Les boîtiers tout-en-un simplifient l'administration
Inscrivez-vous gratuitement à la Newsletter BFM Business
Les équipements de sécurité multifonctions allègent l'administration. Une étude des besoins et le recours à un intégrateur sont des prérequis indispensables.
Le débat anime les spécialistes de la sécurité depuis quelques années : les boîtiers tout-en-un constituent-ils la meilleure protection ? Autrement dit, peut-on faire confiance à ces équipements dès lors qu'ils embarquent en
même temps un coupe-feu, un serveur RPV, un IPS, un module de filtrage d'URL, un antivirus... D'un côté, certains affirment qu'il est dangereux de concentrer un nombre trop important de fonctions dans un seul boîtier, car si l'une d'elles fait
défaut, c'est l'ensemble du système qui n'est plus opérationnel.De l'autre côté, les partisans de ces matériels affirment que leur déploiement et la maintenance qui s'ensuit sont considérablement plus simples que l'entretien d'une collection de boîtiers dédiés. Aujourd'hui, ces derniers semblent
avoir raison, si l'on considère les tendances du marché avec des ventes de boîtiers multifonctions de sécurité en pleine explosion. À tel point qu'un sigle a même été créé pour les désigner : UTM (Unified Threat Management).
Utilisation : une maintenance facilitée
Les PME, souvent dépourvues de compétences en interne, sont les premières séduites par ces équipements, comme le confirme Miloud Tani, DSI du Groupe Etanco, spécialisé dans la fabrication d'accessoires de fixation et d'isolation pour
le bâtiment.' Nous travaillons en flux tendu, avec une équipe réduite. Précédemment, nous utilisions le logiciel VPN-1 de Check Point mais celui-ci nous posait des problèmes de maintenance et il était devenu une charge trop
lourde pour nous. Nous avons opté pour le boîtier Netasq F500 avec coupe-feu, RPV, IPS, antivirus, antispam, filtrage d'URL que nous louons à notre intégrateur [lire encadré]. Les six sites du groupe passent par cet équipement situé sur le site
central avec un total de 300 postes pour 20 serveurs. 'Cette volonté d'harmoniser et de simplifier l'architecture a également incité la mairie de Saint-Cloud à choisir le tout-en-un. Là aussi, l'architecture réseau est répartie sur plusieurs sites connectés à un site central. Cependant,
les douze sites distants sont autonomes vis-à-vis d'Internet, ce qui implique d'installer un équipement sur chaque entité. En revanche, ils accèdent à la messagerie et à l'intranet sur le site central.' Jusque-là, nous utilisions un coupe-feu Check Point sur le site central et des outils Cisco sur les sites distants. Nous avions trop d'équipements avec une passerelle antivirus, un boîtier de filtrage d'URL
et une sonde d'intrusions. Tous étaient installés sur des serveurs différents, ce qui compliquait la maintenance des machines. De plus, les flux transitaient en clair entre les entités et nous risquions d'être confrontés à des attaques par
usurpation d'identités ', détaille David Muther, administrateur réseau de la ville de Saint-Cloud.Pour simplifier l'ensemble et chiffrer les flux, la mairie décide d'installer un boîtier SonicWall Pro 3060 sur le site central et d'activer les fonctions de coupe-feu, d'IPS, de RPV, de filtrage d'URL, d'antivirus et
d'antispyware. ' Le boîtier nous permet de segmenter le LAN en sous-réseaux : intranet, Internet, DMZ et Wi-Fi. De plus, il sert de plate-forme d'administration pour le Wi-Fi et pour les autres boîtiers installés sur les
sites distants ', ajoute-t-il.Dix boîtiers TZ 170 sont installés dans les crèches de la ville, les haltes-garderies, les ateliers, la voirie et les musées. Sur le site de la médiathèque et de l'espace emploi, deux matériels 2040 permettent de créer un réseau
Wi-Fi et de segmenter l'architecture globale en quatre sous-réseaux différents.En architecture monosite, cette fois, la CGLLS (caisse de garantie du logement locatif social) a aussi choisi le tout-en-un pour étendre les possibilités de filtrage sur son réseau composé de trente-cinq machines et de six serveurs.
' Auparavant, nous avions un matériel Cisco limité à la fonction de coupe-feu. Or, à l'époque, le nombre d'attaques virales était particulièrement important avec 3 500 virus par mois. Les logiciels antivirus
installés sur les postes de travail nous ont permis de ne jamais être infectés, mais nous avons jugé qu'il était plus prudent d'investir dans une passerelle. Comme le volume de spams était aussi assez important, nous avons choisi une solution
tout-en-un avec coupe-feu, antivirus et antispam, le Firebox X700 de WatchGuard. Nous n'avions pas d'appréhension sur le tout-en-un qui semble désormais abouti. De plus, si le boîtier tombe en panne, rien n'est critique pour nous puisque notre
site Internet n'est pas hébergé en interne ', précise Laurent Berthier, DSI de la CGLLS.
