Des appliances qui allègent les tâches de protection

20/12/2007 à 00h00

Les boîtiers de sécurité ont trouvé leur place dans l'entreprise. Pour autant, le choix d'une solution réclame de nombreuses précautions. Des dispositifs logiciels complémentaires restent indispensables.

Les boîtiers de gestion unifiée des menaces assurent la protection des entreprises de toutes tailles. Les boîtiers UTM (Universal Threat Management), qui regroupent plusieurs sécurités, se sont banalisés. On les utilise en combinaison avec d'autres appliances plus pointues, ainsi qu'avec des dispositifs logiciels. Quatre responsables de la sécurité témoignent.

Les besoins : reprendre le contrôle de son réseau

Le perfectionnement des parades dépend des objectifs recherchés. Pour Daniel Nunez, responsable sécurité de Damart Somfy Group : ' Le danger, c'est d'être dans l'ignorance des flux sur son réseau. ' Il a donc mis en place plusieurs rangs d'appliances afin de filtrer les flux entrants depuis internet, jusqu'aux protections sur ses postes de travail. Mais les flux sortants doivent aussi être traités afin de reprendre le contrôle du réseau. C'est ce qui a motivé l'installation d'appliances pour Guillaume Baca, DSI des Editions Yvert et Tellier : ' Nous avons dû intervenir très vite afin de stopper la diffusion de spams à notre insu depuis nos machines. ' Dans la foulée, il a instauré un filtrage de la navigation sur le web et une surveillance de l'usage de la bande passante.On rencontre également le besoin de protéger rapidement des sites afin qu'ils ne s'intoxiquent mutuellement par des virus, ou pour unifier l'administration de sa sécurité grâce aux UTM alors même que l'on travaille avec des équipes réduites. ' Nous sommes trois pour gérer un réseau de deux mille utilisateurs, sur huit sites de production ', explique Sébastien Mahieu, responsable informatique de Dupont Restauration. Même souci d'alléger la charge de l'équipe au ministère du travail ' Nous avons choisi des boîtiers offrant le maximum d'autonomie et nécessitant le moins d'administration possible ', explique le RSSI Fabrice Pizzi.

La mise en ?"uvre : attention à la montée en charge

Sur le terrain, les boîtiers UTM assurent plusieurs protections simultanément, sous réserve de bien anticiper la charge. Au siège de Dupont Restauration, les pare-feu ?" configurés en cluster actif/actif ?" gèrent le réseau privé virtuel (VPN IPsec), la détection d'intrusion (IPS), le filtrage d'URL, l'antivirus de flux, l'antivirus de messagerie et l'antispam. ' Nos deux boîtiers ont été dimensionnés pour assurer ces missions, ils se partagent le trafic ', explique Sébastien Mahieu.Mais si le trafic croît au fil du temps, la baisse de performances peut devenir sensible. Daniel Nunez qui utilise l'antivirus de messagerie d'origine Sophos sur son pare-feu constate : ' Notre flux d'e-mails a doublé. Cela impacte les performances et nous envisageons un modèle plus puissant. ' Quant à Fabrice Pizzi, il affirme n'avoir pas ' tenté d'utiliser l'antivirus de messagerie et l'antispam sur les UTM, car le flot d'e-mails est tel que les boîtiers pourraient saturer '. De même, ce RSSI a dévolu la fonction de VPN SSL à des boîtiers dédiés. ' Ces fonctions existent sur d'autres de nos UTM. Mais des équipements à part sont préférables pour des raisons de performance et de disponibilité. 'Par ailleurs, les services plus pointus occupent des boîtiers spécifiques. C'est le cas chez Damart Somfy pour la gestion de correctifs virtuels, des pots de miel (Honey Pots) ou des analyseurs de flux (sniffers).En ce qui concerne les postes de travail, les quatre entreprises ont installé un antivirus, et certaines d'entre elles empêchent l'installation d'applications externes par les droits d'administration. Damart Somfy Group y ajoute un outil de détection des comportements applicatifs douteux, ainsi qu'un outil de vérification des périphériques mobiles comme les clés USB. Le ministère du Travail, pour sa part, entend installer un pare-feu, un IPS et un contrôle applicatif par PC. Enfin, en ce qui concerne la messagerie, le serveur est fréquemment protégé par un outil ad hoc, voire par des appliances antispam et antivirus dédiées. Il arrive qu'un e-mail soit vérifié trois fois : par le pare-feu, par l'outil de protection de la messagerie et par l'antivirus du poste de travail.

