Thales mise sur le déport du rendu Web pour concilier diffusion restreinte et ouverture

Présent dans les secteurs de la défense, l’aérospatial, la cybersécurité et le numérique, le groupe Thales compte 83 000 personnes. Une partie des utilisateurs doit utiliser des postes avec une sécurité renforcée.

Pour leur donner un accès au Web malgré cette contrainte, le groupe a testé et déploie aujourd’hui une solution de type RBI (Remote Browser Isolation, ou déport de rendu Web) conçue par un éditeur français, VirtualBrowser. Henri Bourget, l'un des responsables postes de travail chez Thales Group revient sur la genèse du projet : « motre stratégie initiale était d’avoir des postes 100 % managés, avec l’ensemble des applications exécutées sur nos infrastructures serveurs on-premise. L’objectif est que toutes les données restent en interne. Au fur et à mesure de l’évolution des usages des utilisateurs, nous avons inversé la tendance. VirtualBrowser nous apporte une réponse aux utilisateurs qui souhaitent accéder à Internet ou des applications internes depuis certains réseaux cloisonnés ».

Les gains économiques de cette approche sont évidents puisqu’il n’est plus nécessaire de dupliquer les réseaux et les postes. Du point de vue réglementaire, la technologie Fast Pixel Rendering de la solution VirtualBrowser, qui consiste à envoyer la page web sous forme d’une image, introduit la rupture protocolaire permettant de renforcer la sécurité. Et accessoirement de protéger contre du code JavaScript malveillant. 

Actuellement, la solution a été déployée sur 2 000 postes et le projet se poursuit sur un rythme rapide. Le déploiement ne présente pas de particularités par rapport à une application Windows classique, mais régulièrement de nouveaux cas d’usage émergent et la mise en place de la solution n’a pas nécessité une configuration complexe par les équipes IT. La solution permet à l’utilisateur d’utiliser son clavier, son micro et sa caméra et offre la possibilité de désactiver le téléchargement et le téléversement de fichiers, de même que le copier/coller de contenus.

« Nous cherchons à aligner les infrastructures aux contraintes réglementaires tout en permettant aux utilisateurs de travailler, ce qui n’est pas toujours simple ».

Quelques cas d’usage précis impliquant des traitements des données ne permettent pas d’élargir l’approche à tous les postes. C’est notamment le cas des utilisateurs d’applications 3D qui ont besoin d’une accélération graphique, mais aussi du support du curseur dynamique. En effet, dans l’outil de modélisation 3D, le curseur change lorsqu’on survole la pièce par exemple. Une fonctionnalité qui n’est actuellement pas supportée par VirtualBrowser : « c’est un problème découvert très récemment et que nous allons remonter à l’éditeur avec qui nous sommes très proches », souligne Henri Bourget. Selon lui, « il s’agit d’un véritable partenaire et nous faisons des points hebdomadaires avec eux sur l’avancement du déploiement, dans une approche de co-construction de la solution ».

Le dimensionnement des réseaux internes du groupe a permis d’éviter tout phénomène d’engorgement lors du déploiement de la solution qui s’appuie sur un affichage du contenu du navigateur par blocs de pixels.

Initié par un PoC au tout début de l’année 2025 sur quelques centaines de postes, le déploiement se poursuit au rythme de 1 200 nouveaux postes par mois, l’objectif d’atteindre les 15 000 postes étant fixé pour la fin de l’année 2026.

Les serveurs sont hébergés dans le datacenter du groupe et il n’est pas à l’étude de mettre en œuvre des services Cloud, même certifiés SecNumCloud.