Norwich Union protège ses systèmes de bureau contre

®
Témoignage client
Norwich Union protège ses systèmes de bureau contre les
menaces de sécurité que posent les périphériques USB
La société
Norwich Union est le plus grand assureur du Royaume-Uni. Il est la référence
en matière d’épargne à long terme, avec plus de 6 millions de clients. C’est
également la plus grande compagnie d’assurances de dommages, avec
4,3 millions de clients. Norwich Union assure un foyer sur cinq, un
véhicule à moteur sur sept et plus de 800 000 entreprises au
Royaume-Uni. La compagnie fait partie d’Aviva, le sixième
groupe mondial d’assurances, qui gère un actif s’élevant à
291 milliards de livres. Aviva compte 60 000 employés et
30 millions de clients dans le monde entier.
Le défi
En 2004, l’assureur a décidé de migrer ses
systèmes de bureau de Microsoft Windows
NT4 vers Windows XP. L’une des nouvelles
fonctionnalités offertes par Windows XP
était le support des périphériques USB. En
tant que compagnie d’assurances astreinte
à un niveau de responsabilité élevé vis-àvis de ses clients internes et externes, le
Business Security Group (BSG) de Norwich
Union était pleinement conscient que cette
fonctionnalité constituait à la fois une
menace et une opportunité et nécessitait
une gestion très prudente. Ian Gladstone,
chef de projet chez Norwich Union, résume
la situation de la manière suivante : “Nous
avons compris que nos nouveaux postes de
travail XP allaient nous rendre vulnérables
aux risques liés à l’utilisation non contrôlée de
ports USB. Nous devions trouver le bon équilibre
entre la protection des données d’entreprise et le
bon déroulement de nos activités au quotidien”.
Le BSG a rejeté l’idée d’interdire l’usage des
périphériques USB, car il était pertinent dans certaines
situations. Ian Gladstone a par exemple évoqué le cas
d’une employée qui avait entrepris un projet hors ligne.
Elle y avait consacré beaucoup de temps et d’efforts et avait
enregistré la majeure partie de son travail sur le disque dur de
son ordinateur portable. Lorsque le portable est tombé en panne,
l’impossibilité de sauvegarder les données enregistrées en local sur
son ordinateur aurait retardé d’environ une semaine leur récupération. La
sauvegarde des données locales aurait été impossible si l’accès au port USB avait
été interdit.
En conséquence, le BSG a décidé de rechercher une solution qui pourrait offrir au personnel de Norwich Union la possibilité d’utiliser des
périphériques USB lorsque cela était approprié et de manière contrôlée, sans exposer pour autant le réseau d’entreprise à des risques
inacceptables tells que l’introduction de virus et de logiciels espions ou la fuite de données sensibles.
La solution
Le secret pour s’assurer la réussite du déploiement d’une solution est de s’adjoindre la coopération et l’appui des utilisateurs eux-mêmes.
Pour ce faire, le personnel informatique a entrepris de les informer de la nécessité d’une telle solution. Il a réalisé une étude sur l’usage que
faisaient les employés des périphériques d’E/S, comme des clés USB et des imprimantes locales, ainsi qu’une campagne de sensibilisation
aux dangers liés à l’utilisation non contrôlée de tels périphériques. Norwich Union a lancé un déploiement pilote de 150 utilisateurs répartis
dans toute l’entreprise. La solution choisie était Sanctuary® Device Control de SecureWave. Le pilote a permis au personnel du support
technique d’évaluer l’impact sur les équipes chargées du support et de l’administration. Il leur a également permis de vérifier dans quelle
mesure le logiciel s’intégrait à Microsoft Active Directory, que l’entreprise avait choisi pour déployer ses politiques de sécurité vis-à-vis des
utilisateurs.
Les résultats obtenus avec le projet pilote ont conforté le choix de logiciel, notamment parmi les utilisateurs expérimentés de l’entreprise
qui étaient habitués à disposer d’un certain degré de contrôle et de flexibilité sur leurs PC. Un autre groupe était important : les sites de
transactions à distance, autrement dit les employés de Norwich Union travaillant sur des sites de courtage avec une connectivité directe au
réseau de l’entreprise. Ian Gladstone a décrit le problème en termes succincts : “Dans un tel environnement, il est parfaitement possible
pour un employé d’introduire par mégarde un virus sur le réseau simplement en apportant une photo de ses enfants sur une clé USB et en
l’envoyant par e-mail à son oncle d’Amérique”.
Le logiciel de gestion des périphériques Sanctuary® est désormais déployé au niveau national sur
28 000 systèmes de bureau. Les utilisateurs et les administrateurs du support informatique
ont tous eu une réaction positive. Voici comment Ian Gladstone résume la situation
: “Le logiciel nous permet de contrôler avec précision l’identité, la nature, le
lieu et le moment où les utilisateurs sont autorisés à connecter au réseau
d’entreprise des périphériques USB ou tout autre périphérique non
autorisé “. En matière de support, l’intégration étroite avec Active
Directory signifie qu’il est possible de gérer l’appartenance à
un groupe sans effort supplémentaire, tandis que la console
Sanctuary® Remote Administration permet au personnel
du support de vérifier le statut d’un utilisateur depuis
n’importe quel poste du réseau.
Les avantages
Comme l’explique Ian Gladstone, “Au lieu de
prendre une mesure draconienne consistant
à interdire purement et simplement l’usage
des périphériques USB, nous avons essayé de
trouver un moyen contrôlé et gérable pour
faciliter l’utilisation de ces périphériques
là où cela était vraiment nécessaire. Par
exemple, les cadres supérieurs ont besoin
d’accéder à des données sensibles mais ils
n’ont pas le temps de se préoccuper de la
sécurité. Il nous fallait donc une solution
qui protège les intérêts de l’entreprise de
manière transparente sans que l’utilisateur
ait besoin d’intervenir “.
“La solution Sanctuary® fonctionne en
définissant une liste de périphériques
(USB ou autres) “autorisés” qui ont le droit
d’accéder au réseau et en refusant tous les
autres. Il était donc intéressant d’examiner les
différentes approches suivies par chaque groupe
pour déployer la solution”, poursuit-il. “L’un
d’eux a choisi de commencer par une approche
plus libérale de l’utilisation des périphériques en la
renforçant progressivement. Il a ainsi exploité la capacité
du logiciel à offrir un contrôle très granulaire sur l’usage
des périphériques USB en offrant l’accès à certains types de
périphériques utilisés à certaines dates et heures, par certaines
personnes et à des endroits spécifiques. À l’inverse, un autre groupe
a suivi une approche plus rigide, autorisant l’utilisation au cas par cas”.
“D’un point de vue financier, l’argument était évident”, ajoute Ian Gladstone. “La
justification du coût de déploiement du gestionnaire de périphériques était un exercice de
gestion du risque. Nous avons comparé le coût d’achat et de déploiement
du logiciel à celui du risque que présente pour l’entreprise l accès non protégé aux ports USB ; le résultat parlait
de lui-même”.
www.securewave.com
[email protected]