Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

GFI Informatique associe sécurité et facilité d’usage des postes de travail grâce aux solutions unifiées d’Ivanti

janvier 2019 par Marc Jacob

Ivanti annonce que GFI Informatique, l’une des principales entreprises de services du numérique (ESN) françaises, utilise la solution d’Ivanti® Application Control afin de permettre une gestion fine et précise des privilèges temporaires et des applications, avec une plus grande simplicité d’administration.

GFI Informatique compte parmi les 10 plus importantes entreprises de services IT en France, et se trouve également classée dans le Top 10 des éditeurs français, employant au total plus de 18 000 collaborateurs, dont environ 10 000 en France.

Le défi

Avec l’informatique pour cœur de métier et des développeurs présents auprès des clients la majorité de leur temps, la gestion du parc de postes de travail est un véritable défi chez GFI. D’autant plus avec un parc qui n’est pas uniforme (Windows, Linux et Macintosh).

Parmi les principales difficultés de la gestion du parc : les droits attribués aux utilisateurs. Pour des raisons évidentes de sécurité et de conformité au RGPD, GFI souhaitait en effet ne pas maintenir les droits d’administration permanents sur les postes utilisateurs et contrôler finement les applications qui s’y exécutent.

Par ailleurs, GFI tente de concevoir son effort de sécurisation comme un service à valeur ajoutée, plutôt que comme une contrainte. Application Control rentre pleinement dans cette logique.

La question était donc la suivante : comment limiter les droits d’accès à la population de développeurs sans les entraver dans leurs fonctions et leurs tâches quotidiennes, par définition intimement liées à leur capacité d’actions sur leur poste ? Comment allier sécurité et expérience utilisateur de qualité sans entraver la productivité ?

La solution

La solution semblait très simple : par défaut, aucun utilisateur ne dispose des droits administrateurs sur son poste lorsqu’il se connecte. Et peut, le cas échéant, faire appel au helpdesk de la DSI pour une élévation temporaire des droits afin d’utiliser ou d’installer telle ou telle application, évaluée au cas par cas.

« Un dispositif viable pour les fonctions support mais en aucun cas satisfaisante pour les développeurs ou les membres de la DSI, qui peuvent avoir ce genre de besoin jusqu’à plusieurs fois par jour », explique Johan Hiverlet, chef de projet à la DSI Centrale de GFI.

Deux solutions ont été envisagées pour automatiser le processus. Mais très vite, le manque de souplesse et de praticité, ainsi que la lourdeur d’administration, en a écarté l’une des deux. « Nous étions déjà en lien étroit avec Ivanti, qui nous avait fourni un an auparavant la solution Endpoint Manager », poursuit Johan Hiverlet. « Dès les premiers essais, nous avons été convaincus : la solution Application Control répondait exactement à notre besoin, et à la fois son déploiement et son utilisation étaient d’une très grande intuitivité. »

Application Control fournit à GFI la visibilité nécessaire sur son patrimoine applicatif afin d’apporter le contrôle au travers de l’application de politiques d’accès uniformes. Ces politiques permettent également d’éviter que les équipes IT n’aient à gérer les demandes manuellement, tout en maintenant la productivité des utilisateurs. Trusted Ownership™ empêche automatiquement l’exécution de tout code, même inconnu, qu’un propriétaire non digne de confiance (un compte utilisateur type, par exemple) introduit.

Le contrôle des applications permet également aux utilisateurs d’élever automatiquement leurs droits lorsque des exceptions se produisent, offrant ainsi aux utilisateurs la possibilité d’accéder aux privilèges dont ils ont besoin pour leur travail, ni plus, ni moins.

En outre, la solution d’Ivanti est en mesure d’identifier clairement les services Windows qui ne peuvent pas être arrêtés malgré l’existence des droits d’administration (certains services Windows et autres variables d’environnement, l’antivirus et bien sûr la solution Application Control elle-même).

Les résultats

« Par sa grande souplesse et la gestion très fine des droits et des utilisateurs qu’elle permet, la solution Application Control est capable de s’adapter à toute stratégie de gestion des privilèges et de contrôle d’applications, aussi granulaire soit-elle, ce qui est le cas de la nôtre », détaille le chef de projet.

Aujourd’hui, et grâce à la très forte capacité d’adaptation de l’outil, le travail de refonte des profils se réalise au fil de l’eau : « il est impossible de penser en amont à tous les cas d’usages dans une entreprise aussi importante, les métiers étant nombreux et leur exercice très varié », rappelle Johan Hiverlet. « Lorsqu’un nouveau cas se présente, quelques minutes suffisent à le paramétrer grâce à l’interface à la fois conviviale et très maniable d’Ivanti. »

C’est ainsi que certains profils de la direction des ressources humaines ont été modifiés afin qu’ils puissent accéder à une de leurs applications en ligne. Tandis que d’autres profils ont été basculés en un seul clic du mode « on-demand » (appel au helpdesk) au mode « self-elevation ».

Application Control est également particulièrement appréciée des utilisateurs, ravis de sa simplicité d’utilisation (demande d’élévation des privilèges en un clic). Tandis que le dashboard Xtraction, déjà utilisé avec Endpoint Manager et commun à toute la gamme Ivanti, permet un suivi rigoureux des différents cas d’utilisation de l’élévation des droits.

Quant à la question de l’entrée en vigueur du RGPD, « grâce à notre capacité à contrôler les droits administrateurs de façon extensive, il est plus facile de limiter le risque de propagation d’une attaque sur le parc », se félicite Johan Hiverlet. « Ce qui réduit considérablement notre surface d’attaque. »

Et pour aller encore plus loin en matière de sécurité des postes utilisateurs, la solution Device Control d’Ivanti sera elle aussi rapidement déployée, afin d’apporter une plus forte granularité en matière de connexion USB (utilisation de clés USB identifiées, de docks, de vidéoprojecteurs...), afin d’allier praticité et sécurité.

« Pour nous, l’une des principales forces d’Ivanti et de ses nombreuses solutions est l’équilibre qu’elles offrent entre sécurité avancée et productivité des collaborateurs », conclut Johan Hiverlet.




Voir les articles précédents

    

Voir les articles suivants