Les boîtiers tout-en-un simplifient l'administration

26/04/2006 à 07h00

Les équipements de sécurité multifonctions allègent l'administration. Une étude des besoins et le recours à un intégrateur sont des prérequis indispensables.

Le débat anime les spécialistes de la sécurité depuis quelques années : les boîtiers tout-en-un constituent-ils la meilleure protection ? Autrement dit, peut-on faire confiance à ces équipements dès lors qu'ils embarquent en même temps un coupe-feu, un serveur RPV, un IPS, un module de filtrage d'URL, un antivirus... D'un côté, certains affirment qu'il est dangereux de concentrer un nombre trop important de fonctions dans un seul boîtier, car si l'une d'elles fait défaut, c'est l'ensemble du système qui n'est plus opérationnel.De l'autre côté, les partisans de ces matériels affirment que leur déploiement et la maintenance qui s'ensuit sont considérablement plus simples que l'entretien d'une collection de boîtiers dédiés. Aujourd'hui, ces derniers semblent avoir raison, si l'on considère les tendances du marché avec des ventes de boîtiers multifonctions de sécurité en pleine explosion. À tel point qu'un sigle a même été créé pour les désigner : UTM (Unified Threat Management).

Utilisation : une maintenance facilitée

Les PME, souvent dépourvues de compétences en interne, sont les premières séduites par ces équipements, comme le confirme Miloud Tani, DSI du Groupe Etanco, spécialisé dans la fabrication d'accessoires de fixation et d'isolation pour le bâtiment.' Nous travaillons en flux tendu, avec une équipe réduite. Précédemment, nous utilisions le logiciel VPN-1 de Check Point mais celui-ci nous posait des problèmes de maintenance et il était devenu une charge trop lourde pour nous. Nous avons opté pour le boîtier Netasq F500 avec coupe-feu, RPV, IPS, antivirus, antispam, filtrage d'URL que nous louons à notre intégrateur [lire encadré]. Les six sites du groupe passent par cet équipement situé sur le site central avec un total de 300 postes pour 20 serveurs. 'Cette volonté d'harmoniser et de simplifier l'architecture a également incité la mairie de Saint-Cloud à choisir le tout-en-un. Là aussi, l'architecture réseau est répartie sur plusieurs sites connectés à un site central. Cependant, les douze sites distants sont autonomes vis-à-vis d'Internet, ce qui implique d'installer un équipement sur chaque entité. En revanche, ils accèdent à la messagerie et à l'intranet sur le site central.' Jusque-là, nous utilisions un coupe-feu Check Point sur le site central et des outils Cisco sur les sites distants. Nous avions trop d'équipements avec une passerelle antivirus, un boîtier de filtrage d'URL et une sonde d'intrusions. Tous étaient installés sur des serveurs différents, ce qui compliquait la maintenance des machines. De plus, les flux transitaient en clair entre les entités et nous risquions d'être confrontés à des attaques par usurpation d'identités ', détaille David Muther, administrateur réseau de la ville de Saint-Cloud.Pour simplifier l'ensemble et chiffrer les flux, la mairie décide d'installer un boîtier SonicWall Pro 3060 sur le site central et d'activer les fonctions de coupe-feu, d'IPS, de RPV, de filtrage d'URL, d'antivirus et d'antispyware. ' Le boîtier nous permet de segmenter le LAN en sous-réseaux : intranet, Internet, DMZ et Wi-Fi. De plus, il sert de plate-forme d'administration pour le Wi-Fi et pour les autres boîtiers installés sur les sites distants ', ajoute-t-il.Dix boîtiers TZ 170 sont installés dans les crèches de la ville, les haltes-garderies, les ateliers, la voirie et les musées. Sur le site de la médiathèque et de l'espace emploi, deux matériels 2040 permettent de créer un réseau Wi-Fi et de segmenter l'architecture globale en quatre sous-réseaux différents.En architecture monosite, cette fois, la CGLLS (caisse de garantie du logement locatif social) a aussi choisi le tout-en-un pour étendre les possibilités de filtrage sur son réseau composé de trente-cinq machines et de six serveurs. ' Auparavant, nous avions un matériel Cisco limité à la fonction de coupe-feu. Or, à l'époque, le nombre d'attaques virales était particulièrement important avec 3 500 virus par mois. Les logiciels antivirus installés sur les postes de travail nous ont permis de ne jamais être infectés, mais nous avons jugé qu'il était plus prudent d'investir dans une passerelle. Comme le volume de spams était aussi assez important, nous avons choisi une solution tout-en-un avec coupe-feu, antivirus et antispam, le Firebox X700 de WatchGuard. Nous n'avions pas d'appréhension sur le tout-en-un qui semble désormais abouti. De plus, si le boîtier tombe en panne, rien n'est critique pour nous puisque notre site Internet n'est pas hébergé en interne ', précise Laurent Berthier, DSI de la CGLLS.

