Workers’ Compensation Board of B.C.

Infrastructure sécurisée à la Worker’s Compensation Board de B.C grâce à une solution de bout en bout

Présentation de la Solution Le client La commission est un organisme provincial veillant à la santé et sécurité au travail et fournissant des services de réadaptation et des prestations prescrites par la loi aux employés blessés au travail. Situation Collaborant avec divers intervenants à l’externe et à l’interne dont la sécurité informatique risquait d’être menacée, l’organisme a fait de la sûreté de son infrastructure interne une priorité. Solution Élément clé de la sécurité de l’environnement Windows de la commission, le programme de gestion des correctifs a été instauré il y a plus de deux ans pour sécuriser l’infrastructure. C’est la pierre angulaire du programme. Bénéfices • Temps de bon fonctionnement garanti • Réduction du risque • Économies de coûts Logiciels et Services • Microsoft Software Update Services • Microsoft Systems Management Server

Présentation de la société

Établie à Vancouver, la commission des accidents du travail de la Colombie-Britannique, Worker’s Compensation Board of B.C., se consacre à la promotion de la santé et de la sécurité dans le milieu de travail auprès des travailleurs et des employeurs de cette province. Elle consulte ceux-ci et elle les forme, puis elle surveille si les règlements relatifs à la santé et à la sécurité au travail sont respectés. Si des maladies ou des blessures professionnelles surviennent, la commission travaille avec les personnes concernées pour offrir de la réadaptation visant un retour au travail, une rémunération, des prestations pour soins de santé et un éventail d’autres services.

Contexte

La Worker’s Compensation Board of B.C. prend la santé et la sécurité au sérieux. Comptant environ 2 500 employés et 12 bureaux dans la province, elle répond aux besoins de quatre clientèles distinctes – employeurs, travailleurs, fournisseurs de soins de santé et communauté de la santé-sécurité. Puisque l’organisme travaille avec de nombreux intervenants à l’externe et à l’interne, elle a fait de la sécurité de son infrastructure informatique interne une priorité.

Alors que bon nombre d’organisations commencent seulement maintenant à s’attaquer à la question de la sécurité de l’infrastructure, la commission a élaboré au cours des dernières années des normes et des méthodes visant à établir et à simplifier sa stratégie de gestion des correctifs. Elle s’est rendu compte il y a des années que le fait d’implanter un solide processus de sécurité lui épargnerait des maux de tête non seulement sur le plan informatique, mais aussi dans toute l’entreprise.

Quand des virus circulent, il fait bon savoir que plusieurs couches de sécurité et un processus standard de correction sont en place. Chris Bell directeur, systèmes de bureau Worker’s Compensation Board of B.C.

Solution

Soucieuse d’assurer la sécurité à l’échelle de son organisation informatique, la commission a fondé un service concentré sur la gestion de la sécurité de l’information et des risques. Celui-ci a adopté une approche en trois volets, combinant l’action de l’administration de l’accès à la sécurité à celle des spécialistes techniques et des analystes en informatique de gestion - sécurité. Le groupe de l’administration de l’accès se concentre sur problèmes quotidiens d’identification et de gestion de l’accès. Les analystes se concentrent sur le développement d’applications et les risques, alors que les spécialistes techniques misent sur la technologie pour les appuyer, à l’aide d’éléments comme l’authentification à deux facteurs, le pare-feu, les systèmes de détection d’intrusion et les solutions de gestion des correctifs.

Travaillant en étroite collaboration avec l’équipe du service d’assistance Premier de Microsoft, l’organisme a bénéficié des connaissances approfondies sur les produits que possède l’équipe d’employés de Microsoft et elle applique ces connaissances aux pratiques et méthodes de sécurité interne.

Création de Directives et de Méthodes

Le programme de gestion des correctifs constitue un élément clé de la stratégie de sécurité de l’organisme. Il est en vigueur depuis plus de deux ans et est devenu une partie coutumière du programme de sécurité de l’organisme. Comptant plus de 200 serveurs et 2 500 ordinateurs de bureau, la commission est consciente de la nécessité de protéger ses données critiques.

