Snackable-SpeedofLight.pngJe suis toujours ravi quand la technologie facilite mon travail d'ingénieur de la sécurité client.

 

Et c'est exactement ce qui s'est produit avec le déploiement récent par Intel du chiffrement matériel utilisant l'unité de stockage SSD Intel®, famille professionnelle (actuellement constituée du SSD Intel® Pro série 1500 et du SSD Intel® Pro série 2500), associée au logiciel de chiffrement McAfee® Drive Encryption 7.1. Pour certaines entreprises, le déploiement de lecteurs en conformité avec Opal peut entrer en conflit avec les politiques et procédures de gestion du chiffrement. Pas chez Intel, grâce à la capacité d'intégration qui existe entre McAfee Drive Encryption et McAfee® ePolicy Orchestrator (McAfee ePO).

 

Les services informatiques d'Intel ont utilisé ePO pendant plusieurs années pour gérer d'autre solutions de sécurité McAfee telles que les programmes antivirus et les pare-feu. Aujourd'hui, tandis que nous menons la transition vers les lecteurs Opal, l'intégration d'ePO avec gestion du chiffrement signifie que les utilisateurs finaux n'ont pas besoin d'apprendre à utiliser une nouvelle interface ou un nouveau processus lors du passage du chiffrement logiciel au chiffrement matériel. Il leur suffit d'entrer leur mot de passe de chiffrement et c'est tout. Le résultat est le même qu'avec un chiffrement logiciel.


Un environnement mixte ? Aucun problème

 

Nous menons la transition vers les nouveaux lecteurs en suivant notre cycle de renouvellement standard. Par conséquent, notre environnement informatique contient toujours un certain nombre d'unités de stockage SSD Intel plus anciennes qui doivent utiliser le chiffrement logiciel. Mais pour l'équipe informatique, il n'y a aucune différence entre le provisionnement d'un lecteur conforme à Opal et le provisionnement d'un lecteur non conforme à Opal. McAfee Drive Encryption fournit un agent hybride capable de détecter s'il faut utiliser un chiffrement logiciel ou un chiffrement matériel en fonction de la configuration du lecteur et des règles définies par l'administrateur informatique. La même politique est utilisée, quel que soit le constructeur du lecteur ou le type de chiffrement requis par le lecteur, logiciel ou matériel. Il suffit au technicien d'indiquer l'ordinateur pour le chiffrement et c'est tout. Le déchiffrement, s'il s'avère nécessaire, est tout aussi simple.

Quand McAfee sort une nouvelle version de Drive Encryption, ou quand une nouvelle version de la norme Opal est disponible (dans les phase initiales de déploiement chez Intel, les unités de stockage SSD Intel® Pro série 2500 sont en conformité avec Opal 2.0), les politiques ne changent pas et la mise à jour se fait de façon transparente. Nous pouvons envoyer la nouvelle version aux PC clients. Les employés ne sont pas obligés de se rendre à un centre de services et les techniciens informatiques n'ont pas besoin de faire le tour des bureaux avec leur clés USB. L'organisation en arborescence des politiques ePO nous permet de définir différentes politiques pour différentes catégories de systèmes : serveurs et PC de client gérés par informatique et serveurs Exchange Microsoft Active Directory.

 

La transition vers les lecteurs en conformité avec Opal est également transparente pour le reste du service informatique : il n'y a aucun changement dans le processus d'imagerie du système. La même image et le même processus sont utilisés, que le lecteur soit une unité de stockage SSD plus ancienne ou un SSD Intel® Pro série 1500. Le processus de restauration est également identique, que le lecteur utilise un chiffrement matériel ou logiciel. Tout s'effectue depuis la même console, au moyen du même processus. Les techniciens du service d'assistance d'Intel n'ont pas besoin d'apprendre de nouvelle méthode de restauration quand un nouveau lecteur est introduit.

 

Vue d'ensemble du chiffrement dans l'entreprise


McAfee ePO nous permet de connaître facilement l'état du chiffrement de tous les PC de l'environnement. L'interface de requête ePO est simple d'utilisation (aucune connaissance en SQL n'est nécessaire, bien que ce langage soit disponible pour les utilisateurs avancés). L'interface est dotée des rapports les plus courants déjà intégrés (voir les exemples) et est facilement personnalisable. Certains rapports sont générés en moins de 30 secondes, d'autres prennent un peu plus de temps (quelques minutes).

 

À l'aide d'ePO, il est possible d'avoir une vue globale du chiffrement dans toute l'entreprise. L'interface ePO est personnalisable. Par exemple, il est possible de voir l'état complet du chiffrement de l'environnement, quelles versions de Drive Encryption et d'agent sont utilisées, et s'il y a des solutions incompatibles qui empêchent le chiffrement de s'effectuer. Il est même possible de se concentrer sur un PC en particulier pour voir ce qui provoque une incompatibilité.

 

Snackable-ClearITSecurityPane.pngLe chiffrement peut être supprimé en utilisant un moyens suivants :

  • L'administrateur informatique applique la politique de déchiffrement. Cette méthode nécessite une communication entre le PC client et le serveur.
  • Le centre de service informatique utilise une image de restauration avec un fichier d'identification XML exporté depuis le serveur, ou le mot de passe de l'utilisateur, pour déchiffrer le lecteur.

 

Cette méthode de déchiffrement garantit que l'état de chiffrement signalé dans ePO est en fait l'état du lecteur.

 

L'information s'affiche en temps quasi réel, ce qui est pratique si un PC est perdu ou volé. À l'aide d'ePO, il est possible de voir l'état du lecteur. S'il a été chiffré, nous sommes sûrs que les données sont en sécurité. Dans le cas contraire, nous pouvons savoir quel genre de données se trouvait sur le PC et agir en conséquence. ePO permet aux administrateurs informatiques de personnaliser l'intervalle pour la communication entre un PC donné et ePO.


Agent personnalisable

 

Si l'agent McAfee donne une grande quantité d'information par défaut, les développeurs se sont rendu compte qu'ils ne pouvaient pas penser à tout. Alors ils ont intégré quatre valeurs de registre client qui offrent encore plus de flexibilité. Par exemple, il nous fallait un moyen de différencier les tablettes des portables standard car nous voulions créer une stratégie basée sur la disponibilité des capacités tactiles lors du pré-amorçage. Nous avons donc paramétré une des quatre valeurs de registre pour indiquer si le PC est doté d'un clavier fixe. L'agent McAfee signale cette propriété à ePO, qui à son tour affecte une stratégie compatible en fonction de la valeur.

 

Une fenêtre unique

 

Avant d'intégrer le chiffrement de lecteur, ePO et l'unité de stockage SSD Intel®, famille professionnelle, en conformité avec Opal, certaines activité d'assistance informatique comme l'aide aux utilisateurs ayant oublié leur mot de passe de chiffrement étaient chronophages et inefficaces. Les clés de récupération étaient stockées à un endroit, tandis que les autres informations nécessaires étaient stockées ailleurs. Maintenant, la console gère tout. Si un utilisateur appelle, le technicien informatique a tout ce qui lui faut au même endroit : un lieu central pour tout ce qui concerne le chiffrement.

 

Nous avons découvert que la combinaison du logiciel McAfee Drive Encryption 7.1 et de l'unité de stockage SSD Intel® en conformité avec Opal fournissait une solution plus robuste que l'une ou l'autre de ces deux solutions seules. J'aimerais savoir comment les autres services informatiques se débrouillent alors que toute l'industrie adopte peu à peu des lecteurs en conformité avec Opal. N'hésitez pas à partager vos commentaires et à rejoindre la conversation sur le réseau de pairs Intel IT.