Comment la Matmut sécurise ses postes non managés pour maintenir son activité
Cédric Chevrel, RSSI du groupe Matmut nous a fait part de son expérience lors d’un atelier RETEX aux Assises de la Sécurité 2020.
Sécurité maximale pour les connexions à distance via le VPN (télétravail)
Mise en œuvre de l’architecture inWebo MFA en 24h
Bonne adoption du produit par les utilisateurs
Reporting complet sur les connexions et les enrôlements
La Matmut « complice de vie » de ses sociétaires
Acteur majeur sur le marché français
Fondée en 1961 par Paul Bennetot, qui avait pour objectif de proposer une assurance automobile aux salariés du secteur privé, la Matmut est devenue un acteur majeur sur le marché français. Le groupe compte plus de 6 300 collaborateurs répartis en France et plus de 500 agences.
Avec près de 3,9 millions de sociétaires et plus de 7,4 millions de contrats, le groupe Matmut offre aux particuliers comme aux professionnels, entreprises et associations, une gamme complète de produits d’assurance des biens et des personnes (auto, moto, habitation, bateau, chasse, responsabilités, protection de la famille, santé, prévoyance, protection juridique, assistance) et de services financiers et d’épargne (crédits auto, crédit consommation, livret d’épargne, assurance-vie, assurance emprunteur…).
La sécurité du système d’information dans le cadre du PCA
Le télétravail s’est imposé pour faire face à la pandémie du Covid. Les connexions à distance, sur des équipements pas toujours contrôlés par les entreprises, font apparaître des enjeux de sécurité qu’il faut adresser, notamment pour adapter le dispositif à l’explosion des attaques de phishing.
Cédric Chevrel, RSSI du groupe Matmut, revient sur son expérience avec inWebo dans le cadre du Plan de Continuité d’Activité (PCA) du groupe face au confinement provoqué par la pandémie du Covid.
Cédric Chevrel
RSSI du groupe Matmut
“Très brutalement, tout le monde se retrouve chez soi. Il fallait trouver un moyen de faire du télétravail pour l’ensemble des collaborateurs ne possédant pas tous un matériel portable managé par l’entreprise.”
Projet
Télétravail et maintien de l’activité
La période de confinement liée à la pandémie Covid-19 est arrivée très soudainement, engendrant beaucoup de questionnements sur le maintien des activités. “À cette même période, le groupe était en plein renouvellement de son parc informatique” nous indique Cédric Chevrel en précisant que jusqu’alors les employés travaillaient sur poste fixe. “Nous étions également aux prémices du déploiement de Windows 10.” souligne-t-il.
Connexion au SI en situation de confinement
Dans des délais très courts, “la SSI est intervenue pour faire monter en puissance des technologies utilisées par la sécurité, donc VPN IPSEC, SSL ou encore VDI” explique Cédric Chevrel. “ L’objectif était de faire en sorte que les salariés puissent télé-travailler dans les meilleures conditions de sécurité”.
Les besoins en bref…
Mettre en place une solution d’authentification forte multifacteurs (MFA) user-friendly dans la chaîne d’accès distant au SI
Couvrir le risque de tentatives de connexions indésirables opérées par un tiers non-salarié
Se projeter sur des utilisations futures au sein d’autres services de type Cloud
Etre capable de déployer et mettre en œuvre le projet d’authentification forte MFA très rapidement
“Nous avions cette problématique de sécurité des VPN : solutions exposées et sensibles aux attaques par Brute Force, mais aussi aux fuites d’identifiants”.
Analyse des risques de sécurité
Lors de la constitution du projet, la RSSI a mené une analyse de risque et a très rapidement mis en place un certain nombre de mesures pour les maîtriser. Ainsi, Cédric Chevrel explique que “le lieu de connexion géographique a été limité à la France”.
Le groupe souhaitait bien entendu maîtriser les tentatives de connexion à partir de matériel non autorisé. En effet, les procédures d’installations envoyées aux employés pouvaient être dupliquées. Il était donc nécessaire de conserver la visibilité de qui se connecte, quand et à partir d’où. Enfin, le risque des fuites d’identifiants et la perte de maîtrise du périmètre matériel habilité à se connecter devaient eux aussi être couverts.
