La municipalité de Guelph réduit le temps d’activité et le stress grâce à Prisma Access

Comptant seulement neuf professionnels de l’informatique au service de 2 000 employés municipaux, le temps est un précieux. Certains jours, il en va de même des compétences nécessaires pour gérer les centres de données. Le personnel informatique de la municipalité était soumis à rude épreuve car il était seul à gérer la redondance, les mises à niveau de versions logicielles et de la sécurité dans les deux centres de données.

David Boyle, directeur de l’infrastructure TI à Guelph, a déclaré : « Autrefois, la sécurité se limitait au déploiement de pare-feux à l’échelle de l’organisation, pour bloquer et prévenir les intrusions autant que possible. Le problème est qu’une sécurité excessive
tend à entraver les fonctionnalités. Si les gens ne peuvent plus effectuer leurs tâches, la sécurité n’est plus une préoccupation. » 

Lorsque le responsable du pare-feu partait en vacances, l’organisation atteignait son point de rupture. « Ne touchez à rien, car en cas de dysfonctionnement, nous sommes dans le pétrin. » C’était loin d’être idéal! », dit-il.

Qui plus est, la municipalité ne cessait de procéder à des mises à niveau, notamment pour corriger les bogues logiciels qui causaient des problèmes. Pour réaliser une mise à jour, l’équipe de David Boyle devait désactiver un pare-feu, ce qui pouvait parfois prendre jusqu’à un mois pour traiter deux centres de données. David Boyle ajoute : « Nous traversions une situation où nous avions essentiellement besoin de quelqu’un à temps plein. Je n’avais personne pour s’en charger. »

De plus, l’exploitation de deux centres de données signifie la gestion de règles relatives aux pare-feux sur deux sites. Ces règles peuvent parfois être désynchronisées, ce qui peut empêcher l’accès des utilisateurs. L’équipe passe aussi beaucoup de temps à gérer les règles dans un souci de cohérence.

Les pare-feux physiques sont coûteux et doivent être remplacés tous les cinq à six ans. David Boyle ajoute : « J’en était arrivé à un stade où je devais payer environ 200 000 $ pour la prochaine mise à niveau. » 

Lorsque la pandémie a frappé au début de 2020, la municipalité a dû relever un nouveau défi : améliorer l’accès à distance. David Boyle dit : « Nos équipes étaient mobilisées massivement en travaillant à domicile. Elles avaient besoin d’un accès informatique, basées partout dans le monde. Nous avons eu du mal à assurer cet accès. »

Comme la plupart des organisations pendant la pandémie, la municipalité de Guelph s’est fiée au VPN classique pour sécuriser les accès à distance. Dans la mesure où peu de fonctionnaires municipaux travaillaient à distance, le système a été configuré pour subvenir aux besoins d’un petit nombre. 

Mais il était impossible d’élargir rapidement le réseau pour accueillir des centaines d’utilisateurs simultanément, au quotidien, toute la journée, sans entraver la performance. En effet, le VPN classique achemine tout le trafic via un centre de données pour en vérifier la sécurité, ce qui double parfois les allers-retours avant que les données ne puissent atteindre leur destination finale. Certes, c’est envisageable pour quelques utilisateurs qui se connectent occasionnellement à distance. Néanmoins, l’ajout de centaines d’utilisateurs a amplifié les problèmes de latence, en créant des tensions importantes au quotidien. Il peut en résulter une perte de productivité pour les vidéoconférences. Si un utilisateur oublie qu’il est connecté au VPN et s’il télécharge une longue vidéo YouTube, la bande passante se détériore.

Pour accommoder 2 000 employés, il est indispensable d’acheter et d’installer des équipements supplémentaires. C’est un processus douloureux, chronophage et coûteux. Mais que se passe-t-il lorsque les gens retournent au bureau? Renvoyez-vous les boîtes au fabricant? Pouvez-vous réduire le nombre de licences? 

David Boyle affirme qu’à l’avenir, les états d’esprit seraient soumis à de grandes transformations en matière de sécurité. Il s’est donc adressé à CDW Canada pour relever ses défis. CDW a présenté Palo Alto Networks à la municipalité. Dans ces conditions, la municipalité a pris ses distances avec son fournisseur initial de services de sécurité. Palo Alto Networks consolidera les pare-feux physiques et réduira les coûts du cycle de vie.

Bien que cette étape ait été couronnée de succès, le besoin de David Boyle de simplifier et de rationaliser la gestion des pare-feux n’a pas été couvert. La municipalité a tenté d’utiliser le logiciel de gestion Palo Alto Networks pour réduire les frais généraux de gestion. Cependant, elle avait tout de même besoin d’une personne pour gérer les versions logicielles et configurer la redondance.

David Boyle indique : « J’ai expliqué ce besoin à CDW qui m’a proposé Prisma Access. » Prisma Access est une plateforme de sécurité en nuage conçue pour relever les défis liés à la sécurisation d’environnements distants, en nuage hybride et sur site.

Prisma Access remplace les pare-feux physiques coûteux par des pare-feux logiciels, dont l’activation dans le nuage est dynamique, lorsqu’un utilisateur se connecte. Au lieu d’acheminer le trafic via un centre de données physique et de le ré-épingler vers
l’utilisateur, Prisma Access est exécuté à un point physique bien plus proche de l’utilisateur que le centre de données de la municipalité, ce qui améliore considérablement la performance sans compromettre la sécurité. 

« Nous avons donc cessé notre activité avec notre fournisseur initial pour choisir Palo Alto Networks en raison de Prisma Access et de son pare-feu de prochaine génération », explique David Boyle. « CDW a présenté leur technologie et expliqué le caractère ultra avant-gardiste de cette plateforme. CDW dispose d’une excellente équipe technique, qui a pu discuter des pare-feux et de la technologie correspondante avec mon équipe de sécurité. Elle a démontré que l’avenir était indissociable des pare-feux en nuage. »

CDW a aidé la municipalité en remplaçant complètement ses pare-feux physiques par Prisma Access. Elle a fourni à l’équipe de David Boyle les ressources nécessaires pour migrer et affiner les règles de pare-feux dans un souci d’efficacité. Étant donné que Palo Alto Networks gère l’infrastructure de Prisma Access, la municipalité n’a besoin ni d’acheter ni de configurer du nouveau matériel pour sécuriser les accès à distance dans toute l’organisation. Palo Alto Networks gère également toute la maintenance logicielle, y compris les mises à niveau des versions.

L’équipe de David Boyle peut se concentrer sur la gestion des règles de pare-feux, qui ne seront jamais désynchronisées entre les instances de pare-feux, car leur gestion est désormais centralisée.

De plus, grâce à la sécurité en nuage, l’évolutivité n’est plus un problème. Prisma Access s’adapte automatiquement à la demande. Lorsque les équipes retourneront au bureau et l’accès à distance ne sera plus aussi soutenu, la demande se rétractera. 

David Boyle et son équipe disposent de plus de temps, car la municipalité de Guelph est passée à Prisma Access. En effet, grâce à Prisma Access, les mises à niveau n’exigent plus la présence d’une personne à côté d’un pare-feu physique, avec son ordinateur portable connecté. En revanche, le service des TI peut consacrer du temps à d’autres initiatives. Par exemple, il peut optimiser les innovations du nuage grâce à Microsoft Azure.

David Boyle déclare : « Mon équipe de sécurité est maintenant beaucoup plus détendue, car elle se rend compte qu’elle n’est plus seule. Malgré des performances satisfaisantes, l’équipe n’aura jamais toutes les connaissances de Palo Alto Networks et de CDW. Elle ne pourra jamais atteindre ce niveau de compétences, même en y mettant tous ses efforts. Je pense que l’équipe est
nettement plus confiante. » 

En raison de la sécurité omniprésente assurée par Prisma Access, à savoir la capacité d’analyser tout le trafic sur le réseau, la municipalité est moins vulnérable aux tentatives incessantes d’intrusions externes. David Boyle dit : « Chaque mois, nous devons faire face à des centaines de milliers de tentatives externes qui visent à s’infiltrer sur notre réseau. Heureusement, je peux me fier au soutien de CDW pour naviguer dans ces eaux troubles, car je dispose des pare-feux de Palo Alto Networks, qui représentent littéralement le summum de la technologie de pare-feux, pour repousser les agresseurs. »

Palo Alto Networks déploie tout son arsenal à un coût d’exploitation raisonnable. « Le soutien, la technologie, les mises à niveau, la bande passante, la licence VPN… tout est inclus et regroupé », dit David Boyle. « Nous gagnons du temps et nous évitons des casse-têtes tout en économisant des moyens financiers. Nous observons une amélioration de notre redondance et de nos fonctionnalités, sans compromettre la sécurité. Grâce au partenariat avec CDW et Palo Alto Networks, nous bénéficions d’un plus grand niveau de soutien. Mon équipe a vu son stress opérationnel réduit. »

David Boyle dit que son équipe s’est fiée à CDW tout au long du projet pour la mise en œuvre, le soutien et les essais. Il indique que « CDW dispose d’un solide bassin de personnes qui connaissent parfaitement notre mise en œuvre et nos règles de pare-feux. CDW bénéficie également de solides partenariats avec ses fournisseurs. Son personnel est donc toujours au fait des dernières informations de leurs fournisseurs. Ces informations sont alors transmises à mon équipe pour mieux introduire de nouvelles technologies et renforcer nos atouts et fonctionnalités. »

Boyle ajoute que « Nous sommes la première municipalité au Canada à mettre en œuvre Prisma Access. Il est risqué d’être le pionnier, et nous n’y serons pas parvenus sans CDW. Ils travaillent avec Palo Alto Networks depuis longtemps. Dans la mesure où ils savent comment nous avons mis en œuvre cette technologie dans la ville, nous avons confiance dans l’avenir même si cette approche est inédite au Canada. »

Maintenant que la ville de Guelph dispose d’une sécurité en nuage pour toute son infrastructure informatique, elle est heureuse de passer à l’étape suivante, qui consiste à déplacer graduellement les charges de travail vers Azure, comme ses applications de transport en commun. Boyle dit : « Nous aurons une connexion Internet grâce à Azure depuis Azure vers Prisma, complétant ce que j’aime appeler un trio de redondance. Cela nous donnera une véritable présence en nuage, ce qui nous permettra de mettre n’importe quel serveur virtuellement dans Azure. Dans ce cas, si toute la ville de Guelph manquait d’électricité, les employés de la ville pourraient continuer à fonctionner à distance.