TV5MONDE : comment adapter en continu la sécurité des accès aux nouveaux usages

Yoann Paoloni, RSSI de TV5MONDE, détaille l’extension progressive du périmètre d’authentification forte qui permet à l’entreprise de s’adapter aux nouveaux usages (mobilité, messagerie) tout en améliorant la sécurité de ses accès et l’expérience de connexion de ses utilisateurs. Un projet continu rendu possible grâce aux avantages en termes d’adaptabilité et de réactivité de la solution MFA d’inWebo proposée en mode SaaS.

R

Mise en place rapide d'inWebo MFA

R

Sécurité éprouvée pour les connexions à distance via le VPN

R

Extension du périmètre d’authentification forte à d'autres outils

R

Déploiement progressif en passant de 100 à plus de 1300 licences

R

Expérience de connexion simplifiée

TV5MONDE

L’un des plus grands réseaux mondiaux de télévision

Un média francophone culturel et résolument numérique

TV5MONDE (initialement TV5), est une chaîne de télévision généraliste francophone internationale créée en 1984. Financée par la France, la Suisse, le Canada, le Québec et la Fédération Wallonie-Bruxelles, TV5MONDE a pour mission de promouvoir la création francophone et la langue française en proposant une information multilatérale, internationale, fiable et vérifiée dans le monde entier.

TV5MONDE compte aujourd’hui 10 chaînes de télévision et touche près de 403 millions de foyers à travers 198 pays. Le groupe diffuse ainsi des émissions en français et sous-titrés en 13 langues dont l’anglais, le néerlandais, le roumain, l’espagnol, l’allemand ou encore le russe.

Des moyens techniques importants

Avec notamment des dizaines de milliers d’heures de contenu vidéo à gérer, TV5MONDE dispose de moyens techniques importants et compte près de 1 200 serveurs. Le système d’information métier du groupe, quant à lui, est basé sur 5 pôles fonctionnels.

Yoann Paoloni, RSSI de TV5MONDE, nous livre son expérience avec inWebo dans le cadre de l’extension progressive du périmètre d’authentification forte pour adapter la sécurité des accès aux usages.



Yoann Paoloni

Responsable de la Sécurité des Systèmes d’informations (RSSI), TV5MONDE

|

Une solution de MFA est le premier rempart pour la protection de nos accès réseaux, applicatifs, internes ou externes. On veut évidemment s’assurer à chaque fois que la personne qui accède à la ressource soit bien celle qui doit y accéder.

Projet

Protéger les accès distants via le VPN, puis faire évoluer le périmètre d’authentification forte

R

Favoriser et accompagner le télétravail en sécurisant les accès distants au SI

R

Couvrir le risque des attaques du VPN par Brute Force

R

Se projeter sur des utilisations futures de l’authentification forte

R

Sélectionner une solution certifiée par l’ANSSI

Protéger les accès distants via le VPN

Suite à la cyberattaque de 2015, l’un des projets de TV5MONDE était de mettre en place une connectivité sécurisée pour les utilisateurs en situation de mobilité qui se connectent au SI – comme les journalistes, par exemple. Cela a conduit à la mise en place d’un accès VPN spécifique adapté aux besoins du groupe.

Dans la mesure où les solutions VPN sont particulièrement exposées et sensibles aux attaques par force brute ou à la fuite d’identifiants via le phishing ou l’ingénierie sociale, TV5MONDE entendait ajouter une solution d’authentification forte pour sécuriser l’accès à son SI.

|

Pas d’accès VPN sans solution d’authentification forte.

Evolutivité du périmètre d’authentification forte

La capacité d’intégration et d’évolution de la solution d’authentification forte a été un critère de sélection important pour TV5MONDE lors de sa phase de recherche. Le groupe envisageait la possibilité de développer ses cas d’usages et souhaitait pouvoir intégrer facilement la solution MFA retenue dans d’autres applications sans avoir à mettre en place une infrastructure spécifique.

|

La sélection d’une solution d’authentification forte MFA certifiée par l’ANSSI était à l’époque un critère essentiel.

inWebo

Solution d’authentification forte (MFA) SaaS

Pour sélectionner sa solution d’authentification forte, TV5MONDE a donné la priorité à la recherche d’une solution flexible, pouvant être facilement intégrée sur plusieurs applications et offrant diverses méthodes d’authentification aux utilisateurs. Ceci dans le but de répondre aux besoins futurs tout en s’adaptant à l’évolution des usages.

Yoann Paoloni souligne les avantages du modèle SaaS en termes d’adaptabilité et de réactivité. Il attire l’attention sur plusieurs aspects d’inWebo MFA qui ont contribué au choix de la solution, mais aussi à la réussite du projet d’authentification forte au sein de TV5MONDE.

