Le choix de l`approche directe pour accroître la sécurité

®
Témoignage client
Le choix de l’approche directe pour accroître la
sécurité informatique
ING DiBa utilise SecureWave pour contrôler tous ses ports USB de
manière centralisée
Les ports USB et le “Plug & Play” : c’est d’une telle simplicité ! Il suffit de
connecter un périphérique pour pouvoir commencer à l’utiliser. Mais
c’est justement cette fonction qui pose souvent problème dans
les entreprises. Il suffit de mentionner les virus, les pertes de
données intentionnelles ou accidentelles et l’usage privé...
Après tout, le “Plug & Play” est très pratique pour les
utilisateurs : ils peuvent installer des périphériques
externes en quelques secondes seulement. Il ne
s’agit pas seulement des supports amovibles, mais
également des périphériques qui, par leur nature
même, offrent une grande capacité de stockage.
Par exemple, les périphériques tels que les iPod,
les appareils photo numériques et les PDA sont
utilisés pour copier innocemment toutes sortes
de données Pour de nombreuses entreprises,
la migration vers Windows XP impliquait
un changement d’attitude vis-à-vis des
questions de sécurité et de l’exploitation
de ces nouvelles opportunités. Le groupe
financier ING DiBa a reconnu ce besoin début
2005. Après des tests approfondis au centre
des opérations informatiques de Nuremberg,
Detlef Ebert a décidé de ne pas opter pour
l’interdiction totale, préférant fournir une
autorisation spécifique aux utilisateurs et aux
périphériques à l’aide du logiciel Sanctuary®
Device Control (SDC) de SecureWave. “Nous
pouvons ainsi implémenter des politiques
de sécurité pour des services spécifiques
de manière centralisée, et le matériel neuf
peut être rapidement intégré lorsque cela est
nécessaire”, explique-t-il.
Les banques directes connaissent une forte
expansion grâce à la disponibilité de connexions
internet haut débit, car il est possible de réunir des
conditions favorables en dispensant des conseils par
le biais d’internet, du téléphone ou du courrier. ING
DiBa peut s’enorgueillir d’une expérience de 40 années
en tant que banque directe, même si elle ne porte son nom
actuel que depuis 2004 (ou, devrait-on dire, avant même son
changement de nom en 2004). En 1965, la banque BSV (Bank für
Sparanlagen und Vermögensbildung AG) a été fondée à Francfort. Après
une réorientation stratégique sur des produits tels que les services bancaires
directs, l’établissement a changé son nom en “Allgemeine Deutsche Direktbank”. En
2002, la banque DiBa a été rachetée par la société financière néerlandaise ING, à laquelle
elle doit son excellente position actuelle : la banque compte en effet plus de quatre millions de clients. Ce chiffre augmente également
grâce à la campagne publicitaire très efficace menée par Dirk Nowitzki et au parrainage de divers clubs de basket-ball. Par exemple, depuis
juin 2005, ING DiBa soutient l’équipe de basket-ball en fauteuil roulant par l’intermédiaire de l’Association Allemande de sport en fauteuil
roulant.
Faire plus avec moins
Pour en revenir au problème de l’informatique, outre l’implémentation centralisée des politiques matérielles et logicielles au siège, les
responsables informatiques locaux peuvent également implémenter les projets individuels nécessaires. Suite à la migration totale vers
Windows XP, une nouvelle solution de gestion des ports USB était requise sur le marché allemand. Le centre des opérations informatiques
a décidé, en consultation avec la société de conseil informatique munichoise TRYPTIS, de choisir le logiciel Sanctuary® Device Control de
SecureWave. “ Parler d’une implémentation en quelques jours, c’est déjà trop, puisque nos collègues de TRYPTIS n’ont eu besoin que de
quelques heures pour faire le travail “, ajoute Detlef Ebert du centre des opérations informatiques d’ING DiBa. “ La simplicité de la structure
d’implémentation n’était donc pas qu’un argument marketing, puisque nous avons pu la constater de nos propres yeux “. En conséquence,
le principal défi sur ce projet n’était pas la mise en place à proprement parler, mais le processus d’évaluation préalable. Dans ce cas précis,
les responsables de service concernés ont choisi les périphériques qu’ils utiliseraient à l’avenir.
