La Mairie de Beauvais surveille les accès des administrateurs
Après avoir réalisé la refonte de son système d'information, Frédéric Dupuy, DSI de la mairie de Beauvais (60) voulait pouvoir auditer les actions des administrateurs de systèmes et de réseaux et concentrer les accès depuis un point unique pour un meilleur contrôle des connexions. L'objectif était de contrôler les accès des administrateurs vers plusieurs types d'équipements : serveurs d'applications métiers ; serveurs d'infrastructure (Active Directory, pare-feux, DNS) et équipements réseaux (commutateurs, routeurs). Ce contrôle d'accès concerne à la fois les prestataires et le personnel de la Mairie. La même solution devrait permettre aux administrateurs de se connecter depuis l'extérieur. Afin de maintenir la sécurité, plusieurs contraintes ont été imposées lors d'un appel d'offres lancé fin 2007 : - les opérations effectuées par l'administrateur doivent être tracées avec précision et aller au-delà des informations déjà contenues dans les « logs » de l'application ou du serveur, - il ne doit pas y avoir d'accès direct sur les serveurs, - un prestataire ne doit pouvoir accéder qu'à quelques applications et à elles-seules, - la connexion ne doit être possible que pendant une plage horaire précisée à l'avance, - la solution ne doit pas imposer l'installation de nouveaux logiciels sur les serveurs ni l'usage de logiciel spécifique. C'est la solution Wallix AdminBastion (WAB) qui a été retenue. Elle a été installée en DMZ. Il s'agit d'un proxy authentifiant. Le Wab s'insère entre l'utilisateur et l'équipement. Il n'y a pas de connexion en direct. Les habitudes des administrateurs n'ont pas été modifiées. Par exemple, pour l'administration des serveurs, ils utilisent les mêmes outils tels que le client RDP pour les serveurs Windows, ou PuTTY pour les serveurs Unix et Linux.