Les gains : une administration simplifiée

Au final, les appliances autorisent le déploiement rapide de protections évoluées, sans réclamer d'expertise spécifique. Selon certains, les solutions sont plus solides que des logiciels sur un serveur. ' Nous avions installé un antivirus de messagerie sur un serveur, mais la solution était plus sensible car il faut gérer la mémoire, parer aux pannes disques, tenir compte de Windows ', explique Sébastien Mahieu.Les appliances offrent également la possibilité d'externaliser l'exploitation et la configuration de protections autonomes auprès d'un prestataire. ' Les coûts sont ainsi réduits et, de plus, on définit des unités d'?"uvre en termes de niveau de service, et on ne se s'interroge pas sur les aspects techniques ', précise Fabrice Pizzi. Pour peu que l'on équipe plusieurs sites avec des boîtiers du même constructeur, on bénéficie d'une administration unifiée et centralisée. ' Je dispose d'un seul point d'administration pour l'antivirus, le VPN, l'antispam, cela simplifie les tâches, de plus, en regroupant plusieurs protections, on réduit les coûts ', se félicite Sébastien Mahieu. C'est aussi une façon de surveiller la bande passante disponible.Autre atout, on peut changer de solution rapidement en cas d'insatisfaction. Un boîtier se substitue plus facilement à un autre. ' Nous avons changé très vite de pare-feu, et nous avons ajouté un boîtier Express de Websense afin de filtrer plus finement que ne le fait notre passerelle antivirus ', illustre ainsi Guillaume Baca.

Les écueils : des arbitrages complexes

Multiplier les boîtiers de différents constructeurs alourdit l'administration et fragilise la communication. ' Ces boîtiers sont censés devenir transparents en cas de panne, ce n'est pas toujours vrai ', dit Fabrice Pizzi. L'empilement de protections au sein d'un boîtier influe sur la latence du réseau. Certains hésitent à dépasser les 40 % de charge de leur machine. Toutefois, ' l'usage d'Asics autorise de bonnes performances, alors que j'avais une idée négative des UTM ', relève Fabrice Pizzi.Sélectionner le bon fournisseur reste difficile. Chaque détail compte. Au point qu'il n'est pas inutile de demander à tester un boîtier. ' Notre premier dispositif de blocage d'URL empêchait tous les PC d'accéder à un site web donné, alors qu'il ne fallait en bloquer que certains ', dit Guillaume Baca. De même, un pare-feu sera retoqué à cause de la lourdeur de son interface, ou un antispam parce qu'il réclame une heure d'attention par jour. Des différences seront détectées, en revanche, dès le cahier des charges. Ainsi, la mise en cluster d'une appliance est capitale. Certains boîtiers n'acceptent que le mode actif/passif, qui permet la haute disponibilité et le test des nouvelles versions de logiciel sur la machine de secours. D'autres gèrent le mode actif/actif, qui assure en plus du partage de charge.Autre critère : l'origine des sécurités intégrées dans un UTM. ' Nous voulions une solution dont tous les composants sont du même fournisseur ', déclare Sébastien Mahieu. D'autres optent pour des fabricants qui intègrent des solutions tierces de bonne réputation. Par ailleurs, certaines fonctions sont souvent disponibles sur des boîtiers déjà installés dans l'entreprise. Sur lequel les activer ? Le ministère du Travail a choisi le filtrage d'URL de Fortinet plutôt que celui de Bluecoat. La raison ? Le premier était moins cher, la tarification étant calculée indépendamment du nombre d'utilisateurs ou de boîtes aux lettres protégées.Une autre pierre d'achoppement concerne l'intégration de l'appliance au sein de l'infrastructure de l'entreprise. ' La zone de quarantaine de notre antispam ne pouvait être bien gérée car nous avons externalisé notre messagerie ', dit Guillaume Baca. Idem, en environnement open source, les solutions sont moins nombreuses que dans l'univers de Microsoft et de son annuaire Active Directory. ' En antispam nous n'avions le choix qu'entre Mirapoint ou Iron-Port, qui sont compatibles LDAP v3 ', explique Fabrice Pizzi. Sa messagerie n'acceptait pas en effet d'extension antivirus directement sur son serveur. Enfin, comme le précise Daniel Nunez : ' Les protections doivent tenir compte de l'analyse des risques et de l'impact métier en cas de problème : rien ne sert de trop sécuriser. La solution tient à 80 % d'organisation et 20 % de technologie... Les produits ne sont que le bras armé d'une politique et d'une stratégie de sécurité solide. '

Les 4 entreprises étudiées

Activité : centre international de coordination administrative.
Siège : Genève (Suisse).
Effectif : 18 personnes.