La mise en ?"uvre : l'aide d'un intégrateur souvent nécessaire

Simplifier la gestion du réseau pour le Groupe Etanco, réduire le nombre de matériels pour la mairie de Saint-Cloud, augmenter les possibilités de filtrage pour la caisse de garantie du logement locatif social, ces trois témoignages illustrent bien les principales motivations des PME et des collectivités locales qui ont opté pour les boîtiers de sécurité tout-en-un.Mais pour les mettre en place, ces structures manquent de temps et sont souvent dépourvues de compétences pointues en sécurité. Le recours à un prestataire extérieur est alors quasi systématique. ' Nous sommes passés par l'intégrateur Integralis. C'est lui qui avait installé le matériel Check Point précédemment en place. Nous avons été mis en relation avec d'autres clients qui utilisaient du tout-en-un afin de comparer leurs besoins et les nôtres. Pour nous, l'une des principales difficultés était de rapatrier les règles du coupe-feu de notre ancienne architecture vers la nouvelle. Cette opération a été effectuée sans difficulté, de même que l'installation générale qui nous a pris une journée seulement ', explique Miloud Tani, du Group Entanco.Plutôt que de transposer les règles du coupe-feu, la CGLLS a préféré remettre tout à plat par l'intermédiaire de l'intégrateur IPvista afin de démarrer sur de bonnes bases. ' L'intégrateur nous a présenté plusieurs solutions et nous avons fait notre choix. Nous avons surtout été convaincus par la mise en ?"uvre simple et le nombre de fonctions disponibles sur le matériel de WatchGuard. La qualité de service apportée par le constructeur se révèle également assez satisfaisante. Pour la partie filtrage d'URL, nous utilisons, pour l'heure, le paramétrage par défaut mais nous allons probablement l'optimiser. Au final, le boîtier nous aura coûté 7 000 euros HT avec la prestation, la maintenance s'élevant à 2 000 euros par an. Il aura fallu une demi-journée pour tout mettre en place ', se souvient Laurent Berthier.Pour David Muther, de la mairie de Saint-Cloud, il s'agissait dans un premier temps de rapatrier toutes les règles issues du site central et des sites distants pour les réimplanter ensuite : ' Nous sommes passés par l'intégrateur Resoprint. L'installation nous aura pris une journée et demie. Les différentes connexions étaient simples à établir, la mise en place des liens RPV avec les sites distants étant quasiment automatique. '

Les gains : des économies de temps et d'argent

Les promesses faites lors de l'achat des boîtiers semblent tenues, notamment au niveau de l'administration. ' Nous avons gagné en efficacité. Désormais, nous n'avons plus de soucis pour nous connecter à distance comme c'était le cas avec le matériel de Check Point. L'avantage financier est important et nous estimons avoir économisé entre 20 % et 30 % par rapport à l'ancien boîtier, hors coûts d'installation. La maintenance s'en trouve également allégée puisque nous n'avons plus à effectuer les mises à jour de Windows, ce qui apporte aussi une meilleure sécurité ', affirme Miloud Tani, du Groupe Etanco.C'est aussi cette simplicité qui, au final, se révèle le critère le plus séduisant pour David Muther de la mairie de Saint-Cloud : ' La facilité de configuration nous permet de transmettre les compétences rapidement lors d'un changement d'administrateur dans l'entreprise. En disposant de toutes les fonctions sur le même boîtier, nous réalisons des économies non seulement sur les serveurs mais aussi sur le temps de maintenance, un paramètre non négligeable pour nous. Nous pouvons désormais gérer la bande passante et en réserver pour certains services comme la messagerie tout en en limitant d'autres comme les flux Wi-Fi .'L'acquisition d'un tel équipement a également permis de mieux répartir la charge sur l'ensemble du réseau. ' Dans l'architecture précédente, le filtrage des virus et du spam était effectué uniquement sur les postes de travail, ce qui pouvait par fois alourdir leur tâche. La migration vers la version 8.0 de la solution de WatchGuard nous permet d'autre part de bénéficier d'une protection contre les adware, les spyware, les logiciels poste à poste et la messagerie instantanée ', affirme Laurent Berthier, DSI de CGLLS.

