bispok

Avant de nous parler de votre projet de migration de la gestion des identités et des accès (IAM), pourriez-vous vous présenter et nous décrire RATP Connect ?

Benjamin Clément-Kerfi

8 novembre 2022

Partager:

Je suis Ismaïl BAHAJJI, en charge du projet de migration de la gestion des identités et des accès (IAM) au sein du groupe RATP. Pour me présenter brièvement, je suis responsable réseaux et architecte IP pour le compte de RATP Connect. Mon rôle est de définir un panel de services d’infrastructure répondant aux besoins de mon client principal à savoir le groupe RATP.
Filiale de la RATP et leader français de la fibre noire*, RATP Connect déploie depuis plus de 15 ans le plus important réseau optique d’Île de France à partir des infrastructures ferroviaires Métro et RER.  
 
L’activité de RATP Connect permet d’offrir aux clients des liaisons directes et sécurisées en mutualisant des ressources rares (chemins de câbles, locaux techniques…) grâce aux emprises de la RATP.
*Une fibre noire est une fibre optique brute, qui raccorde deux points et qui n’est pas encore « éclairée »(ou activée).

Quels sont les besoins en connectivité au sein de la RATP ? Comment RATP Connect supervise la gestion des identités et des accès (IAM)?

Les agents de la RATP occupent des métiers variés : maintenance du réseau, opération, ingénierie (Génie Civil, IT, systèmes de transport), régulation, relation client, sécurité des personnes et des biens, conduite. Tous ces métiers nécessitent une connectivité fiable et sécurisée. Un réseau Wi-Fi stable et performant permet d’accéder aux ressources métiers depuis leurs tablettes ou smartphones.

Aujourd’hui la collecte des flux du Hotspot public du OrlyVal et du réseau Wi-Fi Agent en station est toujours faite par RATP Connect. Ces flux arrivent sur un portail UCOPIA dédié, en fonction de la zone dans laquelle se trouve l’utilisateur. Les voyageurs et utilisateurs du Orlyval s’authentifient sur le réseau “WIFI Guest” via le portail UCOPIA.

Quelles décisions ont été prises pour faire évoluer la gestion des identités et des accès (IAM) ?

Jusqu’à aujourd’hui, les agents étaient authentifiés à l’aide d’un annuaire LDAP “Synapse”, contenant leurs identifiants, sur le réseau “Wi-Fi Agent”. 
 
Récemment, nous avons pris la décision de faire évoluer cette base d’authentification en faveur de la fédération d’identités sur le Cloud. Nous avons pour cela sélectionné la solution OKTA. Dorénavant l’authentification des utilisateurs se fait via ce webservice avec le protocole SAML.

L’enjeu de ce projet était de taille puisqu’il symbolisait le point de départ de notre transformation digitale. Le point de départ vers une infrastructure Cloud. Une fois accomplie il nous faudrait alors migrer chaque “Service Provider” vers cette nouvelle solution.

Comment bispok est intervenu dans ce projet de migration de la gestion des identités et des accès ? (Identity and Access Management)

La mission de Bispok était de cadrer ce projet de transformation digitale avec rigueur. L’objectif : faire évoluer la plateforme UCOPIA vers une authentification Cloud (SAML/OKTA). Cela visait à fluidifier l’expérience des utilisateurs et collaborateurs. Il fallait migrer la partie BYOD (pour les agents) ainsi que la partie Guest, impactant notamment les utilisateurs d’OrlyVal.

Une particularité de ce projet de migration IAM était l’absence de documentation technique pour réaliser les changements. L’expertise de Bispok a permis de mener la mission avec efficacité et rapidité. En parallèle, une documentation technique détaillée et complète a été fournie. Elle prend la forme d’un document de référence sur l’intégration et la maintenance de l’infrastructure.

L’accompagnement bybispok a permis également à nos ressources internes de monter rapidement en compétences et de gagner en autonomie sur ce sujet particulier.