Problème à résoudre : sécuriser tous les flux du réseau, en contrôlant chaque échange de façon précise.

Solution déployée : un Honey Pot, des pare-feu intégrant un antivirus de messagerie du commerce et un boîtier de correctifs virtuels. Des protections surveillent le comportement applicatif des postes de travail.

Activité : mise en ?"uvre des règles relatives aux conditions de travail, et à la politique sociale du gouvernement.
Siège : Paris.
Effectif : 12 500 personnes.

Problème à résoudre : sécuriser la montée en puissance des échanges d'information ou interne et avec les partenaires tout en maîtrisant les coûts de façon transparente.

Solution déployée : boîtiers UTM, sniffer, boîtiers antispam et antivirus de messagerie, passerelles de VPN SSL et de VNP IPSec.

Activité : Philatélie, Numismatique, Cartophilie, Télécartophilie...
Siège : Amiens (80).
Effectif : 45 personnes.
CA 2006 : 5,8 M d'euros.

Problème à résoudre : La société diffusait du spam à son insu. De plus, il y avait une chute de bande passante entre les sept sites de l'entreprise.

Solution déployée : un pare-feu et une appliance de filtrage des accès Web et de surveillance du trafic. Le VPN IPSec est géré par l'opérateur.

Activité : restauration.
Siège : Libercourt (62).
Effectif : 1 850 personnes.
CA 2006 : 100 M d'euros.

Problème à résoudre : relier les huit sites de production et 30 PC portables au siège, où se trouve l'informatique, et protéger l'accès internet.

Solution déployée : réseau VPN IPSec géré par des UTM. Au siège, deux boîtiers configurés haute disponibilité et partage de charge, avec pare-feu, antivirus (HTTP, SMTP), IPS, filtrage web et antispam. Chaque site dispose d'un boîtier de même origine.

Une gestion unifiée des menaces

Les multifonctions de type UTM (Universal Threat Management) servent à construire rapidement des réseaux privés virtuels et à disposer des premières barrières indispensables sur son réseau, même si l'on n'est pas un expert en sécurité. Des appliances spécialisées permettent d'affiner le filtrage des flux entrant et sortant avec de l'antispam, de l'antivirus, de l'analyse de contenu web, de la capture de trafic ou des correctifs virtuels.

Choisir une appliance nécessite de bien examiner les fonctions, l'architecture et la simplicité d'utilisation recherchée. Attention, côté coût, la facture peut grimper très vite si le tarif est calculé selon le nombre de boîtes aux lettres protégées ou d'utilisateurs. Enfin, certains fournisseurs conçoivent la totalité des protections embarquées dans leurs boîtiers. D'autres associent des solutions issues de partenariats.

Un boîtier de protection constitue un domaine autonome. Sa configuration et son exploitation peuvent facilement être confiées à un prestataire lorsque les compétences spécialisées manquent en interne. Si ce boîtier est de type UTM, il offre même une gestion depuis un point unique du pare-feu, de l'antivirus, du filtrage web, de l'antispam et du VPN. Autre atout des appliances : on substitue rapidement un nouveau boîtier à une solution qui ne donne pas satisfaction.

Les appliances voient leurs missions s'arrêter au pied des postes de travail, et souvent du serveur de messagerie. Des protections logicielles prennent alors le relais. Côté performances, l'association de plusieurs protections au sein d'un même boîtier impose de vérifier la tenue en charge. Les boîtiers possédant des semi-conducteurs dédiés (Asics) apparaissent alors comme les mieux armés pour tenir face à de forts débits.