Créer une liste blanche
ING DiBa détient au total 2 600 licences de Sanctuary® Device Control qui couvrent tous les postes de travail installés dans les agences de
Francfort, Hanovre et Nuremberg. Le logiciel fonctionne sur le principe de la liste blanche. Autrement dit, tous les périphériques externes
sont bloqués et ne peuvent être utilisés qu’après qu’une autorisation centrale a été donnée au client en question. Ce système s’applique à
toutes les connexions aux lecteurs de disque, CD-ROM et DVD, ainsi qu’aux ports série, parallèle
et USB. ING DiBa a pris la décision d’autoriser uniquement l’accès aux ports USB après
l’octroi d’une autorisation. Pour ce faire, une liste de contrôle d’accès (ACL) est
créée pour chaque périphérique. Seul l’administrateur peut connecter les
utilisateurs ou groupes d’utilisateurs aux périphériques au moyen
d’un accès autorisé.
“ Notre décision de choisir la solution de SecureWave repose
sur les nombreuses options de contrôle qu’elle offre,
outre la possibilité d’octroyer des autorisations par
périphérique à tous les employés “, explique Detlef
Ebert. “ Ce système nous permet même, par exemple,
d’autoriser l’accès à un périphérique spécifique
pour un groupe d’utilisateurs donné “. Cette
fonctionnalité repose sur l’option de cryptage.
“ Pour l’heure, une vingtaine de périphériques
différents sont utilisés, comme des systèmes
BlackBerry, Palm ou iPack “, poursuit Detlef
Ebert. Roger Wagner, vice-président des
ventes et du marketing de SecureWave pour
le continent européen, confirme : “ Notre
expérience sur les dernières années montre
que c’est cette fonctionnalité en particulier
qui est très importante pour les entreprises,
car elle leur permet de satisfaire sans
aucun problème les besoins spécifiques
des employés “.
Rendre à César ce qui appartient
à César
Windows XP est désormais le système
d’exploitation standard utilisé chez ING DiBa
et l’accès aux périphériques externes est géré
de façon centralisée. Heureusement, il n’est pas
possible de mesurer exactement le niveau de succès
lié à l’utilisation de Sanctuary®, car les dommages ne
pourraient être identifiés que dans l’éventualité d’un
incident grave. Le rapport de sécurité annuel d’ING DiBa
en donne toutefois une idée, montrant que l’utilisation de
ce logiciel définit un standard très élevé qui est maintenu sur
le long terme. En outre, un audit est réalisé deux fois par an pour
vérifier que toutes les obligations légales afférentes à la sécurité
informatique sont bien respectées. Le résultat est des plus probants,
puisque aucun manquement n’a été identifié. Enfin et surtout, son succès
peut également être mesuré sur l’activité du service d’assistance, lequel n’a pour
l’instant que peu de problèmes à gérer. Une réponse très rapide peut être donnée aux
demandes d’utilisation de nouveaux périphériques, car une fois que le responsable de secteur a
donné l’autorisation, la signature est saisie dans la liste des périphériques autorisés.
Alors qu’en est-il de la sécurité du poste de travail ? Compte tenu des résultats obtenus grâce à l’utilisation
du principe de la liste blanche de SecureWave, les périphériques continueront d’être autorisés au cas par cas.
Le logiciel est mis à jour régulièrement avec l’aide de TRYPTIS. Cela signifie que l’entreprise peut contrôler
exactement qui utilise quoi et quand. Ce facteur est des plus importants pour une banque qui traite des données
clients sensibles et qui doit s’assurer que ces données ne tombent pas entre de mauvaises mains, quelles que
soient les circonstances. Ce critère peut désormais être garanti aussi bien aujourd’hui que demain.
www.securewave.com
[email protected]