Avec plus de 110 ans d'existence en France,  Swiss Life, 3,8 Md€ de chiffre d'affaires en 2013, est un des acteurs majeurs sur les marchés de l'assurance patrimoniale en vie et retraite et de l'assurance santé et prévoyance. Pour faire tourner son système d'information, le groupe s'appuie une DSI composée de 300 personnes dont 200 en interne. Entièrement virtualisée, son infrastructure repose sur un millier de serveurs. Dans le cadre d'une refonte de ses systèmes de sécurité, la DSI a notamment lancé en 2012 une audit sur la gestion des comptes à privilège. 

« Nous avons interviewé la plupart de nos administrateurs. Nous avons eu des sueurs froides », se rappelle Julien Soleil, responsable de la sécurité opérationnelle de Swisslife qui intervenait le 3 octobre 2014 dans le cadre des Assises de la Sécurité. La plupart des mots de passe n'étaient quasiment jamais changés et quand c'était le cas, il arrivait qu'il soit noté sur des post-it laissés à la vue de tous. « En outre, une étude du système a révélé l'existence de comptes dont personne ne connaissait l'origine ou la fonction », ajoute Julien Soleil.

En outre, le retour des logs ne permettait pas d'identifier clairement quel administrateur s'était connecté. Jérome Blanche-Barbat, administrateur sécurité opérationnelle se rappelle : « Les flux firewall ressemblaient de surcroît à une véritable pelote de laine ce qui rendait difficile la gestion des changements de sites ou d'utilisateurs sur les différents postes ». Une refonte du système était donc nécessaire d'autant plus que de nouvelles normes internationales et européennes entraient en vigueur. Le projet devait en outre permettre de mieux contrôler les prestataires et de mieux maîtriser les risques de fraudes.  

Une porte d'entrée unique pour les administrateurs

Pour mettre en place une meilleure gestion des comptes à privilège associée à une forte politique de mots de passe, Swisslife s'est alors tourné vers Wallix. La firme a fourni à l'assureur deux appliances virtualisées AdminBastion pour gérer les accès à son SI. « Nous avons d'abord lancé une analyse pour identifier les différentes populations qui avaient accès au SI et paramétrer les appliances en fonction des résultats de cette dernière », explique Jérome Blanche-Barbat. En tout, 36 groupes ont été identifiés sur les 125 personnes touchées par le projet initial. De son côté, Julien Soleil ajoute qu'il a également fallu mener une campagne d'évangélisation en interne pour faire comprendre que cette solution allait simplifier la vie des utilisateurs.

Le déploiement de la solution s'est fait plutôt rapidement même s'il a fallu décomissionner les règles Firewall vers les serveurs DMZ, les premiers ciblés par ce projet. En outre, les appliances virtuelles de Wallix ont également été interfacées avec les systèmes de secours pour basculer dessus en cas de problème. 

« Les appliances AdminBastion font maintenant le lien entre les utilisateurs et le reste du SI », décrit Jérome Blanche-Barbat. Il est maintenant possible de contrôler strictement qui a accès à quelle partie. En outre, Swisslife est maintenant capable de limiter les temps d'intervention des prestataires externes en cas de besoin. « Nous avons responsabilisé ces derniers. Ils savent maintenant qu'ils sont tracés et que leurs interventions sont filmées », ajoute Jérome Blanche-Barbat. N'importe quelle intervention sur une application critique est d'ailleurs filmée.