Daniel Nunez (Damart Somfy) : ' une visibilité sur tous les flux du réseau '

' Je dispose du temps nécessaire pour choisir les protections de notre site de coordination où circulent des informations sensibles. Côté boîtiers, j'ai installé un Honey Pot (pot de miel) qui assume aussi la détection et prévention d'intrusion en frontal du réseau et qui capture le trafic de façon détaillée. Deux pare-feu de marques différentes lui font suite, dont celui de Arkoon, qui analyse les e-mails grâce à un antivirus d'origine Sophos. Puis, une passerelle gère des correctifs virtuels. Un proxy intègre du filtrage d'URL. Un portier Wi-Fi contrôle les accès sans fil. Par ailleurs, trois dispositifs renforcent les postes de travail : un antivirus, une analyse comportementale et une sécurisation des périphériques mobiles (clé USB, CD). Enfin, sur la passerelle de messagerie, un filtrage logiciel antispam gère une zone de quarantaine. '

Fabrice Pizzi (Ministère du travail) : ' nous restons concentrés sur la qualité de service '

' Nous utilisons de nombreux boîtiers de constructeurs différents. Nous avons choisi des technologies simples à administrer afin de pouvoir les externaliser et nous concentrer sur la qualité de service. Sur notre réseau on trouve un sniffer traçant les flux ainsi que des UTM assurant les fonctions de pare-feu, IPS, filtrage d'URL, et antivirus sur les flux HTTP. La messagerie est protégée par des appliances spécifiques. Beaucoup de nos boîtiers sont placés en cluster pour de la haute disponibilité ou pour plus de performances. Les passerelles de VPN, SSL ou IPSec pour les accès distants sont gérées à part. Par ailleurs, avec notre réseau MPLS, chacun de nos sites peut atteindre tous les autres. Cela nous amènera à installer des boîtiers pare-feu IPS sur chacun d'eux, afin de bloquer la propagation des attaques via le réseau interne. '

Guillaume Baca (Éditions Yvert et Tellier) : ' empêcher la diffusion de spams à notre insu '

' Une plainte a été déposée en août dernier car du spam était diffusé depuis notre réseau. Nous n'avions que 24 heures pour réagir. Nous avons installé un pare-feu dont nous ne disposions pas jusqu'alors. Notre opérateur filtrait bien le trafic entrant mais pas sortant. Par ailleurs, nous avons dû rajouter une appliance de filtrage web, car notre appliance antivirus sur les flux et la messagerie n'offraient pas un filtrage par poste. Cette appliance se voit aussi confier le rôle de suivre comment est utilisée la bande passante. Nous reprenons ainsi le contrôle des flux. Puis, sur les conseils de notre prestataire, nous avons remplacé notre pare-feu d'origine par un boîtier de Sonicwall plus simple à exploiter. La sécurité passe par une gestion centralisée, ce qui permet de se consacrer à la gestion de nouveaux projets. '

Sébastien Mahieu (Dupont Restauration) : ' un point unique d'administration '

' Nous avons déployé notre réseau VPN de type IPSec entre huit sites sur des appliances de type UTM. Ceux-ci assurent aussi des fonctions d'antivirus de flux HTTP et de messagerie, de filtrage d'URL, d'antispam et d'IPS. Une trentaine de PC portables accèdent à ce réseau en IPSec. Nos postes de travail sont protégés par un antivirus de CA et notre serveur de messagerie intègre un antivirus et un antispam. Nous avions auparavant un antivirus de messagerie, eTrust de CA, installé sur un serveur. Les appliances sont mieux dimensionnées. Nous disposons désormais d'un seul point d'aministration qu'il s'agisse du VPN, de l'antispam et de l'antivirus. Une simplification bien venue car nous ne sommes que trois pour deux mille personnes. Nous avons retenu ces UTM car ils réalisent du partage de charge entre deux boîtiers '.

L'avis de l'intégrateur : Philippe Jouvellier, consultant Sécurité chez Telindus

' L'UTM n'est pas un boîtier à tout faire '

' Même si les boîtiers UTM ont vocation à couvrir la plupart des fonctions de sécurité, mieux vaut éviter d'associer certains composants ou d'en exposer certains en première ligne. On évitera, par exemple, la présence de comptes utilisateurs ou d'un système d'authentification sur un pare-feu. Pour des raisons de performances et d'architecture réseau, les passerelles VPN sont dans des boîtiers séparés. '

' Privilégier les Asics pour les performances '

' Mis à part le périmètre fonctionnel, les boîtiers se différencient essentiellement par leur stabilité et leurs performances. Certains sont de simples PC embarqués alors que d'autres sont développés à partir d'Asics. Dans le cas des boîtiers de sécurité, on cherche la performance et lAsic est une des composantes de la rapidité des traitements. Il faut donc la privilégier si possible. '

Jean-Pierre Blettner

Votre opinion