Les écueils : un paramétrage fin inévitable

Les critiques relevées par nos utilisateurs témoins sont assez mineures et portent essentiellement sur l'optimisation des équipements. ' Quelques règles se sont mélangées lors de la mise en place de l'outil. L'intégrateur avec lequel nous travaillions a installé les correctifs et le problème a été résolu. Pour aller plus loin, nous souhaiterions que Netasq mette en place un service d'infogérance pour ne pas avoir à nous préoccuper du boîtier. Nous passons déjà par ce mode de gestion pour notre plate-forme SAP, la messagerie, la gestion des routeurs. Nous aurions pu d'office choisir un constructeur qui proposait de l'infogérance, mais nous avons privilégié la qualité du boîtier ', précise Miloud Tani, du Groupe Etanco.Pour la mairie de Saint-Cloud, c'est le filtrage d'URL qui posait un problème et certains sites étaient bloqués sans raison. Il a suffi que l'administrateur modifie manuellement certaines règles pour résoudre le problème. Phénomène plus curieux pour la CGLLS : c'est la mise en place de la nouvelle version qui a introduit un certain nombre de difficultés.' La nouvelle version n'a pas été évidente à paramétrer. De plus, elle se révèle assez gourmande en ressources. Le filtrage proposé par défaut est, lui, assez restrictif et il faut soigneusement vérifier les règles en place. Le module d'antivirus par exemple nous a obligés à lister la quasi-totalité des types de pièces jointes pour éviter qu'elles ne soient rejetées. La mise en place de cette solution requiert de ne pas minimiser le travail exigé par cette optimisation ', affirme Laurent Berthier, DSI de la CGLLS.

1 - une administration simplifiée
Le fait de n'avoir qu'un seul boîtier à paramétrer facilite l'administration notamment pour l'adressage. La maintenance est aussi plus aisée dans la mesure où une seule machine doit bénéficier des mises à jour quel que soit le nombre de fonctions. Beaucoup de logiciels spécifiques s'appuient par ailleurs sur un système d'exploitation tiers qu'il convient aussi de tenir à jour, ce qui augmente encore la complexité de gestion.

2 - un prix compétitif
L'investissement dans un boîtier de sécurité tout-en-un permet souvent de faire des économies par rapport à une architecture composée de boîtiers dédiés. Tout d'abord concernant l'achat du matériel : les boîtiers spécifiques impliquent souvent d'investir dans des serveurs et dans des systèmes d'exploitation qui les acceptent. Ensuite pour la maintenance : il revient moins cher de mettre à jour un boîtier que cinq différents.

3 - un point critique
Contrepartie à la concentration des fonctions, un boîtier de sécurité tout-en-un introduit un seul point critique sur le réseau. Si un module tombe en panne, ce sont toutes les fonctions qui deviennent injoignables, ce qui peut pénaliser les entreprises pour lesquelles l'accès au réseau est critique.

4 - une organisation à remodeler
Certaines entreprises se montrent réticentes à l'idée de passer au tout-en-un, car ces boîtiers multifonctions remettent en cause leur organisation. Il est en effet difficile de confier la gestion d'un unique boîtier à des équipes distinctes.

louer un boîtier : Miloud Tani (Groupe Etanco) : ' Nous disposons d'un équipement toujours optimisé '

Miloud Tani, DSI du Groupe Etanco ?" spécialisé dans la fabrication et la commercialisation d'accessoires de fixation et d'isolation pour le bâtiment ?", a choisi le matériel F500 de Netasq.

