ALSTOM, un des leaders mondiaux dans les infrastructures d’énergie et de transport ferroviaire, avec un chiffre d’affaires de 16,9 milliards d’euros, est présent dans plus de 70 pays et emploi 76 000 salariés.
Bien qu’ayant deux métiers, ALSTOM est organisé en trois secteurs : Transport, Power Systems et Power Service. Ce groupe est numéro un dans l’hydroélectricité, dans le service aux producteurs d’électricité, dans les systèmes de contrôle de la qualité de l’air, dans les trains à très grande vitesse, les trains à grande vitesse et les trains pendulaires et numéro 2 dans les systèmes de métro, de tramways, les trains de banlieue et régionaux, la signalisation, les infrastructures et les systèmes associés.
Raphaël VIARD, directeur de la sécurité opérationnelle et de la veille technologique, a mis en oeuvre un service de badges uniques contenant une solution de contrôle d’accès pour ALSTOM Transport.
Comment est organisé le service informatique d’ALSTOM, et quel rôle y jouez-vous ?
Raphaël VIARD : Les trois secteurs d’ALSTOM disposent chacun de leur fonction systèmes d’information, mais il existe une entité commune à ces trois métiers (centre de service partagé) qui regroupe les services d’infrastructures communs, ITC - Information Technology Center -, dans lequel je travaille, et la gestion des applications. Toutes ces entités sont sous les ordres (fonctionnellement ou hiérarchiquement) d’un DSI groupe.
Je suis en charge de la sécurité opérationnelle et de la veille technologique, c’est-à-dire du management des équipes de sécurité, du choix des outils, des solutions, de la gestion des projets…
ALSTOM représente 60 000 utilisateurs du système d’information, dont environ 12 000 utilisateurs mobiles.
Comment est né le projet de badges uniques ? À quels besoins répond-il ?
Raphaël VIARD : Le projet SESAM consiste à fédérer plusieurs services autour d’un badge unique sous la forme d’une carte à puce, afin de simplifier le quotidien des utilisateurs.
Au départ, le besoin concernait essentiellement l’informatique. Nous souhaitions mettre en place un système d’authentification au sein d’ALSTOM Transport. Puis nous avons décidé de mutualiser ce projet avec d’autres projets en cours de réflexion, notamment sur des besoins du service Ressources Humaines liés à la gestion du temps et de l’activité. L’idée d’un badge unique regroupant à la fois des services IT et des services opérationnelle s’est donc naturellement imposée.
Les services fournis sont très divers avec, par exemple, des services de gestion du temps dans les sites industriels ou d’accès physique, mais aussi des services plus IT comme l’authentification pour les réseaux wifi, les accès distants au système d’information via un réseau privé virtuel (VPN SSL), la protection des données, le chiffrement des fichiers et des e-mails, l’accès unifié aux applications (Single Sign On)…
Le badge bitechnologies repose sur deux puces : l’une RFID donc sans contact pour le contrôle d’accès, la gestion de temps… et l’autre puce pour la cryptographie qui gère le chiffrement, la signature... Après une étude de 6 mois, le projet a démarré en avril 2007 avec une distribution de 1 000 badges en juin 2007.
Quelles étaient vos contraintes en termes de sécurité, délais, type d’utilisateurs… ?
Raphaël VIARD : Nous avions une importante contrainte de temps avec un démarrage en avril pour un lancement en juin. Nous avions également un fort besoin pour les utilisateurs distants, pour lesquels nous devions trouver des méthodes pour sécuriser à la fois les réseaux wifi, les accès distants et l’accès à certaines applications sensibles.
Quel fut le coût de ce projet ?
Raphaël VIARD : Le coût est variable en fonction des services nécessaires à l’utilisateur. Une analyse financière fine est difficile à réaliser car certains investissements sont contre balancés par des retours sur investissement plus ou moins quantifiable. La nouvelle solution d’accès VPN fournit plus de facilité aux utilisateurs on peut donc imaginer qu’ils ont un meilleure productivité. Cette analyse peut également s’appliquer pour les réseaux WiFi sécurisés que nous déployons sur les sites. Le Single Sign On réduit quant à lui les appels au Helpdesk qui concernent les oublis de mot de passes.
Nous avons fortement communiqué sur l’aspect fédérateur du projet plus que sur son aspect financier.
Sur quels outils/solutions et prestataires vous êtes-vous appuyés pour la mise en oeuvre du projet ?
Raphaël VIARD : Nous travaillons avec des solutions du marché telles que Juniper (VPN), Opentrust (PKI/SCM), Aladdin (carte à puces), Evidian (SSO ) ou ZoneCentral (chiffrement). Certains choix étaient liés à nos contraintes internationales. D’autres, comme la PKI, nécessitaient une certaine confiance et une proximité en France avec les équipes de développement. C’est pourquoi avons cherché les meilleurs produits du marché dans chaque domaine avec des solutions qui s’intégraient bien à l’environnement d’ALSTOM . Nous avons fait peu d’intégration et aucun développement spécifique.
Côté prestataires, nous n’avons pas fait appel à du consulting pour le design de la solution, mais seulement à un peu de régie pour assurer la charge de travail supplémentaire ponctuelle.
Quel bilan (difficultés et bénéfices) dressez-vous de ce projet ?
Raphaël VIARD : Nous n’avons pas vraiment rencontré de problèmes, ni technique, ni humain. Seul le Single Sign On s’est révélé un peu plus difficile à déployer que le reste. En effet, il nécessite une formation des utilisateurs et impacte leur méthode de travail.
Le badge et sa carte à puce incarnent une fondation sur laquelle nous pouvons multiplier les nouveaux services en fonction des besoins. Le projet est très modulaire donc très flexible. C’est-à-dire que le déploiement peut se faire sur tel ou tel site pour tel ou tel service, ou encore par population, et non par site géographique.
Aujourd’hui, 12 000 badges sont déployés sur environ 40 pays et 200 sites.
Quels sont vos prochains grands chantiers ?
Raphaël VIARD : Nous continuons le déploiement du badge. Il est presque achevé pour la population « nomade ». Pour répondre aux multiples besoins en cours et à venir, nous allons multiplier les services basés sur le badge.
Nous déployons également des terminaux Blackberry (environ 2 600 à ce jour), avec une forte exigence de sécurité.
Enfin, nous avons deux autres axes de travail que sont l’application des normes ISO 27 000 sans aller jusqu’à la certification et l’Identity Management qui va nous permettre de donner une nouvelle dimension au projet de badge unique grâce à de nouvelles possibilités intéressantes : le provisionning amont des mots de passe dans le SSO, le self reset de mots de passes…
mer, 01/10/2008 - 23:00 | 
amg