“Nous devions mettre en œuvre une solution MFA sans plus attendre. Et pour répondre aux besoins et aux risques spécifiques liés au confinement, il fallait que la solution soit attachée à un utilisateur et à un device.”
Solution
“Nous voulions une solution qui soit souple et flexible, nous permettant de nous adapter par la suite. […] Un autre point très structurant était la simplicité d’utilisation et d’installation pour les salariés”.
“La personne qui veut se connecter le matin reçoit une notification sur son device (tablette, smartphone ou PC). Elle aura simplement à cliquer dessus et à rentrer son code PIN. A partir de là, la solution de VPN SSL se connecte automatiquement grâce à un lien que l’on a au préalable établi avec inWebo en utilisant un protocole RADIUS.”
Très haute sécurité
L’authentification forte d’inWebo permet à la Matmut de couvrir les risques de sécurité engendrés par le télétravail.
Intégration et administration facile
inWebo MFA facilite le travail des intégrateurs et administrateurs avec notamment une intégration avec l’annuaire d’entreprise, sans avoir besoin de recréer des comptes pour l’ensemble des salariés, ainsi que la possibilité de personnaliser la communication aux utilisateurs directement dans la solution (mails d’enrôlement, de confirmation, etc.).
Expérience utilisateur simple et fluide
La solution inWebo MFA est passwordless et fluidifie l’expérience de connexion des utilisateurs pour une adoption totale. L’enrôlement des collaborateurs se fait de manière très simple et rapide, en quelques clics, à partir d’un email reçu.
“La synergie entre les équipes techniques et achats de la DSI, la SSI du groupe, ainsi qu’avec inWebo nous ont permis de mettre en œuvre la solution en 24h.”
Résultats
La Matmut a segmenté le déploiement de la solution inWebo MFA. “Nous avons commencé avec 1000 users pour finir sur 5000 users” indique Cédric Chevrel. Lors du déploiement, le Groupe a accompagné ses employés avec notamment l’envoi de procédures d’installation et un renforcement de sa cellule support pour répondre aux besoins d’assistance.
Cédric Chevrel partage la satisfaction du groupe quant au bilan de la solution inWebo MFA. “Il n’y a pas eu d’incident, et c’est une chose extrêmement positive”. Il ajoute que “la solution a répondu globalement aux besoins des risques à couvrir.”
Côté expérience utilisateur, “avec inWebo, il n’y a qu’un code PIN à saisir alors qu’auparavant les employés devaient remplir tous les jours leurs nom, prénom et mot de passe.” précise Cédric Chevrel.
La solution a permis au groupe de faire un reporting constant et d’avoir une très bonne visibilité, à distance, des connexions, enrôlements, etc. “Nous avons constitué des tableaux de bord très précis des enrôlements réalisés, des connexions effectives et de celles qui ne se faisaient pas.”
Sécurité maximale pour les connexions à distance via le VPN (télétravail)
Mise en œuvre de l’architecture inWebo MFA en 24h
Bonne adoption du produit par les utilisateurs
Reporting complet sur les connexions et les enrôlements
Pour aller plus loin…
Enfin, la migration vers Windows 10 s’est faite en douceur avec inWebo MFA. “Dès qu’un salarié est déployé, nous réalisons un nouvel enrôlement pour fixer ce nouveau matériel qui a le droit de se connecter” indique Cédric Chevrel.
Renforcez la sécurité des accès distants (télétravail) avec l’authentification forte inWebo
Contactez nous pour une démo ou pour démarrer votre essai gratuit
Customer Stories
we.trade
Sécurité des accès et dynamic linking pour la plateforme blockchain we.trade avec inWebo MFA.
GHT Sud Val d’Oise – Nord Hauts de Seine
Comment le GHT Sud Val d’Oise – Nord Hauts de Seine s’affranchit des contraintes matérielles de la carte CPS avec l’authentification forte inWebo
Groupama
L'authentification forte inWebo, une brique essentielle de la transformation digitale de Groupama : haute sécurité, expérience fluide et mobilité.