loader image

bispok

CANDIDATURE
Im-linkedin Twitter Fi-instagram Facebook-f

candidature

Im-linkedin Twitter Fi-instagram Facebook-f
Catégories

bispok_fr Follow

@ ·
now

Twitter
Load More...

Besoin d’écrire un article ? Téléchargez notre Press kit

télécharger
Étiquettes

Gestion des identités et des accès (IAM): RATP Connect s’appuie sur l’expertise de bispok !

Avant de nous parler de votre projet de migration de la gestion des identités et des accès (IAM), pourriez-vous vous présenter et nous décrire RATP Connect ?

Portail de connexion Wi-Fi

Benjamin Clément-Kerfi

8 novembre 2022

Partager:

Je suis Ismaïl BAHAJJI, en charge du projet de migration de la gestion des identités et des accès (IAM) au sein du groupe RATP. Pour me présenter brièvement, je suis responsable réseaux et architecte IP pour le compte de RATP Connect, mon rôle est de définir un panel de services d’infrastructure répondant aux besoins de mon client principal à savoir le groupe RATP.
 
Filiale de la RATP et leader français de la fibre noire*, RATP Connect déploie depuis plus de 15 ans le plus important réseau optique d’Île de France à partir des infrastructures ferroviaires Métro et RER.  
 
L’activité de RATP Connect permet d’offrir aux clients des liaisons directes et sécurisées en mutualisant des ressources rares (chemins de câbles, locaux techniques…) grâce aux emprises de la RATP.
Fibre noire RATP
*Une fibre noire est une fibre optique brute, qui raccorde deux points et qui n’est pas encore « éclairée »(ou activée).

Quels sont les besoins en connectivité au sein de la RATP ? Comment RATP Connect supervise la gestion des identités et des accès (IAM)?

Les agents de la RATP ont des métiers divers et variés: maintenance du réseau ferroviaire, opération, ingénierie Génie Civil, IT et système de transport, régulation, relation client, sécurité des personnes et des biens, conduite. Tous ces métiers et ses agents ont besoin d’une connectivité de proximité fiable et sécurisée; un réseau Wi-Fi stable et performant qui permet d’accéder aux ressources métiers depuis leurs tablettes ou smartphones.

Aujourd’hui la collecte des flux du Hotspot public du OrlyVal et du réseau Wi-Fi Agent en station est toujours faite par RATP Connect; ces flux arrivent sur un portail UCOPIA dédié, en fonction de la zone dans laquelle se trouve l’utilisateur. Les voyageurs et utilisateurs du Orlyval s’authentifient sur le réseau “WIFI Guest” via le portail UCOPIA.

Quelles décisions ont été prises pour faire évoluer la gestion des identités et des accès (IAM) ?

Jusqu’à aujourd’hui, les agents étaient authentifiés à l’aide d’un annuaire LDAP “Synapse”, contenant leurs identifiants, sur le réseau “Wi-Fi Agent”. 

 

Récemment, nous avons pris la décision de faire évoluer cette base d’authentification en faveur de la fédération d’identités sur le Cloud. Nous avons pour cela sélectionné la solution OKTA et dorénavant l’authentification des utilisateurs se fait via ce webservice avec le protocole SAML.
 
L’enjeu de ce projet était de taille puisqu’il symbolisait le point de départ de notre transformation digitale (le point de départ vers une infrastructure Cloud). Une fois accomplie il nous faudrait alors migrer chaque “Service Provider” vers cette nouvelle solution.

Comment bispok est intervenu dans ce projet de migration de la gestion des identités et des accès (Identity and Access Management) ?

La mission de bispok consistait à cadrer ce projet de transformation digitale, avec la rigueur qui les caractérise. L’objectif était de faire évoluer la plateforme UCOPIA vers une authentification Cloud (SAML/OKTA) permettant au passage de fluidifier l’expérience utilisateur et collaborateur. Il leur fallait migrer, non seulement la partie BYOD (pour les agents), mais aussi la partie Guest, impactant notamment les utilisateurs du OrlyVal.
 
L’une des particularités de ce projet de migration de la gestion des identités et des accès (IAM) était qu’aucune documentation technique n’était disponible pour nous permettre de procéder à ces changements. L’ultra expertise de bispok dans ces domaines nous a, non seulement permis de remplir la mission avec efficacité et rapidité, mais par la même occasion de bénéficier d’une documentation technique détaillée et complète. Cette dernière prend donc la forme d’un document de références d’exploitation, sur la manière d’intégrer et maintenir cette infrastructure. 
 
