Le SDIS 77 muscle la gestion des accès à privilège

Le service départemental d'incendie et de secours des Yvelines a mis en place la solution de PAM de l'éditeur français Rubycat. Avec l'objectif d'améliorer visibilité et facilité de gestion des accès.

A l’occasion du FIC à Lille en avril dernier, Stéphane Deplat, RSSI du SDIS (service départemental d’incendie et de secours) des Yvelines est revenu sur l’outillage en matière de gestion des accès à privilège. Ces derniers sont particulièrement recherchés par les attaquants pour obtenir des droits élevés dans les systèmes d’information. En préambule, le dirigeant précise le périmètre du SDIS 77. « Nous sommes un département qui est très grand avec beaucoup de 77 centres qui maillent le territoire pour 4 800 agents ». Sur la partie DSI, « nous sommes environ 35 personnes, 200 serveurs et 450 équipements réseau. Nous disposons d’un système d’information administratif, un outil très classique, mais aussi et surtout un SI opérationnel qui est dédié au secours », précise-t-il.

Le problème sur ce SI ? « Nous avions un manque de visibilité sur les actions des prestataires externes », explique Stéphane Deplat. Tout en constatant « chacun dispose d’un accès avec sa solution sans avoir nécessairement une bonne vue de ce qu’ils font. Certains ont des accès complets sur différents autres systèmes qui ne sont pas forcément en lien avec la prestation ». Il évoque par ailleurs « des actions qui durent 2 ou 3 jours sans avoir de visibilité sur ce qui est fait pendant cette durée ». Pour lui, « face à ces premières difficultés, nous avons estimé que nous avions besoin d’un bastion ».

Une solution certifiée par l’Anssi

Stéphane Deplat a mené une veille sur le marché du PAM (privileged access management) avec une liste de différents critères de sélection. « L’interopérabilité était importante, la solution devait vraiment communiquer avec l’ensemble des SI que les prestataires peuvent téléopérer », souligne-t-il. Les capacités de traçabilité et d’audit des logs, des incidents permettent d’avoir une vision globale et contrôlée des différentes actions. « De même, un aspect souvent sous-estimé est l’ergonomie pour l’utilisateur et les administrateurs », observe-t-il. En ajoutant que ce point répond à la question de « l’acceptation de l’usage par les prestataires et en interne ». Sur la fiabilité du bastion, « il est impératif d’avoir quelque chose de sécurisée et mise à jour régulièrement ». Enfin, le dirigeant était attentif « sur la réactivité du support technique »

Fort de ces différents critères, le RSSI a fait le choix de ProveIT de Rubycat, éditeur français basé à Rennes. « La solution répondait à plusieurs de nos besoins et nous apporte en plus un élément de souveraineté », poursuit Stéphane Deplat. Sur la partie interopérabilité, « elle prend en charge différents protocoles comme HTTPS, RDP et SSH ». Pour la sécurité, « le produit est certifié CSPN par l’Anssi qui est un gage de fiabilité avec des mises à jour très régulières, toutes les 8 semaines », ajoute-t-il. Le dirigeant a donc commencé par installer un PoC (proof of concept) en juin 2024 en mode pré-production. Pendant cette phase de test, le SDIS 77 a mis en place l’enrôlement des prestataires avec une double authentification via passkey. Le déploiement effectif s’est déroulé à la fin 2024 et début 2025.

Extension du bastion aux administrateurs internes

Les bénéfices sont multiples avoue le RSSI. En premier lieu, il souligne « la facilité de prise en main du produit ». Et de raconter une anecdote, « nous avions un administrateur systèmes qui venait d’une autre administration qui utilisait un autre bastion. Il craignait de changer ses habitudes et finalement la bascule d’un bastion à l’autre s’est déroulée sans difficultés ». Il salue par ailleurs, « les évolutions régulières du produit sans surcoût caché et une licence perpétuelle à la session simultanée qui nous convient bien ».

Si la partie prestataires externes a été réglée, l’équipe de Stéphane Deplat a ouvert un autre chantier avec Rubycat : l’extension du bastion aux administrateurs internes. « Ils ont leurs habitudes avec leurs outils et cela peut engendrer des risques », note le dirigeant. Il mène donc un travail pour changer ses habitudes, « maintenant pour travailler sur les serveurs, il faudra qu’ils passent par le bastion comme les prestataires ». Le sujet est moins technique que de gestion au changement, avoue le RSSI. L’accompagnement se déroule par étapes « en ciblant tout d’abord l’AD (active directory) où tous les accès aux contrôleurs de domaine doivent passer par le bastion ». Il mène des ateliers dans ce sens, et « avec la traçabilité du bastion, je sais si ce que je recommande est utilisé », conclut avec malice Stéphane Deplat.