Comment un grand groupe chiffre les disques de ses 40 000 PC portables
Un grand groupe français a déployé une solution de chiffrement sur l'ensemble de ses 40 000 PC portables. Son RSSI a présenté, lors des rencontres de l'IAM, ce projet lancé en 2006 mais refondu en 2009 afin de lever certaines contraintes.
Ce groupe français, qui entend conserver l'anonymat, compte 100 000 utilisateurs et sensiblement autant de postes de travail, dont près de 40 000 portables. Parmi ces derniers, 33 000 sont confiés à des commerciaux et 7000 à des utilisateurs occasionnellement nomades, essentiellement des managers.
« En 2007, dans notre entreprise, un PC portable a été volé ou perdu tous les deux jours. Or, nombre d'entre eux contiennent des informations confidentielles », a expliqué le RSSI de ce groupe. Il s'est exprimé lors des RIAM (rencontres de l'IAM) qui se sont tenues du 26 au 28 mai dernier et organisées par l'intégrateur Atheos. Cet évènement a rassemblé cette année 150 RSSI de grandes entreprises, telles que la Caisse des Dépôts, Areva, La Poste ou encore Carrefour.
Des contraintes pour les utilisateurs et le support
Dès 2005, la décision avait été prise de mettre en oeuvre à grande échelle une solution de chiffrement de l'ensemble des disques durs, en cherchant à minimiser les contraintes pour les utilisateurs. La solution choisie est SafeGuard Easy (de Sophos).
Le déploiement est réalisé en trois phases : tests sur 1000 machines, projet pilote sur 3000 machines, et enfin déploiement sur les quelque 35 000 machines restantes. Afin de s'assurer que l'outil sera bien présent sur tous les PC, il est décidé en cours de projet de modifier la configuration standard des PC en y intégrant SafeGuard Easy. Le déploiement, qui s'en est trouvé ralenti mais fiabilisé, s'achève fin 2008.
La solution donne satisfaction mais impose deux contraintes. Tout d'abord, faute d'une synchronisation avec Active Directory, elle exigeait un double log-in - celui de l'outil puis celui de Windows.
D'autre part, à chaque population homogène (marketing, commerciaux...) devait correspondre un fichier de configuration spécifique. Cela compliquait le déploiement et entrainait un support spécifique à chacune de ces populations. La difficulté était accrue lorsqu'un utilisateur changeait de population.
Une architecture centralisée est déployée en 2010
Début 2009, il est donc décidé d'adopter une nouvelle architecture qui permettra de contourner ces inconvénients. Le choix de l'outil se tourne alors vers SafeGuard Enterprise qui permet de définir, de façon centralisée, des politiques de sécurité différentes pour chaque population.
De plus, une meilleure délégation des droits assure une continuité du support, même lorsque des utilisateurs changent de poste dans l'entreprise. Enfin, la synchronisation des comptes avec Active Directory devient possible. Il suffit donc d'un seul mot de passe pour démarrer la machine et gérer le chiffrement, qui devient ainsi pratiquement transparent pour l'utilisateur.
Le déploiement massif devrait intervenir en septembre 2010 sur la base de la version 5.5 de SafeGuard Enterprise, annoncée en avril dernier. Elle apporte un support complet de Windows 7, ce qui se traduira essentiellement par des performances améliorées.