Une banque suisse s’interroge sur les tablettes tactiles
Les spécialistes de la sécurité peuvent appréhender les tablettes tactiles comme un nouveau défi inutile et malvenu, mais les utilisateurs - en particulier les cadres supérieurs - ne peuvent plus s’en passer. La banque Frankfurter Bankgesellschaft a trouvé un moyen d'éviter les éventuels problèmes de sécurité tout en maintenant et même en améliorant l’utilisabilité et les performances.
La consumérisation de l’IT - c’est à dire les employés utilisant leurs propres appareils, comme les téléphones portables et les tablettes, dans le cadre de leur travail quotidien, poussant le personnel informatique à en assurer le support - était déjà une préoccupation pour le personnel de sécurité informatique avant même la naissance des tablettes. Mais celles-ci ont considérablement compliqué la situation, introduisant non seulement une variété de systèmes d'exploitation, mais aussi la menace d'applications chargées de virus, téléchargées par les utilisateurs des tablettes et susceptibles de voler des informations et d’infecter les systèmes des entreprises.
Pour Zdravko Ruzicic, responsable de l’ingénierie systèmes et réseau chez Frankfurter Bankgesellschaft, une banque privée disposant de bureaux à Zurich et à Francfort, prend toute la mesure de la demande des cadres supérieurs pour utiliser leurs propres tablettes. Pour lui, c’est le signe du début d’une transformation rapide du poste client. "Nous pensons que d'ici quatre à cinq ans, l'ordinateur portable traditionnel aura complètement disparu", explique-t-il. Il considère que l’écosystème actuel d’ordinateurs de bureau et de portables cédera la place à un mélange de tablettes et de clients légers, au sein de son entreprise.
Plus tôt cette année, Ruzicic a mis en oeuvre une transformation majeure de l’architecture systèmes de la banque, basée sur la virtualisation du poste de travail et qui, selon lui, fournira la base idéale pour supporter les terminaux personnels des utilisateurs en toute sécurité, quels qu’ils soient. La nouvelle architecture, explique-t-il, permettra aux utilisateurs d'accéder aux données de l'entreprise à partir de leurs propres tablettes, par exemple, sans affaiblir la sécurité qui est essentielle au fonctionnement de la banque.
Ironiquement, la genèse de ce changement n'a rien à voir avec des programmes de type Bring-Your-Own-Device (BYOD, ou apportez-votre-propre-terminal), ni même avec une stratégie de déploiement de tablettes. Elle est survenue à la fin de l'année 2010, alors que la banque avait identifié le besoin d'un nouveau système bancaire central. Lequel nécessiterait un effort de développement mobilisant environ 50 développeurs logiciels extérieurs.
Ruzicic a alors compris qu’une infrastructure de poste de travail virtuel (VDI) serait adaptée au support de ces 50 développeurs. Les utilisateurs pourraient se connecter en utilisant leurs nom d'utilisateur et mot de passe de session Windows, renforcé d’un jeton SecurID pour obtenir une authentification forte. Il a choisi la solution ILIO d'Atlantis Computing pour gérer la question des performances des entrées/sorties et contenir ses coûts. «Si vous ne répondez intelligemment aux questions de coût et de performances, la direction n'acceptera pas le coût du VDI et cela conduira à l'annulation du projet", souligne-t-il. "Mais ILIO nous a permis de mettre en œuvre le VDI pour un coût inférieur à celui d’un PC physique en réutilisant notre SAN existant plus efficacement et en réduisant nos coûts de stockage."
Jusqu'ici, le système ne sert qu’à supporter les développeurs distants. Mais son effet, sur le projet, a été tel que Ruzicic estime maintenant qu'il a jeté les bases de changements plus fondamentaux, projetés pour les prochains mois. En utilisant la virtualisation du poste de travail, il assure qu'il sera en mesure de surmonter les risques de sécurité potentiels d'une politique BYOD.
"L'an prochain, nous allons faire une migration vers Windows 7 et Office 2010 et nous prévoyons d'étendre le VDI au reste de l’entreprise", indique-t-il, ajoutant que cela permettra de faciliter l’administration des systèmes et permettra à l'entreprise de passer progressivement à des postes de travail plus petits, au fil du temps.
Pour lui, l’infrastructure VDI fournira également la plateforme parfaite pour gérer les différents terminaux appartenant aux utilisateurs et qu'il s'attend à voir proliférer dans la banque au cours des prochaines années. Avec une combinaison de Citrix XenDesktop et un bon contrôle d'accès réseau (Frankfurter utilise ARP-Garde d'ISL, une éditeur allemande basé à Hagen), il estime pouvoir garder le contrôle de qui accède à l'information et ce qu'il en fait. Par exemple, il peut contrôler l'utilisation des périphériques USB et les transferts de fichiers en fonction d'une politique gérée de manière centralisée, tout en préservant le stockage centralisé des données de l’entreprise - celles-ci ne passant finalement pas de manière persistante sur les terminaux.
«Si nous mettons en œuvre une infrastructure basée dans le centre de calcul, assortie d’une solution de contrôle fort des accès réseau, et d’une authentification forte, nous pouvons faire un pas en avant pour introduire une politique BYOD robuste, même dans une banque», conclut Ruzicic.
Adapté de l’anglais par la rédaction