Faute de sécurité optimale, les départements IT du secteur financier opposent une fin de non recevoir lorsque l’échange mobile d’e-mails et de pièces jointes est envisagé par les utilisateurs. ING Luxembourg s’est donné les moyens de faire figure d’exception.
Les managers sont souvent appelés à se déplacer dans le cadre de leurs activités et conserver une interaction constante avec leurs e-mails, pièces jointes, contacts et agenda depuis leur smartphone fait dorénavant partie de leurs attentes classiques et légitimes envers les outils informatiques. Pourtant, alors que la technologie actuelle répond de manière efficace à ce besoin de mobilité, sa mise en place à l’attention des professionnels du secteur financier reste encore aujourd’hui pour beaucoup une gageure en matière de sécurité. ING Luxembourg n’aurait pu se satisfaire de la seule fourniture d’appareils capables d’offrir un accès mobile aux informations attendues : la condition sine qua non à l’échange de données entrantes et sortantes était qu’il soit ultra-sécurisé. C’est-à-dire qu’il devait répondre à la fois aux critères de sécurité imposés par l’organisme de contrôle national (la CSSF - Commission de Surveillance du Secteur Financier) et aux règles de sécurité internes en vigueur chez ING Luxembourg, qui dépassent de loin les recommandations des instances internationales de contrôle.
Une chaîne étanche pour des données confinées au territoire
Partant, Telindus a proposé une solution reposant sur une technologie mature et éprouvée de Microsoft, capable de satisfaire le besoin incontournable de placer les données mobiles sous haute surveillance, surtout lorsque l’utilisateur est en déplacement à l’étranger. “Ensemble, en mai 2008, nous avons réfléchi, identifié et solutionné tous les accès possibles à ces données. Absolument tous les cas de figure ont été envisagés, jusqu’à la perte ou le vol de l’appareil. Nous avons défini la sécurité, mais aussi sa gestion et son contrôle à distance”, résume Didier Schneider, Manager Information Technology Services chez ING Luxembourg. La moindre donnée entrante ou sortante est ainsi placée sous le contrôle de tunnels VPN cryptés qui sont liés au serveur principal sécurisé de l’institution financière. Les données échangées entre le terminal et le serveur de messagerie restent donc au sein du territoire luxembourgeois et, grâce à cette chaîne parfaitement étanche à toute intrusion, le département IT garde la main sur toutes les données, quel que soit le point d’accès. Les applications installées sur les smartphones sont en outre rigoureusement contrôlées et verrouillées, ce qui, dans le cadre d’une utilisation à des fins professionnelles, suffit amplement à satisfaire tous les besoins de mobilité.
Une extension de la station de travail
Les managers d’ING Luxembourg disposent depuis juin 2008 d’une solution à la fois opérationnelle et sécurisée. Mais qu’en est-il du confort d’utilisation ? C’était précisément la 2e exigence exprimée. Les utilisateurs finaux travaillant sur l’environnement Microsoft au bureau, le choix de cet éditeur s’est imposé de façon naturelle, afin que ceux-ci retrouvent le même look & feel, la même navigation et le même type d’accès aux documents Word et Excel en contexte mobile. “Les e-mails mobiles sont archivés via Microsoft Exchange, ce qui fait partie de la valeur ajoutée de la solution, puisque cette convergence entre e-mails fixes et mobiles est, une fois encore, orientée vers une utilisation conviviale sans remise en question des habitudes de nos managers”.
Company Profile
ING est une institution financière d’origine néerlandaise qui propose des services bancaires, d’assurance et d’investissement a plus de 85 millions de clients privés, Corporate et Institutionnels dans plus de 50 pays.
Business impact
• Augmentation de la productivité de l’équipe de management
• Partage de la connaissance favorisé avec les collaborateurs, grâce à la réactivité accrue
• Travail collaboratif favorisé
• Solution ouverte aux progrès technologiques
• Environnement capable d’évoluer en fonction des besoins (déploiement d’applications métier adaptées aux terminaux mobiles)
Bits & Bytes
La solution, basée sur Microsoft System Center Mobile Device Manager 2008, utilise trois serveurs : d’enrôlement, de management et un gateway (point d’entrée du VPN).
Phase préalable d’enrôlement :
L’enrôlement unique d’un appareil mobile tournant sous Windows Mobile permet d’assurer le niveau de sécurité attendu. Pour pouvoir se connecter au gateway, il doit d’abord s’établir en tant qu’objet connu et authentifié dans l’Active Directory Domain Service.
Pour ce faire, l’appareil demande un certificat au serveur d’enrôlement, qui le lui délivre après lui avoir créé un compte dans l’Active Directory (relié à celui de l’utilisateur). Le certificat et l’appareil sont ensuite reliés.
Connexion au réseau d’entreprise et mise à jour des smartphones :
L’appareil enrôlé utilise son client VPN Mobile pour se connecter au gateway via IPsec (Internet Protocol security), ce qui l’authentifie et encrypte les données qui transitent. L’utilisateur accède ainsi aux ressources du réseau de son entreprise de manière contrôlée à travers le VPN Mobile, le gateway prenant en charge tout le trafic de l’appareil, y compris l’acheminement des données du smartphone vers le réseau.
Loading ...
Les commentaires favoris