La gestion des navigateurs web en entreprise. Comment s’y prendre ?

Par Pierre SALVY le 16/12/2011

Cet article est ancien et pourrait être obsolète - Lisez-le donc en gardant son âge en tête !


Mes Postes sont hors de contrôle ?

Vous connaissez peut être : Le BYOC (Bring Your Own Computer) comprenez : amenez votre propre poste de travail ou plus globalement le BYOD (Bring Your Own Device)”amenez votre propre matériel” ( ex : Smartphone)

Ces nouveaux modes d’utilisations permettent ou plutôt incitent vos utilisateurs à utiliser le matériel de leur choix pour travailler. Ces BYO* ont leurs intérêts mais également de nombreux inconvénients que nous connaissons bien ! Difficultés d’administration, de maintien en condition opérationnelles, de maintien en condition de sécurité acceptables, …

Ces modes d’utilisations vous paraissent peut- être bien éloignés de vos préoccupations quotidiennes.

Oui … certes mais vous doutez vous-même une seule seconde que vous êtes déjà concerné par le BYO* ? Plus précisément, par le BYOB ? (Bring Your Own Browser)

Bring Your Own Browser ? Ou comment, non considéré, la multiplication des navigateurs sur votre parc vous pose déjà des problèmes.




Le pourquoi du comment …

« Internet Explorer est LE navigateur officiel de notre entreprise ! Aucun autre n’est autorisé »

Hélas vous aussi avez entendu ou prononcé (de force, … c’est sûr) cette maxime !

De nos jours Firefox, Chrome mais aussi Safari et autres Opéra envahissent ou ont déjà envahi les postes de travail de nos chers utilisateurs.

Il est donc essentiel d’intégrer ce fait et d’implémenter les mesures nécessaires qui nous permettrons de limiter la dérive tout en assurant flexibilité, fiabilité et sécurité.



Comment nos utilisateurs font dériver leurs navigateurs ?

Théoriquement, nous contrôlons nos postes de travail, des outils nous permettent d’établir des inventaires matériels ou logiciels, d’appliquer des mises à jour logicielles ou système. Nous appliquons également des stratégies de configuration (GPO), donc :

Tout est (théoriquement) sous contrôle !

Arme ultime de contrôle des applications ? Nous avons « LA Black List » ! LA liste des applications interdites ! LA liste citée dans les « Conditions d’Utilisation du Système d’Information » de notre entreprise.

Devenons un peu plus sérieux : que nos utilisateurs soit administrateurs de leur postes ou utilisateurs standard, qu’ils soient VIP ou non, qu’ils utilisent des postes portables ou fixes, ils pourront ou pourraient d’une façon ou d’une autre obtenir LE logiciel, Le navigateur de leur choix… a défaut, ils pourraient obtenir LA frustration que vous leur aurait imposé.

Que faire face à l’abordage des navigateurs alternatifs sur nos parcs de postes de travail ?

Vous l’aurez sans doute compris, au travers de cet article nous n’allons pas étudier comment imposer un navigateur, encore moins comment verrouiller nos postes… Nous allons nous poser les questions qui nous permettrons d’implémenter une stratégie de gestion de ces navigateurs dits « Alternatifs » la plus « juste » (Excusez le gros mot) possible.

Comme vu précédemment, de grè ou de force, nous devons intégrer les souhaits de nos utilisateurs à nos exigences de sécurité et de gestion des postes de travail.

Un compromis doit être trouvé entre liberté de choix et sécurité et métier.

Nous l’avons vu, nous devrons d’une façon ou d’une autre également assurer la sécurité de nos postes de travail dans le cadre de l’utilisation des navigateurs alternatifs. Pour cela un minimum d’étude est nécessaire.



Comment gérer les navigateurs et nos applications Web « Métier » ?

Il est essentiel de définir un (ou plusieurs) navigateur pour les applications « métier », généralement Internet Explorer est préféré.

Ces applications résultent souvent de développements internes ou Hyper spécifiques et ne sont pas systématiquement prévues pour fonctionner sur plusieurs navigateurs. Ces applications nécessitent donc une version de navigateur bien définie, version qu’il faudra fixer sur nos postes de travail afin d’assurer l’accès à nos applications.


Bref, procédons par étapes?


Audit

La phase d’audit permet d’évaluer « l’ampleur de la tâche » afin de définir les navigateurs qui seront maintenus, ceux qui seront écartés mais également les cycles de mise à jour des divers navigateurs que nous aurons jugés nécessaire de maintenir.

Afin de définir les navigateurs à supporter, plusieurs éléments sont à prendre en compte :

  • Le nombre de postes impactés par navigateur.
  • Les versions de chaque navigateur déployé sur le parc.
  • Les méthodes de mises à jour automatiques implémentées.
  • Les méthodes de mises à jour qu’il sera possible d’implémenter.

