Cartographier sa salle informatique pour mieux repérer les pannes

Localiser l'origine d'une défaillance afin d'y remédier le plus rapidement possible s'avère primordial pour l'informatique d'April. Mais à l'occasion d'un audit de sécurité en 2009, le groupe d'assurances s'aperçoit qu'il ne dispose d'aucun outil efficace de détection de pannes. “ Ces dernières années, le nombre et la variété des ordinateurs avaient tellement augmenté sur notre réseau, qu'un travail de diagnostic aurait été fastidieux. Pire, nos règles de filtrage censées protéger l'informatique étaient devenues incohérentes. Nous ne pouvions même plus optimiser notre salle informatique du fait de l'absence de visibilité sur les flux de données qui la parcourent ”, raconte Nicolas Rousset, responsable réseau chez April.Son partenaire, un intégrateur de solutions de sécurité, lui présente alors la technologie RNA (Realtime Network Awareness) de Sourcefire. Ce dispositif comprend une sonde, baptisée 3D Sensor. Installée à l'entrée du réseau du datacenter, elle est chargée d'identifier les émetteurs et les récepteurs de chaque flux de données. Cette sonde est couplée à un serveur de sécurité, Defense Center, qui définit l'ensemble des règles de filtrage et dresse un plan du centre de données. Il s'agit d'une véritable carte géographique, où figurent tous les ordinateurs selon leur fonction et les chemins qui les relient. Cette carte sert à visualiser par où transite chaque flux de données, y compris ceux qui ne respectent pas les règles de sécurité et qui tenteraient d'attaquer le système d'information.“ Il existe d'autres solutions pour cartographier un réseau, mais seule celle proposée par Sourcefire apporte en plus la détection d'intrusion, précise Nicolas Rousset. Par ailleurs, la richesse de cette solution nous a évité de nous engager dans un processus d'appel d'offres long et contraignant ”, ajoute-t-il. Une phase de maquette d'un mois, sur la base de matériels prêtés par Sourcefire, a suffi pour valider l'adéquation de la solution à nos besoins. Quant à l'installation des matériels définitifs, elle a également nécessité un mois, en avril 2010.“ Après avoir restitué, en janvier 2010, les équipements fournis par Sourcefire, nous avons entamé un processus de négociation d'un mois pour l'achat du matériel et des licences, par l'intermédiaire de notre intégrateur. Il a alors été convenu que la période d'assistance à l'exploitation courrait sur une année ; l'expert interviendrait une fois par mois afin d'effectuer un transfert de compétence et d'optimiser la solution ”, détaille le responsable réseau.

Quelque 3 000 machines surveillées en temps réel

Nicolas Rousset a ensuite laissé la sonde collecter des informations jusqu'en octobre. “ Au cours de cette période, nous avons pris en main la solution et exploité les données de cartographie de façon à affiner notre politique de filtrage. Puis, grâce aux tableaux de bord, nous avons fourni à la direction d'April des rapports concrets qui mettaient en évidence les dérives de l'utilisation de notre informatique par rapport à notre politique de sécurité ”, raconte-t-il.Aujourd'hui, le dispositif de Sourcefire observe en temps réel le fonctionnement de 3 000 machines. Chaque poste de travail est ainsi répertorié sur les tableaux de bord, lesquels aident le groupe d'assurances à surveiller l'activité sur le réseau : bande passante internet consommée, services les plus utilisés et actions illicites. Selon Nicolas Rousset, cet outil constitue un véritable atout en termes de surveillance et de prévention des incidents et, surtout, il apporte un gain de temps considérable. Le système a ainsi permis d'anticiper plusieurs problèmes. Et lorsqu'un incident est survenu, localiser la source de la panne et établir un diagnostic a nécessité deux fois moins de temps qu'auparavant.“ La solution fournie par Sourcefire s'avère tellement intuitive qu'elle nous a même permis de créer de nouvelles règles de sécurité, notamment pour bloquer le trafic sur nos tarificateurs web de produits d'assurance santé lorsque nous détectons une activité anormale ”, se félicite le responsable réseau.