N

Haut niveau de sécurité, certifiée par l’ANSSI

Technologie brevetée, basée sur des clés dynamiques aléatoires, combinée au Hardware Security Module (HSM)

N

Le modèle SaaS d’inWebo MFA

Compatibilité avec le VPN et autres applications internes rendu possible grâce au mode API

N

Architecture simplifiée

Serveur Radius hébergé chez inWebo, gestion du protocole AAA approuvée

N

Expérience de connexion fluidifiée

Plusieurs méthodes d’authentification (push mobile, desktop, code PIN, token navigateur)

N

Gestion facilitée

Interface de gestion claire et accessible pour les administrateurs

N

Haute disponibilité de l’infrastructure

Montée en charge très rapide – ajout de licence – aucune infrastructure supplémentaire à déployer

Résultats

Une sécurité d’accès élevée et adaptée aux usages

^

2015 -2016 : Sécurité du VPN

100 utilisateurs

« La mise en place de la solution inWebo MFA a été réalisée en un mois », déclare Yoann Paoloni. De la souscription des licences, en passant par la mise en place de l’architecture d’authentification et d’autorisation sur le portail d’administration, jusqu’au déploiement général de la solution auprès de tous les utilisateurs, le projet s’est déroulé avec succès.

^

2019 - 2020 : Sécurité des accès à un outil RH

de 100 à 150 utilisateurs

De par son activité TV5MONDE compte parmi ses utilisateurs des personnels intermittents qui doivent parfois se connecter en dehors du réseau interne de l’entreprise. Ainsi, en vue d’assurer la sécurité de leurs accès à un nouvel outil RH, TV5MONDE a dû imposer le recours au MFA. Cette extension de la solution inWebo sur l’un des outils RH du groupe a été facilitée par l’intégration en mode API.

^

2020 : Ouverture des accès distant via VPN

300 utilisateurs

“En mars 2020, comme beaucoup d’entre nous au début de la crise COVID, nous avons dû augmenter nos capacités d’accès distant.” – Yoann Paoloni. TV5MONDE a alors étendu ses licences inWebo à 300 utilisateurs. “Cette montée en charge a été très rapide, s’agissant de simples nouvelles licences supplémentaires à ajouter, il n’y avait pas d’infrastructure supplémentaire à déployer de notre côté.” Enfin, en termes de gestion du changement, TV5MONDE a pu s’appuyer sur son expérience précédente et les retours des utilisateurs ont été positifs.

^

2021 : Sécurité des accès à la messagerie

Cible : 700 utilisateurs

A la suite de la crise sanitaire, TV5MONDE a entrepris un travail de migration de son ancienne messagerie mi 2020. “L’accès à un tel environnement, hébergeant une quantité de données importantes et parfois sensibles, doit être protégé des accès malveillants au même titre qu’une ressource On Premise.” ajoute Yoann Paoloni. TV5MONDE a choisi d’étendre une nouvelle fois le champ d’application de la solution inWebo MFA. “inWebo commençait à rentrer dans les usages TV5 et nous ne voulions pas multiplier les solutions d’authentification multi-facteurs.” Dans ce contexte, l’universalité du MFA d’inWebo, capable de protéger aussi bien les accès au VPN qu’aux applications Cloud et ce, avec un seul et même compte par utilisateur, est apparue comme un atout important. “l’intégration de la solution à la nouvelle plateforme du groupe s’est faite assez rapidement et simplement grâce au connecteur inWebo”, souligne Yoann Paoloni.

T

Pour aller plus loin

Avec pour objectif de favoriser et d’accompagner le télétravail, TV5MONDE entend généraliser le MFA de façon à ouvrir les accès distants tout en garantissant la sécurité de l’ensemble de ses ressources.

En attendant, le groupe audiovisuel a pour objectif à court terme de renforcer l’accès depuis l’extérieur à un outil spécialisé de gestion des accès privilégiés, notamment pour les partenaires et les éditeurs. « inWebo est en cours de déploiement sur cet outil. Intégration facilitée par le partenariat entre inWebo et cette solution.” précise Yoann Paoloni.

Le groupe envisage de poursuivre l’extension du périmètre d’authentification forte inWebo, d’ici mi-2022 à début 2023, dans le cadre d’un projet de Digital Workplace. « Celui-ci implique de déployer de nouveaux services pour lesquels il sera important de sécuriser les accès tout en fluidifiant l’expérience de connexion. » Dans le cadre de cette transformation digitale vers les services cloud, l’approche SaaS et la compatibilité universelle d’inWebo sont de précieux atouts pour accompagner le changement.

Protégez les identités et accès aux données avec l’authentification forte inWebo

Contactez nous pour une démo ou pour démarrer votre essai gratuit

Essai gratuit

Customer Stories

GHT Sud Val d’Oise – Nord Hauts de Seine

Comment le GHT Sud Val d’Oise – Nord Hauts de Seine s’affranchit des contraintes matérielles de la carte CPS avec l’authentification forte inWebo

we.trade

Sécurité des accès et dynamic linking pour la plateforme blockchain we.trade avec inWebo MFA.

BNP Paribas

Sécurité des accès renforcée et parcours sans friction pour la solution de e-banking professionnelle de BNP Paribas Ma Banque Entreprise