pour l'authentification SSO (accès au VPN, au réseau Wi-Fi des sites, aux applications, etc.). Les deux derniers certificats sont détruits à leur échéance (révocation suite à une perte de carte, sortie de l'effectif...). La clé publique de chiffrement de chacun, présente dans l'annuaire LDAP, peut être récupérée par n'importe quel salarié ayant un message chiffré à faire parvenir à un autre salarié du groupe. Les postes de travail sont équipés du logiciel Zone Centrale pour effectuer le cryptage. Une montée en puissance progressive pour un coût raisonnable En considérant un amortissement des investissements sur trois ans, équiper les 65 000 utilisateurs du groupe Alstom coûte environ 13 euros/utilisateur.an. « Nous n'avons employé aucun consultant externe et tout le projet a été géré par une équipe interne de trois personnes d'Alstom ITC et deux d'Alstom Transport, auxquels se sont ajoutés des interventions ponctuelles de responsables métiers » précise Raphaël Viard. Pour respecter des délais courts et s'assurer de la bonne mise en route du projet, tout a été conçu de telles sortes à ne changer aucune procédure. Raphaël Viard insiste : « le seul changement, c'est le badge unique. Nous n'avons pas mis en place de programme de identity management avec des intégrations de tous les logiciels exploitant les identifiants stockés dans la carte. Ce qui était intégré l'est resté, ce qui ne l'était pas ne l'a pas été. » Toujours pour garantir la bonne fin du projet dans des délais courts, le déploiement se fait progressivement. A ce jour, le projet est déployé pour l'accès aux locaux et aux réseaux (Wi-Fi, VPN) ainsi que pour le chiffrement, la signature et l'authentification. Par contre, la SSO applicative reste à déployer fin janvier 2008 et prévoira la déconnexion du PC lorsque la carte sera retirée du lecteur. De plus les nouvelles cartes sont diffusées soit par site complet (comme Alstom Transport Saint Ouen) soit par population type (par exemple les travailleurs mobiles). « Cette flexibilité est la beauté de la solution : si un utilisateur mobile a déjà son badge unique en tant que tel, et que son site de travail est déployé ultérieurement, il garde son badge sans changement » se réjouit Raphaël Viard. A ce jour, 5000 badges ont été distribués dans 40 pays, soit 10% de la cible. 200 sont maintenant fabriqués par jour. Les 10 000 travailleurs mobiles seront tous équipés en mars 2008.