Le NAC déployé au niveau mondial chez Estee Lauder, géant de la cosmétique
Estee Lauder est un groupe mondial qui emploie 25 000 personnes. Afin d'être conforme aux textes réglementaires, il déploie actuellement sur toutes ses filiales une solution NAC. Le déploiement aux Etats Unis est presqu'achevé. Il est en cours en Europe. C'est grâce à la technologie NAC (Network Access Control) que le poids lourd des cosmétiques Estee Lauder entend pour partie répondre aux exigences des réglementations PCI (Payment Card Industry), définies par Visa et Master Card, et à la loi Sarbanes Oxley. Estee Lauder emploie 25 000 personnes dans le monde, au travers de ses différentes filiales, et réalise 7 milliards de dollars de chiffre d'affaire. NAC est utilisé afin de mettre à jour régulièrement les anti-virus comme l'exige PCI. Un plan NAC mondial « Nous devons aussi respecter Sarbane Oxley, qui nous demande la vérification des règles, l'évaluation des contrôles d'accès, des capacités d'audit, et la réduction des failles selon les profils de risque, décrit Les Correia, responsable de la sécurité pour Estee Lauder. De plus, NAC fait partie d'un déploiement à l'international dans des filiales qui jusqu'alors étaient libres de leurs initiatives en matière de sécurité du réseau. « Des prestataires vont et viennent dans nos locaux, et nous avons de nombreux magasins, nous voulions mieux gérer la sécurité, souligne le responsable. Cette sensibilisation avait mené l'entreprise a acquérir les équipements NAC de StillSecure, avec la solution Safe Access, en 2006. Une meilleure différenciation des droits d'administration En 2007, Estee Lauder anticipant une mise à jour mondiale de la sécurité de ses filiales, a réévalué la solution de StillSecure face aux offres NAC de Cisco et ... ... de Bradford Networks. « Nous avons finalement décidé de continuer avec StillSecure, sans tester les produits de Cisco ni de Bradford. Nous connaissons bien StillSecure, nous avons pu apprécier leur souplesse, et nous avions fait le tour du marché lors de notre premier choix, déclare Les Correia. De plus, des mises à jour du produit par StillSecure ont permis de disposer d'outils d'administration mieux centralisés et d'une plus grande finesse de gestion des droits pour les équipes techniques : ceux qui établissent les politiques NAC, ceux qui répondent à la « hot line », et les administrateurs de la sécurité. Un reporting qui permet de vérifier la conformité « Nous sommes en train d'évaluer l'usage du protocole standard 802.1x sur certaines parties de notre réseau, et nous apprécions que StillSecure accepte ce protocole comme mécanisme de renforcement, ajoute Les Correia. Le produit Safe Access de StillSecure vérifie si les machines ont leur système d'exploitation mis à jour ainsi que leurs anti-virus. « Notre solution NAC permet également l'établissement de rapports sur qui accède à quoi, avec quelle machine et si la machine est conforme à nos exigences, se félicite Les Correia. Le déploiement mondial de NAC est en cours. Il est presque terminé pour les Etats Unis. Le déploiement en Europe et en Asie nécessite de la diplomatie car les filiales locales avaient jusqu'alors leur autonomie. Des mises à jour du réseau Les arrêts du réseau que nécessitera le déploiement de NAC seront synchronisés avec les autres mises à jour dont l'implémentation de SAP. Estee Lauder utilisait déjà NAC pour 3000 consultants extérieurs qui devaient accéder à son réseau. Lors de la connexion, ... ... le « scan » d'une machine prend environ 30 secondes. Estee Lauder a recours aux trois options disponibles sur le produit : un client NAC complet, l'agent téléchargeable et le fonctionnement sans agent. Pour les machines administrées par l'entreprise, c'est la solution utilisant le client complet qui est employée. Son déploiement est relativement simple, le client NAC faisant partie du master qui est employé. Un fonctionnement en complément de l'antivirus Lors de la demande de connexion, le PC de l'utilisateur demande une adresse IP sur le réseau. Cette demande est interceptée par le serveur de StillSecure. Le PC est « scanné » et s'il est conforme, le serveur NAC effectue une nouvelle demande d'adresse IP au nom du poste client. Le « scan » du PC connecté est répété périodiquement par la suite. Si une machine n'est pas conforme, le serveur NAC affiche un message sur le PC de l'utilisateur pour lui indiquer comment s'y prendre pour résoudre le problème. NAC fonctionne dans le mode « monitoring ». Il détecte si l'utilisateur a désactivé son antivirus. La solution NAC chez Estee Lauder sert de second dispositif, par rapport au serveur ePolicy Orchestrator de McAfee, qui « pousse » les mises à jour d'antivirus vers les PC et récupère des informations sur la sécurité. ePolicy Orchestrator peut remonter des indications sur les failles vers Safe Access de StillSecure. En retour, ce dernier peut placer la machine qui n'est pas conforme à la politique de sécurité vers une zone de quarantaine, en attendant d'être mise à jour.
