Gouvernance
Alstom sécurise l’accès à son SI avec Zscaler
Par Pierre Berlemont, publié le 17 octobre 2022
Le constructeur ferroviaire Alstom, ancien concurrent de Bombardier Transport qu’il a racheté, a mis en place une solution de sécurisation Zero Trust flexible et adaptée à ses applications cloud en s’appuyant sur des solutions sans VPN de Zscaler.
La nouvelle approche de la cybersécurité a été mise en place chez Alstom depuis quatre ans. Cette stratégie de protection des moyens informatiques et de production du groupe reposait sur ce simple constat : l’identification des utilisateurs s’était avérée une des problématiques majeures pour l’entreprise en 2018, lors de la séparation d’Alstom et de General Electric. « Nous avons alors souhaité adresser ce sujet globalement, en partant d’une analyse de risques, qui a mis en avant des enjeux importants pour le groupe en termes de protection de l’information, d’intégrité du système d’information, mais également de capacité pour notre entreprise à remplir les engagements signés avec nos clients », résume François Bidondo, directeur cybersécurité IS&T chez Alstom.
Autrement dit, il fallait disposer d’un SI mieux sécurisé pour pouvoir livrer en temps et en heure les rames de trains dont Alstom s’est fait la spécialité.
Le département cybersécurité a donc été créé en 2018 autour d’une dizaine de salariés, avant de grandir rapidement. « Aujourd’hui, nous sommes près de 80 personnes en interne », calcule François Bidondo.
À LIRE AUSSI :
Le modèle de cybersécurité choisi, à la pointe actuelle de la modernité, est celui du Zero Trust. Il repose sur trois piliers : un premier autour de la gestion d’identité ‒ des collaborateurs mais aussi des machines ; un second autour de la gestion du risque, avec une contextualisation permanente de la réponse face au risque ; et un troisième qui garantit que les protections et les moyens mis en œuvre pour assurer la cybersécurité sont au plus proche des applications, et non au niveau de l’infrastructure.
Le Zero Trust retenu dès 2018
C’est aussi en 2018 qu’Alstom bascule sur une approche orientée cloud, afin de garantir le même niveau de sécurité, que l’utilisateur soit sur le réseau interne de l’entreprise ou non, et quel que soit son matériel. Ce choix s’est révélé par ailleurs payant lors de la période de Covid.
Pour supporter sa stratégie Zero Trust, Alstom s’oriente vers la solution de Zscaler. « Ce choix a été fait sur appel d’offres en 2018 pour la partie accès internet. Nous voulions une solution qui répondait à nos exigences, à savoir la possibilité de déploiement d’une politique de sécurité à jour globale et transparente, quelle que soit la localisation des collaborateurs dans le monde. Elle devait aussi pouvoir monter à l’échelle en termes de bande passante », explique François Bidondo.
François Bidondo
directeur cybersécurité chez Alstom
« Notre département cybersécurité a grandi rapidement. Nous sommes aujourd’hui 80 personnes »
La mise en place de Zscaler s’est opérée en deux phases:
– La première a duré trois mois en 2018 et a concerné l’accès à internet et aux services cloud, avec l’outil Zscaler Internet Access pour couvrir l’ensemble du groupe.
– La deuxième phase prévoyait le remplacement des VPN, c’est-à-dire l’accès aux ressources hébergées en interne. Elle vient juste de s’achever, après une phase pilote de deux mois avec Zscaler Private Access.
Le SI d’Alstom fonctionnant essentiellement sur le cloud, il était important d’offrir ce type de connectivité internet pour autoriser les collaborateurs à travailler à distance au travers de plateformes comme Microsoft Office 365, en bénéficiant de la couche de protection de Zscaler Internet Access et sans avoir besoin de leur monter un VPN. « Ils accèdent ainsi directement à leurs ressources dans le cloud, sans repasser par le réseau de l’entreprise », explique François Bidondo.
La fin programmée des VPN
Alstom bénéficie notamment de solutions de proxy toujours à l’état de l’art, sachant que Zscaler, de par sa présence internationale, fournit des mises à jour en quasi- temps réel. C’était d’ailleurs l’un des critères définis lors du RFP (Request for proposal), ainsi qu’une présence géographique via les sites mondiaux du fournisseur (avec les adresses IP locales associées exigées par certains gouvernements) au travers de datacenters pour adresser plus de 70 pays dans lesquels Alstom est actif.
Par ailleurs, se passer de clients VPN offre plusieurs avantages, en termes de facilité d’utilisation et de sécurité. Simplicité puisqu’il n’y a pas d’action à faire côté utilisateur : avec Private Access, l’expérience est transparente, il lui suffit de cliquer sur l’application en se connectant sur le portail dédié et la connectivité se met en place. Sécurité puisqu’un VPN crée une connectivité réseau, ce qui implique d’ouvrir le réseau d’entreprise à une personne à l’extérieur : la machine connectée peut alors accéder à l’ensemble des ressources publiées sur ce VPN.
À LIRE AUSSI :
C’est tout l’avantage de l’approche Zero Trust que de permettre d’ouvrir des flux point à point entre l’utilisateur et l’application, et non pas entre des réseaux. Ces flux ne sont ouverts que le temps nécessaire à l’exécution de l’activité. De plus, la couche de connectivité entre l’application et l’utilisateur embarque des fonctions de sandbox, d’antivirus, d’antimalware, de filtrage, ce que ne fait pas un VPN.
Cet argument a convaincu Alstom de choisir Zscaler. Et si aujourd’hui la solution Private Access ne concerne que les collaborateurs internes, l’entreprise envisage de fournir aux infogérants l’accès aux logiciels d’administration via cette plateforme. Pour l’heure, cette administration des accès externes s’appuie sur des serveurs de rebonds et divers bastions. Le PAM (Private Access Management) est donc un des prochains chantiers, maintenant que l’intégration de Bombardier est achevée.
PASSAGE À L’ÉCHELLE, UN SAIN CRITÈRE DE CHOIX
En choisissant Zscaler, Alstom voulait s’assurer qu’une expansion du groupe serait facilement prise en charge. Une précaution prémonitoire puisqu’elle a acquis son concurrent canadien Bombardier Transport en 2020.
Or, en quelques semaines après l’acquisition de la société, Alstom a été en mesure d’équiper tous ses collaborateurs de la même couche de protection pour les accès internet, les accès aux ressources partagées dans le cloud, avec à la clé un gain de temps et une sécurité accrue, en permettant aux salariés de travailler avec la même expérience quelles que soient leurs sociétés d’origine et d’accélérer leurs process métier. Un défi, sachant qu’Alstom a de nombreuses applications sur Microsoft Azure tandis que les logiciels de Bombardier Transport tournent dans un datacenter interne.
Zscaler Private Access a de fait permis à Alstom de s’affranchir des clients VPN pour faciliter le cross access, autrement dit l’accès aux applications Bombardier par des collaborateurs d’origine Alstom et inversement.
Le projet en quelques chiffres
70 : Nombre de pays concernés par le déploiement de la stratégie Zero Trust
Quelques semaines pour mettre les collaborateurs de Bombardier sur le système
5 mois au total de déploiement
L’entreprise
ACTIVITÉ : Industrie ferroviaire
EFFECTIF : 70 000 collaborateurs
CA : 15,5 Md€ (exercice fiscal 2021-2022)