« Il a fallu un an pour régler toutes les particularités et obtenir l’appui des divers directeurs du service informatique, mais nous disposons maintenant d’une façon cohérente d’examiner les correctifs. Quand un correctif est diffusé, nous disposons maintenant d’un processus pour l’évaluer et déterminer si nous allons le déployer, et comment. Nous procédons différemment au déploiement quand il s’agit de serveurs et de postes de travail, mais nous traitons les correctifs indifféremment », déclare Bob Hawke, spécialiste principal de la sécurité, Worker’s Compensation Board of B.C..

Quand un correctif est diffusé, Microsoft y joint sa propre évaluation, indiquant si elle est critique, importante ou transmise à titre d’information. L’équipe de la sécurité de la commission lit chaque avis de correction critique pour déterminer si la vulnérabilité annoncée existe dans les systèmes de l’organisme. On fait le suivi de chaque correctif. Ceux qui s’appliquent à l’infrastructure de l’organisation sont déployés rapidement. Pour chacun, on procède à une évaluation du degré d’essai pouvant être nécessaire avant son déploiement. Au besoin, on exécute un processus d’essai pour s’assurer que les correctifs peuvent être appliqués adéquatement et qu’ils n’ont pas d’effet évident sur les systèmes et les applications. Dans la plupart des cas, ils sont déployés presque immédiatement. Il peut se révéler difficile d’établir un équilibre entre le souhait d’un essai complet et le besoin d’un déploiement rapide, mais l’objectif reste d’assurer que les systèmes sont plus sûrs et que les correctifs sont installés rapidement.

« Nous avons pour objectif de maintenir une approche cohérente et prévisible par rapport à la sécurité de nos investissements informatiques. La gestion de correctifs fait partie d’une méthode intégrée visant à aider à sécuriser notre organisation, déclare Stephen Landon, directeur de la sécurité informatique de la Worker’s Compensation Board of B.C.. Notre effort de normalisation des processus de gestion des correctifs et d’utilisation des derniers outils de déploiement nous permet de gérer les vulnérabilités de manière proactive plutôt que réactive. »

Des Outils à L’oeuvre

Pour appuyer sa stratégie de gestion des correctifs, la Worker’s Compensation Board of B.C. utilise le logiciel Microsoft^MD Systems Management Server 2 (SMS) SP5 afin de déployer les correctifs vers les ordinateurs de bureau et Software Update Services (SUS) pour les déployer vers les serveurs et pour effectuer de façon générale la surveillance et la création de rapports. En utilisant l’infrastructure de gestion inhérente au système d’exploitation Windows^MD, la commission peut mettre à profit son investissement actuel dans SMS pour gérer ses systèmes Windows à un coût très inférieur. SMS contient un jeu extensible d’interfaces programmables pour lui permettre de s’intégrer de nombreuses façons à d’autres applications de gestion articulées sur Microsoft, comme SUS, qui permet aux administrateurs de la commission de déployer avec rapidité et fiabilité les dernières mises à jour critiques vers les serveurs de l’organisme utilisant les systèmes d’exploitation Windows^MD 2000 et Windows Server^MC 2003.

« Notre organisme est un environnement articulé sur SMS. Nous pouvons donc déployer des correctifs et des mises à jour critiques avec SMS. Nous utilisons aussi SUS Feature Pack pour créer des rapports détaillés sur les ordinateurs auxquels il manque des correctifs et sur ceux sur lesquels ils ont été installés, précise Chris Bell, directeur, systèmes de bureau. Nous exécutons le balayage SUS et utilisons l’assistant Correction tous les deux jours et nous pouvons voir les rapports Web régulièrement. Ces technologies réunies ont réellement aidé à simplifier le processus de gestion des correctifs. »

Outre la mise en oeuvre des ces mesures de protection, la commission vérifie régulièrement tous les bulletins de Microsoft sur la sécurité. L’organisme peut conserver à tous ses postes de travail une image de base standard et y appliquer tous les correctifs appropriés.

« Nous abordons la sécurité sur le plan du serveur et sur celui de l’ordinateur de bureau. On ne peut pas tout simplement se concentrer sur l’un et pas sur l’autre; il faut voir les deux côtés de la médaille, déclare M. Hawke. Voilà pourquoi nous avons élaboré une approche intégrée à la gestion des correctifs pour assurer que nos serveurs et nos postes de travail sont sécurisés. »

Bénéfices

Temps de bon fonctionnement garanti

Étant donné que de nombreux employés sont répartis dans la province, il est essentiel d’assurer le bon fonctionnement et la sécurité des systèmes. L’approche proactive de la commission en matière de sécurité et de leadership dans ce domaine s’avère rentable. Depuis que l’organisme a mis au point une stratégie de gestion des correctifs de bout en bout, ses applications essentielles à la mission sont demeurées stables et protégées contre les vers se propageant à grande échelle dans Internet et les attaques de virus.