Pour protéger ses 300 postes utilisateurs et ses 20 serveurs, le Groupe Etanco a choisi le matériel F500 de Netasq. Plutôt que d'acheter le boîtier, l'entreprise a préféré le louer par le biais de son intégrateur Integralis. ' Avec les fluctuations des entreprises, des rachats à tout-va, louer un boîtier nous paraissait le plus sûr. De plus, si notre société change de taille ou que de nouveaux modèles apparaissent chez Netasq, nous pourrons disposer de la technologie la plus ajustée ', affirme Miloud Tani.

Le choix d'un boîtier en location s'est aussi fait avec l'offre d'Integralis : ' L'intégrateur nous proposait d'installer le boîtier, d'effectuer des tests, puis de nous réserver des heures réparties sur l'année pour maintenir le matériel à jour et nous conseiller en termes de règles de sécurité. Cette prestation nous convenait car nous ne disposons pas de compétences suffisantes en interne ', ajoutele DSI.

Avec un engagement sur 36 mois, il en coûte 700 euros/mois tout compris, Integralis remplaçant le matériel au bout de 8 heures en cas de défaillance. ' Notre seul regret est peut-être de ne pas avoir signé deux contrats : un pour le boîtier et un pour la prestation, ce qui nous aurait permis de nous désengager en cas de soucis avec l'intégrateur ', précise Miloud Tani.

Groupe Etanco

privilégier les boîtiers spécifiques : Laurent Sere (Aéroconseil) : ' Nous préférons maîtriser notre sécurité '

Le responsable sécurité du bureau d'études orienté aéronautique ?" dont certains clients souhaitent continuer à maîtriser leur architecture ?", a donc préféré conserver ses boîtiers dédiés.

Certaines entreprises restent méfiantes vis-à-vis des boîtiers tout-en-un. Il s'agit en général de sociétés qui souhaitent continuer à maîtriser entièrement leur architecture. Le groupe Aéroconseil, spécialisé dans le secteur de l'aéronautique, a ainsi préféré conserver ses boîtiers dédiés, ce que détaille Laurent Sere, responsable sécurité du groupe.

' Notre groupe est constitué de quatre filiales qui sont toutes reliées entre elles sur le site central. Lorsque nous avons recherché une passerelle antivirus-antispam, nous avons préféré opter pour le boîtier spécifique WebShield e500 de McAfee, remplacé depuis par un WebShield 3200. La raison est que nous disposions déjà d'un coupe-feu/RPV IPsec Cisco et d'un module de filtrage d'URL inclus dans ISA Server de Microsoft. Nous ne souhaitions donc pas investir dans un nouveau matériel. D'autre part, nous sommes réticents à accumuler trop de fonctions sur un même boîtier. Le lien Internet est vital pour nous puisque nous nous en servons pour consulter notre documentation et pour nous connecter afin d'intervenir chez nos clients. Cette criticité nous a incités à positionner deux coupe-feu Cisco en redondance et deux boîtiers antivirus-antispam de McAfee. '

Aéroconseil

avis d'intégrateur : Vincent Duquesne (Nomios) : ' Il convient d'effectuer ses propres tests '

Le directeur technique de Nomios estime que la baisse du temps d'exploitation explique que les entreprises décident d'opter pour le tout-en-un.

Décision informatique : Quelle est l'évolution du marché des boîtiers tout-en-un ces dernières années ?
Vincent Duquesne : Les premiers modèles de boîtiers de sécurité tout-en-un sont apparus il y a quatre ou cinq ans. À l'époque, les entreprises étaient encore réticentes à les utiliser et la plupart des constructeurs mettaient en avant la performance des équipements dédiés. Puis la tendance a basculé il y a un ou deux ans avec l'arrivée de composants plus puissants pour les équipements tout-en-un.

Qu'est-ce qui a convaincu les entreprises ?
Essentiellement la baisse du temps d'exploitation. Ces boîtiers sont plus faciles à installer et à gérer ensuite. Une seule mise à jour peut être effectuée pour plusieurs fonctions différentes. Le prix a aussi été parfois un élément déterminant.

Quelles sont les précautions à prendre avant d'investir ?
Il convient surtout d'effectuer ses propres tests pour s'assurer que la puissance annoncée par le constructeur est bien la même lorsque toutes les fonctions désirées sont activées. Il faut aussi savoir que ces boîtiers ne conviennent par aux structures qui ont une équipe associée à une fonction. Le problème est alors plus d'ordre organisationnel.

Nomios

Thibault Michel