Où en est le projet actuellement ?

Le projet est à présent terminé. Il aura duré 20 jours, impacté pas moins de 90 sites pour environ 5 200 agents connectés.

Quelles ont été les différentes missions de bispok pour ce projet de migration ?

Dans ce projet, bispok aura procédé à une pluralité de missions. Tout d’abord nous avons commencé par un audit des faiblesses de l’architecture d’Authentification. Sur le plan de l’expérience utilisateur comme sur le plan technique au travers des configurations, des VLANs, etc. 

Rapidement après cela, bispok a réalisé pour nous un POC (“Proof of concept”). Puis, déployé un environnement de pré-production, nous fournissant, à la location de surcroît, le matériel requis pour les tests.

En parallèle, une première proposition de refonte de nos portails (hotspot et agent) avait été également réalisée. L’objectif était de revoir le design mais aussi et surtout d’en simplifier l’usage.

Une fois cet important jalon effectué, et la nouvelle maquette de portail validée, Bispok nous a accompagné sur un site pour le déploiement Pilote de la solution. Les tests avait été très concluants. C’est bispok, directement, qui a procédé à la migration du premier site.
Par anticipation, bispok a également réalisé une étude RGPD** de notre Portail Ucopia, donnant lieu à l’implémentation d’une nouvelle charte de conformité. 
 
Après la refonte et le développement sur-mesure effectué par bispok, les CGU / RGPD mis à jour, et la migration vers OKTA effectuée, avec la configuration idoine, le portail a rapidement été mis en production.

Au regard de votre récente expérience avec bispok, comment qualifieriez-vous leur accompagnement ?

Au cours de cette mission, divers documents nous ont été restitués. Un HLD rédigé par le spécialiste en charge de notre dossier, un cahier de tests, une documentation du changement ainsi qu’un document d’exploitation.
 
La gestion de projet, et la méthode employée par bispok a permis de réaliser ce projet en toute quiétude et selon le calendrier défini. Nous sommes grandement satisfaits de cette collaboration et envisageons de renouveler l’expérience si une autre occasion se présente.

** Le saviez-vous ?

  • RGPD et Hotspot Wi-Fi
  • Si elles ne mettent pas en place la conformité RGPD y compris sur leur solution Wi-Fi, les sociétés responsables du traitement des données et le sous-traitant déployant les solutions Wi-Fi encourent les risques suivants : 

Pour la société responsable du traitement des données:

  • Une amende administrative pouvant aller jusqu’à 20 millions d’euros
  • Une condamnation à payer des indemnités civiles à un individu pour manquement à l’obligation de sécurité des données personnelles. Il est possible de dégager une fourchette entre 7 000 et 150 000 euros par individu. Selon la gravité des faits et l’attitude de l’entreprise vis-à-vis de la mise en conformité
  • Une amende pénale pouvant aller de 300 000 euros à 1,5 millions d’euros
  • 5 ans d’emprisonnement pour le dirigeant
  • Une action de groupe: “effet boule de neige” d’indemnisations individuelles
  • Voir sa réputation ternie par une fuite de donnée et donc de perdre des clients
  • La perte de partenaires ne désirant plus, ou ne pouvant pas se permettre de travailler avec une entreprise qui n’est pas en conformité avec le RGPD
  • L’interdiction de continuer le traitement, et donc la fermeture du hotspot Wi-Fi à ses utilisateurs.

Pour le sous-traitant déployant les solutions Wi-Fi:

  • Encoure également les risques mentionnés plus haut, à titre individuel, ou en tant que coresponsable. Pour manquement à son devoir de conseil et d’assistance.
  • La perte de clients ne désirant plus travailler avec un partenaire qui n’est pas capable d’assurer et de documenter sa conformité; par peur de voir leurs responsabilités engagées à titre conjoint.
  • L’interdiction de continuer les traitements pour l’intégralité de ses clients, et donc un risque d’arrêt d’activité.

Partager: