Inscrivez-vous gratuitement à la Newsletter BFM Business
Les boîtiers de sécurité ont trouvé leur place dans l'entreprise. Pour autant, le choix d'une solution réclame de nombreuses précautions. Des dispositifs logiciels complémentaires restent indispensables.
Les boîtiers de gestion unifiée des menaces assurent la protection des entreprises de toutes tailles. Les boîtiers UTM (Universal Threat Management), qui regroupent plusieurs sécurités, se sont banalisés. On les utilise en combinaison avec d'autres appliances plus pointues, ainsi qu'avec des dispositifs logiciels. Quatre responsables de la sécurité témoignent.
Les besoins : reprendre le contrôle de son réseau
Le perfectionnement des parades dépend des objectifs recherchés. Pour Daniel Nunez, responsable sécurité de Damart Somfy Group : ' Le danger, c'est d'être dans l'ignorance des flux sur son réseau. ' Il a donc mis en place plusieurs rangs d'appliances afin de filtrer les flux entrants depuis internet, jusqu'aux protections sur ses postes de travail. Mais les flux sortants doivent aussi être traités afin de reprendre le contrôle du réseau. C'est ce qui a motivé l'installation d'appliances pour Guillaume Baca, DSI des Editions Yvert et Tellier : ' Nous avons dû intervenir très vite afin de stopper la diffusion de spams à notre insu depuis nos machines. ' Dans la foulée, il a instauré un filtrage de la navigation sur le web et une surveillance de l'usage de la bande passante.On rencontre également le besoin de protéger rapidement des sites afin qu'ils ne s'intoxiquent mutuellement par des virus, ou pour unifier l'administration de sa sécurité grâce aux UTM alors même que l'on travaille avec des équipes réduites. ' Nous sommes trois pour gérer un réseau de deux mille utilisateurs, sur huit sites de production ', explique Sébastien Mahieu, responsable informatique de Dupont Restauration. Même souci d'alléger la charge de l'équipe au ministère du travail ' Nous avons choisi des boîtiers offrant le maximum d'autonomie et nécessitant le moins d'administration possible ', explique le RSSI Fabrice Pizzi.
La mise en ?"uvre : attention à la montée en charge
Sur le terrain, les boîtiers UTM assurent plusieurs protections simultanément, sous réserve de bien anticiper la charge. Au siège de Dupont Restauration, les pare-feu ?" configurés en cluster actif/actif ?" gèrent le réseau privé virtuel (VPN IPsec), la détection d'intrusion (IPS), le filtrage d'URL, l'antivirus de flux, l'antivirus de messagerie et l'antispam. ' Nos deux boîtiers ont été dimensionnés pour assurer ces missions, ils se partagent le trafic ', explique Sébastien Mahieu.Mais si le trafic croît au fil du temps, la baisse de performances peut devenir sensible. Daniel Nunez qui utilise l'antivirus de messagerie d'origine Sophos sur son pare-feu constate : ' Notre flux d'e-mails a doublé. Cela impacte les performances et nous envisageons un modèle plus puissant. ' Quant à Fabrice Pizzi, il affirme n'avoir pas ' tenté d'utiliser l'antivirus de messagerie et l'antispam sur les UTM, car le flot d'e-mails est tel que les boîtiers pourraient saturer '. De même, ce RSSI a dévolu la fonction de VPN SSL à des boîtiers dédiés. ' Ces fonctions existent sur d'autres de nos UTM. Mais des équipements à part sont préférables pour des raisons de performance et de disponibilité. 'Par ailleurs, les services plus pointus occupent des boîtiers spécifiques. C'est le cas chez Damart Somfy pour la gestion de correctifs virtuels, des pots de miel (Honey Pots) ou des analyseurs de flux (sniffers).En ce qui concerne les postes de travail, les quatre entreprises ont installé un antivirus, et certaines d'entre elles empêchent l'installation d'applications externes par les droits d'administration. Damart Somfy Group y ajoute un outil de détection des comportements applicatifs douteux, ainsi qu'un outil de vérification des périphériques mobiles comme les clés USB. Le ministère du Travail, pour sa part, entend installer un pare-feu, un IPS et un contrôle applicatif par PC. Enfin, en ce qui concerne la messagerie, le serveur est fréquemment protégé par un outil ad hoc, voire par des appliances antispam et antivirus dédiées. Il arrive qu'un e-mail soit vérifié trois fois : par le pare-feu, par l'outil de protection de la messagerie et par l'antivirus du poste de travail.
Les gains : une administration simplifiée
Au final, les appliances autorisent le déploiement rapide de protections évoluées, sans réclamer d'expertise spécifique. Selon certains, les solutions sont plus solides que des logiciels sur un serveur. ' Nous avions installé un antivirus de messagerie sur un serveur, mais la solution était plus sensible car il faut gérer la mémoire, parer aux pannes disques, tenir compte de Windows ', explique Sébastien Mahieu.Les appliances offrent également la possibilité d'externaliser l'exploitation et la configuration de protections autonomes auprès d'un prestataire. ' Les coûts sont ainsi réduits et, de plus, on définit des unités d'?"uvre en termes de niveau de service, et on ne se s'interroge pas sur les aspects techniques ', précise Fabrice Pizzi. Pour peu que l'on équipe plusieurs sites avec des boîtiers du même constructeur, on bénéficie d'une administration unifiée et centralisée. ' Je dispose d'un seul point d'administration pour l'antivirus, le VPN, l'antispam, cela simplifie les tâches, de plus, en regroupant plusieurs protections, on réduit les coûts ', se félicite Sébastien Mahieu. C'est aussi une façon de surveiller la bande passante disponible.Autre atout, on peut changer de solution rapidement en cas d'insatisfaction. Un boîtier se substitue plus facilement à un autre. ' Nous avons changé très vite de pare-feu, et nous avons ajouté un boîtier Express de Websense afin de filtrer plus finement que ne le fait notre passerelle antivirus ', illustre ainsi Guillaume Baca.
Les écueils : des arbitrages complexes
Multiplier les boîtiers de différents constructeurs alourdit l'administration et fragilise la communication. ' Ces boîtiers sont censés devenir transparents en cas de panne, ce n'est pas toujours vrai ', dit Fabrice Pizzi. L'empilement de protections au sein d'un boîtier influe sur la latence du réseau. Certains hésitent à dépasser les 40 % de charge de leur machine. Toutefois, ' l'usage d'Asics autorise de bonnes performances, alors que j'avais une idée négative des UTM ', relève Fabrice Pizzi.Sélectionner le bon fournisseur reste difficile. Chaque détail compte. Au point qu'il n'est pas inutile de demander à tester un boîtier. ' Notre premier dispositif de blocage d'URL empêchait tous les PC d'accéder à un site web donné, alors qu'il ne fallait en bloquer que certains ', dit Guillaume Baca. De même, un pare-feu sera retoqué à cause de la lourdeur de son interface, ou un antispam parce qu'il réclame une heure d'attention par jour. Des différences seront détectées, en revanche, dès le cahier des charges. Ainsi, la mise en cluster d'une appliance est capitale. Certains boîtiers n'acceptent que le mode actif/passif, qui permet la haute disponibilité et le test des nouvelles versions de logiciel sur la machine de secours. D'autres gèrent le mode actif/actif, qui assure en plus du partage de charge.Autre critère : l'origine des sécurités intégrées dans un UTM. ' Nous voulions une solution dont tous les composants sont du même fournisseur ', déclare Sébastien Mahieu. D'autres optent pour des fabricants qui intègrent des solutions tierces de bonne réputation. Par ailleurs, certaines fonctions sont souvent disponibles sur des boîtiers déjà installés dans l'entreprise. Sur lequel les activer ? Le ministère du Travail a choisi le filtrage d'URL de Fortinet plutôt que celui de Bluecoat. La raison ? Le premier était moins cher, la tarification étant calculée indépendamment du nombre d'utilisateurs ou de boîtes aux lettres protégées.Une autre pierre d'achoppement concerne l'intégration de l'appliance au sein de l'infrastructure de l'entreprise. ' La zone de quarantaine de notre antispam ne pouvait être bien gérée car nous avons externalisé notre messagerie ', dit Guillaume Baca. Idem, en environnement open source, les solutions sont moins nombreuses que dans l'univers de Microsoft et de son annuaire Active Directory. ' En antispam nous n'avions le choix qu'entre Mirapoint ou Iron-Port, qui sont compatibles LDAP v3 ', explique Fabrice Pizzi. Sa messagerie n'acceptait pas en effet d'extension antivirus directement sur son serveur. Enfin, comme le précise Daniel Nunez : ' Les protections doivent tenir compte de l'analyse des risques et de l'impact métier en cas de problème : rien ne sert de trop sécuriser. La solution tient à 80 % d'organisation et 20 % de technologie... Les produits ne sont que le bras armé d'une politique et d'une stratégie de sécurité solide. '
Votre opinion