L’accompagnement bybispok a permis également à nos ressources internes de monter rapidement en compétences et de gagner en autonomie sur ce sujet particulier.

Où en est le projet actuellement ?

Le projet est à présent terminé. Il aura duré 20 jours, impacté pas moins de 90 sites pour environ 5 200 agents connectés.

Quelles ont été les différentes missions de bispok pour ce projet de migration ?

Dans ce projet, bispok aura procédé à une pluralité de missions. Tout d’abord nous avons commencé par un audit des faiblesses de l’architecture d’Authentification sur le plan de l’expérience utilisateur comme sur le plan technique au travers des configurations, des VLANs… etc. 
 
Rapidement après cela, bispok a réalisé pour nous un POC (“Proof of concept”) et déployé un environnement de pré-production, nous fournissant, à la location de surcroît, le matériel requis pour les tests.

En parallèle, une première proposition de refonte de nos portails (hotspot et agent) avait été également réalisée. L’objectif était de revoir le design mais aussi et surtout d’en simplifier l’usage.
Nouveau portail captif RATP
Une fois cet important jalon effectué, et la nouvelle maquette de portail validée, Bispok nous a accompagné sur un site pour le déploiement Pilote de la solution. Les tests avait été très concluants. C’est bispok, directement, qui a procédé à la migration du premier site.

Par anticipation, bispok a également réalisé une étude RGPD** de notre Portail Ucopia, donnant lieu à l’implémentation d’une nouvelle charte de conformité. 
 
Après la refonte et le développement sur-mesure effectué par bispok, les CGU / RGPD mis à jour, et la migration vers OKTA effectuée, avec la configuration idoine, le portail a rapidement été mis en production.

Au regard de votre récente expérience avec bispok, comment qualifieriez-vous leur accompagnement ?

Au cours de cette mission, divers documents nous ont été restitués. Un HLD rédigé par le spécialiste en charge de notre dossier, un cahier de tests, une documentation du changement ainsi qu’un document d’exploitation.
 
La gestion de projet, et la méthode employée par bispok a permis de réaliser ce projet en toute quiétude et selon le calendrier défini. Nous sommes grandement satisfaits de cette collaboration et envisageons de renouveler l’expérience si une autre occasion se présente.

** Le saviez-vous ?

  • RGPD et Hotspot Wi-Fi Si elles ne mettent pas en place la conformité RGPD y compris sur leur solution Wi-Fi, les sociétés responsables du traitement des données et le sous-traitant déployant les solutions Wi-Fi encourent les risques suivants: 

Pour la société responsable du traitement des données:

  • Une amende administrative pouvant aller jusqu’à 20 millions d’euros
  • Une condamnation à payer des indemnités civiles à un individu pour manquement à l’obligation de sécurité des données personnelles ( il est possible de dégager une fourchette entre 7 000 et 150 000 euros (par individu) selon la gravité des faits et l’attitude de l’entreprise vis-à-vis de la mise en conformité)
  • Une amende pénale pouvant aller de 300 000 euros à 1,5 millions d’euros
  • 5 ans d’emprisonnement pour le dirigeant
  • Une action de groupe: “effet boule de neige” d’indemnisations individuelles
  • Voir sa réputation ternie par une fuite de donnée et donc de perdre des clients
  • La perte de partenaires ne désirant plus, ou ne pouvant pas se permettre de travailler avec une entreprise qui n’est pas en conformité avec le RGPD
  • L’interdiction de continuer le traitement, et donc la fermeture du hotspot Wi-Fi à ses utilisateurs.

Pour le sous-traitant déployant les solutions Wi-Fi:

  • Encoure également les risques mentionnés plus haut, à titre individuel, ou en tant que coresponsable, pour manquement à son devoir de conseil et d’assistance. 
  • La perte de clients ne désirant plus travailler avec un partenaire qui n’est pas capable d’assurer et de documenter sa conformité, par peur de voir leurs responsabilités engagées à titre conjoint.
  • L’interdiction de continuer les traitements pour l’intégralité de ses clients, et donc un risque d’arrêt d’activité.

Partager: