1. Wallix AdminBastion 4

2. Carte d’identité
Les solutions de WALLIX sont distribuées à travers un réseau partenaires certifiés sur toute la zone EMEA et CIS
Wallix répond aux problématiques de compliance (ISO27001, PCI DSS, Bâle II, SOX, Arjel)
via une solution de traçabilité des comptes à privilèges
Stratégie de vente et solutions
Métier
Editeur européen spécialisé dans la gestion des
utilisateurs à privilèges et le contrôle d’accès
Positionné sur le marché du PUM (Privileged User
Management) et du PAM(Privileged Access Management)
Société d’origine française, basée à Paris
Fondée en 2003 par Jean-Noël de Galzain
Chiffres et présence
50 collaborateurs
Bureaux commerciaux au Royaume-Uni et aux USA
Présence via des distributeurs à valeur ajoutée en Italie,
Allemagne, Benelux, Suisse, Russie, GCC, Asie du Sud-
Est et au Maghreb

3. Quelques références
Collectivités locales
- Mairie : Bordeaux, Grenoble, Alès, Boulogne
Billancourt, les Mureaux, Nanterre,
Châteauroux, Suresnes …
- Communauté Urbaine de Bordeaux
- Conseil Général des Hauts de Seine
- Conseil Général de l’Essonne
- Conseil Général de la Sarthe
- Conseil Général du Gard
- Conseil Général de l’Oise …
Administration / Education / Santé
- CNAM TS
- Ministère de l’Ecologie
- Ministère de l’Economie
- Météo France
- INSERM
- BRGM
- INERIS
- IRSN
- DILA
- Gendarmerie Nationale
- Musée du Quai Branly
- Hôpitaux de Carcassonne, Poissy St-Germain,
St-Quentin, Mantes, Libourne, Niort, du Sud
Parisien …
- SIIH 59/62 …
Industrie / Energie / Transport
- PSA Peugeot Citroën
- Vinci
- EDF
- ST Microelectronics
- Thales
- Boost Aerospace
- Arcelor Mittal
- SPIE
- SPEIG
- Latécoère
- Geodis
- Régie des Transports Marseillais
- Aéroport de Marseille Provence …
Banque / Assurance
- MGEN / Choregie
- GMF
- Crédit Agricole SA
- Groupama
- Crédit Agricole Cards & Payments
- Amundi
- Casden
- Harmonie Mutualité
- Mutuelle Familale
- Verlingue
- Swiss Life …
Services / Luxe / Medias
- LVMH
- Hermes
- M6
- Alain Afflelou
- Wolters Kluwer
- Maisons du Monde
- Beaumanoir …
Télécom / Hébergement
- SFR
- TDF
- GRITA
- Pharmagest
- Coreye / Pictime
- OPT (Polynésie Française)
- Mipih …
International
- Maroc Telecom
- Millicom (Luxembourg)
- Naxoo / Télégenève (Suisse)
- Tigo (El Salvador, Ile Maurice, RDC …)
- RTBF
- Université du Luxembourg
- Service Public de Wallonie
- Wintershall (BASF) …

4. Les nouveaux besoins et
contraintes des entreprises

5. Les administrateurs doivent apprendre les
mots de passe, les retenir et en changer
régulièrement
Les post-it se multiplient autour de l’écran
ou sur le bureau
Les mots de passe sont gérés à droite et à
gauche, parfois ils restent dans la tête de
l’administrateur !
Mots de passe administrateurs
Comment gérer au mieux
l’authentification de mes
administrateurs ?

6. Le turnover des équipes IT
L’un de mes administrateurs s’en va. Où sont ses mots de passe ?
Il faut recenser ses accès, les désactiver et les changer sur tous
les équipements
Il faut communiquer les changements en interne
Comment s’assurer qu’il ne pourra plus accéder au SI de
l’entreprise ?
Les employés qui volent ou divulguent les données
d’entreprise le font à l’occasion de leur départ vers un
concurrent (70 % des cas) ou de la création de leur
propre affaire (23 % des cas)

7. L’incident survient
La base de données clients est tombée suite à une
intervention de maintenance durant une migration de
version
Pas de responsable et pas de moyen de le désigner !
Difficile de retrouver la cause
D’où vient l’erreur ?
Peut-on rejouer le scénario ?
Comment retrouver l’origine de l’incident ?
ORIGINE D’UN INCIDENT ET TRAÇABILITÉ DES ACTIONS

8. Les intervenants externes…
Je n’ai aucune visibilité sur leurs actions de mes prestataires
Les connexions aux serveurs, équipements et applicatifs sont
multiples : je ne sais pas qui se connecte, quand et comment
Je dois contrôler leurs accès et les cadrer en cas
d’interventions ponctuelles et pouvoir changer de prestataire
si nécessaire
Comment m’assurer que les accès sont bien contrôlés ?
Comment remonter à l’origine d’un incident ?
Qui est responsable ?
GESTION DES CHANGEMENTS DE PRESTATAIRES

9. La gestion des accès
avec Wallix AdminBastion

10. Concepts
Traçabilité
Contrôle d’accès
Authentification unique
Serveurs Windows
Equipements
réseau
Applicatifs
Administrateurs
Développeurs
Responsable sécurité
Gestion des mots de passe ciblesPrestataires externes
Serveurs Unix/Linux

11. Protocoles supportés
EQUIPEMENTS /
APPLICATIFS CIBLES
RDP
RDP
VNC
Autorisation (ou non) des fonctions SSH
• Shell Session
• Exécution de commandes distantes
• SCP (upload & download)
• X11 Forwarding
SSHv2
https
SFTP
SSHv2
http/https
SFTP
Telnet
rlogin
UTILISATEUR

12. Enregistrement des sessions
Restitution du contenu de la session via une vidéo
chapitrée au format Flash
Récupération automatique d’informations sur le contenu
de la session
SESSIONS RDP (WINDOWS & APPLICATIFS)
Conservation des lignes de commande entrées par
l’utilisateur et du “retour” de l’équipement
Informations disponibles dans un fichier texte ou bien
dans un fichier semi-vidéo
SESSIONS SSH/TELNET

13. Sessions Windows : OCR & flux clavier
Obtenir automatiquement
d’une session Windows
enregistrée …
Les informations
pertinentes !
Qui peuvent également
être exploitées
dans un SIEM !

14. Contrôle des flux SSH
Dans l’exemple ci-dessus, l’expression « passwd » figure
dans la liste des commandes interdites
La détection de l’expression « passwd » déclenche l’envoi
d’une alerte et/ou la coupure de la connexion.

15. Visualisation temps réel
Interruption possible de la session en cas
d’actions «inappropriées» de la part de l’utilisateur.
Répond aux contraintes réglementaires du type « 4 yeux ».
Permet à un administrateur du WAB de visualiser
les sessions RDP & SSH actives sur le WAB

16. Support natif http/https
WAB vous permet de contrôler et de
tracer les accès aux interfaces web
d’administration d’équipements ou
d’applications.
Permet de tracer les connexions vers les
applications métiers exploitant une interface web
Evite d’avoir à installer une solution spécifique
pour tracer les connexions vers des interfaces Web
Support des authentifications de type http ainsi
que par formulaire

17. Applications client-serveur
Serveur
Windows TSE
Client RDP Clients
Avec injection dans le client applicatif de
l’identifiant et du mot de passe du
compte applicatif cible
Choix sur l’interface WAB du
compte applicatif cible (ex :
root@vmware_ESX3)
Lancement par le WAB du client
applicatif sélectionné

18. Contrôle d’accès
UTILISATEUR
Login A
Password B Login : root
Password : yyy
Login : administrateur
Password : xxx
Login : admin
Password : zzz
Sélecteur affichant les couples
login/équipements accessibles :
root@vmware_esx1
admin@cisco55
administrateur@win75
Récupération par le WAB du mot de
passe du compte cible

19. WAB permet d’appliquer une politique de gestion de mots
de passe des comptes cibles avec notamment le
changement automatique des mots de passe
Il est possible de déterminer la périodicité du
changement de mots de passe ainsi que la
taille minimale des mots de passe.
Cela permet de répondre aux exigences
réglementaires concernant les mots de passe
des comptes critiques.
Environnements : serveurs Windows,
Unix/Linux, Cisco (IOS)
Gestion des mots de passe cibles

20. Architecture interne
OPTION 1
WAB héberge les bases de données
utilisateurs, les ACL et les bases
équipements
OPTION 2
WAB se connecte à un annuaire
extérieur* pour l’authentification
utilisateur
* Annuaires LDAP/LDAPS, Active Directory, Radius
INTERNET
Equipements ACLs Utilisateurs Journal des
connexions
Enregistrements
LAN
AD/LDAP/RADIUS
Serveurs
OPTION 3
Les utilisateurs du WAB sont gérés
directement dans l’annuaire entreprise

21. Cas concret d’utilisation
Equipements ACLs Utilisateurs Equipements ACLs Utilisateurs
INTERNET
Administrateur
LAN Production
DMZ WAB
MASTER SLAVE
VPN
CRM Mail Intranet
Réplication

22. LAN
EngineeringNœud de
visualisation
Accès
distant
Firewall
WAB en DMZ
Serveurs
SCADA
Serveurs de
Communication
SCADA Network
RDP/SSH
- Access Control
- Single Sign-On
- RDP/SSH session recording
- Shared account access
attributability
- Real time session analysis &
alerting
RDP/SSH/Telnet/VNC
WAB Dans un environnement SCADA
Serveurs
SCADA

23. Authentification forte
Technologies
• RSA SecurID
• ActivIdentity
• Autres
En option
Support des certificats X509v3
LAN
Serveurs
DMZ
Equipements ACLs Utilisateurs
Serveur
Radius
Serveur
RSA SecurID
Prestataire
RSA RSA

24. Reporting et Alertes
REPORTING GRAPHIQUE SUR LES CONNEXIONS
Export des données au format csv pour
exploitation ultérieure
Alertes temps réel (mail & logs)
paramétrables :
Détection de chaines de caractères
interdites (SSH)
Echec d’authentification sur le WAB
Echec de connexion sur le compte cible …
Envoi par mail d’un rapport quotidien
sur les connexions

25. WAB - Facilité de déploiement
Aucun agent à installer sur les serveurs ou sur les équipements
Gain de temps de déploiement
Intégration aisée dans l’infrastructure existante
Baisse du coût de possession (TCO)
Aucune formation nécessaire pour les utilisateurs de WAB
WAB ne change pas les méthodes de travail
Conservation des outils actuels (client TSE/RDP, PuTTY,
WinSCP, navigateur Web, ligne de commande …)

26. Facilité d’administration
Interface Web (https) en anglais et en français
Compatible IE7+ et Firefox
Interface «CLI» & Services Web
«Provisionning» des utilisateurs, des équipements,
des droits…
par des applications tierces (IAM …)
Possibilité de définir des profils
avec des droits spécifiques (ex : auditeur)
Possibilité de définir des périmètres d’actions par
administrateur du WAB • en terme d’utilisateurs et/ou
de comptes cibles

27. Appliances Physiques
Appliance ou software
Package logiciel
11 modèles disponibles : du WAB 5 au WAB 2000
Disponible sous la forme
d’appliance virtuelle VMWare

28. Appliances WAB
Support Silver
• Accès aux mises à jour mineures & correctifs logiciels
• 2 interlocuteurs accrédités pour contacter le support.
• Support téléphonique & e-mail : Prise en main des tickets en J + 1
• Disponibilité : du lundi au vendredi de 9h00 à 19h00 (GMT+1)
• Garantie matérielle : Intervention en J+1 *
• Protection des données **
Support Gold
• Accès aux mises à jour mineures & correctifs logiciels
• 4 interlocuteurs accrédités pour contacter le support.
• Support téléphonique & e-mail : Prise en main des tickets en 8 H
• Disponibilité : 7 jours sur 7 de 9h00 à 19h00 (GMT+1)
• Garantie matérielle : Intervention en H+4 *
• Protection des données **
Support Platinum
• Accès aux mises à jour mineures & correctifs logiciels
• 6 interlocuteurs accrédités pour contacter le support.
• Support téléphonique & e-mail : Prise en main des tickets en 2 H
• Disponibilité : 7 jours sur 7 - 24 heures sur 24 (GMT+1)
• Garantie matérielle : Intervention en H+2 *
• Protection des données **
* Toutes nos appliances bénéficient d’une garantie matérielle comprenant un
service d’intervention sur site. La demande d’intervention est effectuée par
nos services dès la qualification de l’incident par nos équipes
techniques.
** Cette option, incluse dans toutes nos offres de support, permet aux clients
de garder le contrôle de leurs données sensibles en conservant leurs disques
durs lors du remplacement de matériels défectueux.
Appliance Processeur RAM Disques Alimentation
WAB 5 – 15 Pentium G620 (2,6 GHz) – Dual Core 4 Go 500 Go utile Simple
WAB 25 & 50 Pentium 1407 (2,8 GHz) - Dual Core 4 Go RAID 1 - 500 Go utile – Hot-plug Redondante - Hot-plug
WAB 100 – 200 Xeon E5-2430 (2,2 GHz) - Hexa Core 8 Go RAID 1 - 1 To utile – Hot-Plug Redondante - Hot-plug
WAB 400 – 600 Xeon E5-2450 (2,1 GHz) - Octo Core 16 Go RAID 10 - 2 To utile – Hot-Plug Redondante - Hot-plug
WAB 800 – 1000 2 * Xeon E5-2450 (2,1 GHz) – Octo Core 32 Go RAID 5 - 14 To utile – Hot-Plug Redondante - Hot-plug
WAB 2000 2 * Xeon E5-4620 (2,2 Ghz) - Octo Core 64 Go RAID 10 - 18 To utile (SAS) – Hot-plug Redondante - Hot-plug

29. Provisionning via Services Web
Provisionning :
des utilisateurs
des comptes
des équipements cibles
des droits d’accès …
Ces informations peuvent être synchronisées automatiquement
entre une solution centrale de type IAM et un WAB
Ce qui permet une importante diminution du TCO du WAB.
Permet le « provisionning » du WAB via des services Web de
type SOAP

30. Réponses aux besoins
Gestion des mots de passe
administrateurs
Turnover des équipes IT
“POST-MORTEM” EN CAS D’INCIDENT CONTRÔLE DES PRESTATAIRES
PLUS QU’UN SEUL MOT DE PASSE
À CONNAITRE !
IL SUFFIT DE DÉSACTIVER LE COMPTE
AU NIVEAU DE WAB
Toutes les actions peuvent être
enregistrées et auditées
Wab contrôle les accès et
enregistre les actions

31. Questions
Merci de votre attention !