La mise en ?"uvre : l'aide d'un intégrateur souvent nécessaire
Simplifier la gestion du réseau pour le Groupe Etanco, réduire le nombre de matériels pour la mairie de Saint-Cloud, augmenter les possibilités de filtrage pour la caisse de garantie du logement locatif social, ces trois témoignages
illustrent bien les principales motivations des PME et des collectivités locales qui ont opté pour les boîtiers de sécurité tout-en-un.Mais pour les mettre en place, ces structures manquent de temps et sont souvent dépourvues de compétences pointues en sécurité. Le recours à un prestataire extérieur est alors quasi systématique. ' Nous sommes
passés par l'intégrateur Integralis. C'est lui qui avait installé le matériel Check Point précédemment en place. Nous avons été mis en relation avec d'autres clients qui utilisaient du tout-en-un afin de comparer leurs besoins et les nôtres. Pour
nous, l'une des principales difficultés était de rapatrier les règles du coupe-feu de notre ancienne architecture vers la nouvelle. Cette opération a été effectuée sans difficulté, de même que l'installation générale qui nous a pris une journée
seulement ', explique Miloud Tani, du Group Entanco.Plutôt que de transposer les règles du coupe-feu, la CGLLS a préféré remettre tout à plat par l'intermédiaire de l'intégrateur IPvista afin de démarrer sur de bonnes bases. ' L'intégrateur nous a présenté
plusieurs solutions et nous avons fait notre choix. Nous avons surtout été convaincus par la mise en ?"uvre simple et le nombre de fonctions disponibles sur le matériel de WatchGuard. La qualité de service apportée par le constructeur se révèle
également assez satisfaisante. Pour la partie filtrage d'URL, nous utilisons, pour l'heure, le paramétrage par défaut mais nous allons probablement l'optimiser. Au final, le boîtier nous aura coûté 7 000 euros HT avec la prestation,
la maintenance s'élevant à 2 000 euros par an. Il aura fallu une demi-journée pour tout mettre en place ', se souvient Laurent Berthier.Pour David Muther, de la mairie de Saint-Cloud, il s'agissait dans un premier temps de rapatrier toutes les règles issues du site central et des sites distants pour les réimplanter ensuite : ' Nous sommes
passés par l'intégrateur Resoprint. L'installation nous aura pris une journée et demie. Les différentes connexions étaient simples à établir, la mise en place des liens RPV avec les sites distants étant quasiment
automatique. '
Les gains : des économies de temps et d'argent
Les promesses faites lors de l'achat des boîtiers semblent tenues, notamment au niveau de l'administration. ' Nous avons gagné en efficacité. Désormais, nous n'avons plus de soucis pour nous connecter à distance
comme c'était le cas avec le matériel de Check Point. L'avantage financier est important et nous estimons avoir économisé entre 20 % et 30 % par rapport à l'ancien boîtier, hors coûts d'installation. La maintenance s'en trouve également
allégée puisque nous n'avons plus à effectuer les mises à jour de Windows, ce qui apporte aussi une meilleure sécurité ', affirme Miloud Tani, du Groupe Etanco.C'est aussi cette simplicité qui, au final, se révèle le critère le plus séduisant pour David Muther de la mairie de Saint-Cloud : ' La facilité de configuration nous permet de transmettre les compétences
rapidement lors d'un changement d'administrateur dans l'entreprise. En disposant de toutes les fonctions sur le même boîtier, nous réalisons des économies non seulement sur les serveurs mais aussi sur le temps de maintenance, un paramètre non
négligeable pour nous. Nous pouvons désormais gérer la bande passante et en réserver pour certains services comme la messagerie tout en en limitant d'autres comme les flux Wi-Fi .'L'acquisition d'un tel équipement a également permis de mieux répartir la charge sur l'ensemble du réseau. ' Dans l'architecture précédente, le filtrage des virus et du spam était effectué uniquement sur les
postes de travail, ce qui pouvait par fois alourdir leur tâche. La migration vers la version 8.0 de la solution de WatchGuard nous permet d'autre part de bénéficier d'une protection contre les adware, les spyware, les logiciels poste à poste et la
messagerie instantanée ', affirme Laurent Berthier, DSI de CGLLS.
Les écueils : un paramétrage fin inévitable
Les critiques relevées par nos utilisateurs témoins sont assez mineures et portent essentiellement sur l'optimisation des équipements. ' Quelques règles se sont mélangées lors de la mise en place de l'outil.
L'intégrateur avec lequel nous travaillions a installé les correctifs et le problème a été résolu. Pour aller plus loin, nous souhaiterions que Netasq mette en place un service d'infogérance pour ne pas avoir à nous préoccuper du boîtier. Nous
passons déjà par ce mode de gestion pour notre plate-forme SAP, la messagerie, la gestion des routeurs. Nous aurions pu d'office choisir un constructeur qui proposait de l'infogérance, mais nous avons privilégié la qualité du
boîtier ', précise Miloud Tani, du Groupe Etanco.Pour la mairie de Saint-Cloud, c'est le filtrage d'URL qui posait un problème et certains sites étaient bloqués sans raison. Il a suffi que l'administrateur modifie manuellement certaines règles pour résoudre le problème. Phénomène
plus curieux pour la CGLLS : c'est la mise en place de la nouvelle version qui a introduit un certain nombre de difficultés.' La nouvelle version n'a pas été évidente à paramétrer. De plus, elle se révèle assez gourmande en ressources. Le filtrage proposé par défaut est, lui, assez restrictif et il faut soigneusement vérifier les
règles en place. Le module d'antivirus par exemple nous a obligés à lister la quasi-totalité des types de pièces jointes pour éviter qu'elles ne soient rejetées. La mise en place de cette solution requiert de ne pas minimiser le travail exigé par
cette optimisation ', affirme Laurent Berthier, DSI de la CGLLS.