« Nos clients présument que nous leur offrirons un environnement de travail stable, et c’est ce que nous avons fait, relate M. Bell. Le seul fait que la technologie, c’est-à-dire SMS et SUS, soit installée nous a permis de fournir un temps de bon fonctionnement accru, et cela rend les utilisateurs heureux. »

Économie de temps et d’argent

Une efficacité accrue et des processus simplifiés de gestion des correctifs ont permis à l’organisme d’éviter des coûts considérables et d’épargner du temps. L’investissement dans la sécurité a aidé à assurer que l’organisme évite les frais associés à une faiblesse du système à grande échelle et à des heures perdues en revenus.

« Je dirais que le rendement de l’investissement sur le plan de la sécurité se chiffre généralement à dix par rapport à un. Le fait d’être proactif vous épargnera dix fois la somme de travail, précise M. Hawke. De façon sensée, je dirais que la conception t la mise en oeuvre de la sécurité à l’aide un bon système coûte moins cher à long terme et permet d’épargner plus d’argent. »

Réduction du risque

Grâce au programme de gestion des correctifs qu’elle a instauré, la commission a pu protéger les employés, les données et les ordinateurs contre une récente attaque sérieuse par des virus et des vers dans Internet. En gérant les diverses menaces et les virus avec la technologie et les solutions d’affaires, l’organisme a pu réduire les répercussions sur ses activités et sur les clients qu’elle sert.

« Je pense que la mise en oeuvre d’un bon processus de sécurité est comme l’achat d’une assurance. Beaucoup d’entreprises se demandent pourquoi il leur faut des mécanismes de sécurité. Elles ne pensent pas qu’il s’agit d’un investissement rentable. Je leur demanderais en retour pourquoi elles ont des assurances ou pourquoi elles accrochent des extincteurs au mur, répond M. Hawke. Vous ne voulez peut-être pas acheter des systèmes de sécurité ni employer une équipe de sécurité, mais le fait d’éviter une ou deux atteintes importantes à la sécurité vaut bien les efforts déployés. »

« Quand des virus circulent, il fait bon savoir que plusieurs couches de sécurité et processus standard de correction sont en place », déclare M. Bell.

Microsoft Windows Server System

Microsoft Windows Server System^MC est l’infrastructure de serveur complète, intégrée et interopérable qui réduit la complexité et les coûts reliés à la création, au déploiement et au fonctionnement de solutions pour les entreprise agiles. Windows Server System aide les clients à créer une nouvelle valeur pour leur entreprise grâce à l’utilisation stratégique de leurs ressources en TI. En ayant pour base la plate-forme Windows Server, Windows Server System fournit une infrastructure fiable pour l’analyse et la gestion de données, l’intégration de l’entreprise, les portails à l’intention des partenaires, des clients et des employés, l’automatisation du processus administratif, la communication et la collaboration et les opérations de TI de base, notamment la sécurité, le déploiement et la gestion des systèmes.

Pour obtenir de plus amples renseignements sur le Windows Server System, visitez le site : http://www.microsoft.com/windowsserversystem

Renseignements supplémentaires

Pour obtenir de plus amples renseignements sur les produits et services de Microsoft, communiquez avec le Centre d’information sur les ventes de Microsoft au 1 800 426-9400. Au Canada, veuillez appeler le Centre d’information de Microsoft Canada au 1 877 568-2495. Les personnes sourdes ou malentendantes peuvent communiquer avec le service ATS/ATM de Microsoft en composant le 1 800 892-5234 aux États-Unis ou le (905) 568-9641 au Canada. À l’extérieur du Canada et des 50 états des États-Unis, veuillez communiquer avec la filiale Microsoft de votre région. Pour obtenir de l'information sur le Web, visitez le site http://www.microsoft.com/

Renseignements sur le client:

Worker’s Compensation Board of British Columbia, telephone, 1 888 757-5552 ou www.worksafebc.com

Haut de page