Petit rappel des statistiques d’utilisation des navigateurs dans le monde d’Octobre 2010 à Décembre 2011 :

Le choix des navigateurs à supporter sera basé sur leurs taux de diffusion sur le parc de postes de travail mais également sur la capacité de contrôle des mises à jour de ceux-ci. Cette étape sera détaillée dans le paragraphe « Méthodes de Mise à jour »

Un cycle de mise à jour devra également être défini. Ce cycle devra être établi navigateur par navigateur en fonction du cycle de mise à jour de l’éditeur mais également en fonction de la criticité des mises à jour proposées par ce dernier.

Lors de cette étude, les navigateurs qui ne seront pas maintenus devront être traités spécifiquement, cette étape est détaillée dans le paragraphe «limitation ».



Méthodes de mise à jour

Deux méthodes existent :

La première consiste à laisser faire les « Automatic Updaters » embarqués dans de nombreux navigateurs (Firefox, Chrome, …), ces méthodes sont relativement bien conçues et permettent d’assurer une vérification de version et une mise à jour des navigateurs de façon totalement automatisée. Sauf ! Si vos utilisateurs ne sont pas administrateurs de leurs postes, dans ce cas, ils n’auront pas les droits permettant l’installation d’application…

La seconde méthode est bien connue, il s’agit de la télédistribution. Le principe de télédistribution est relativement simple :

Un package doit être créé, ce package de fichiers contient le setup du navigateur et généralement un fichier de configuration de l’installation. L’installation de ce package consiste donc en l’installation du navigateur avec les paramètres détaillés dans le fichier de configuration. Cette installation se fait soit avec un compte utilisateur spécifique soit avec le compte de l’utilisateur. Cette installation est généralement silencieuse afin que l’utilisateur ne se rende compte de rien.

Le seul « Hic » de cette méthode mettant en œuvre le packaging applicatif provient de la capacité fournie aux « Setup.exe » par les éditeurs d’accepter les paramètres et fichiers de configuration qu’il sera possible de passer en paramètres lors de l’installation…

Donc, chaque navigateur pourrait être mise à jour par télédistribution à la seule et unique condition que leurs éditeurs aient prévus ou voulu permettre ce mode d’installation…

Il sera par exemple relativement aisé de mettre à jour des navigateurs tels qu’Internet Explorer, Firefox ou Opéra

Il sera par contre bien plus complexe de mettre à jour des navigateurs tels que Google Chrome ou Safari qui eux ne permettent quasi aucun packaging …

Vous l’aurez compris, l’aspect « packaging » est un point plus qu’important dans le cadre du choix des navigateurs à maintenir.




Cycles de mise à jour

La définition du cycle de mise à jour des navigateurs de notre parc est également un point à prendre en considération.

Pour cela, il sera bon de définir quelles mises à jour appliquer et ce en fonction de divers critères que sont :

  • La fréquence de sortie des mises à jour proposées par l’éditeur (versions mineures et majeures)
  • La criticité des mises à jour proposées par l’éditeur.
  • Le nombre de déploiement déjà en cours sur les postes de travail
  • Le nombre de postes impactés
  • La charge liée a la mise à jour des navigateurs

Il ne faudra pas oublier d’inclure à ce « planning » de mises à jour une notion de veille technique ou toute autre notion de mises à jour critiques à déployer hors planning.



Limitation

Une fois la liste des navigateurs « supportés » définie, une fois les méthodes de mise à jour définies et enfin une fois les cycles et plannings de mise à jour définis, il ne reste plus qu’à traiter le point le plus critique de ce projet : la suppression des navigateurs non supportés !

Imaginons, comme c’est le cas sur de nombreux parc, que nous souhaitons bloquer l’utilisation de Chrome et d’Opéra car nous jugeons ne pas pouvoir maitriser de bout en bout leurs processus de mise à jour ; dans ce cas typique nous pourrions procéder de la sorte :

  • Inventaire des Postes / Utilisateurs de Google Chrome et d’Opéra.
  • Communication auprès des utilisateurs indiquant que ces navigateurs seront désinstallés de leurs postes.
  • Création et application de règles AppLocker ou de Stratégies de Restrictions Logicielles interdisant l’exécution des « Setups » et des «exe » des navigateurs.
  • Création et déploiement d’un package de désinstallation de ces navigateurs. Si besoin désinstallation manuelle.

Vous trouverez dans les articles suivant les informations nécessaires à la création de règles Applocker : ICI !

What Next ?

Suite à la mise en place de ce type de démarche, les tâches récurrentes consisteront essentiellement à :

  • Implémenter un processus de Veille permettant d’identifier les nouvelles versions des navigateurs supportés
  • Surveiller l’évolution des navigateurs sur le parc de postes de travail.
  • Suivre cycle de mise à jour que vous avez déterminé.

A vous de jouer !

Laissez un commentaire