Les grands comptes délaissent le pare-feu classique

22/06/2007 à 00h00

Avec son administration simplifiée et son côté tout-en-un, le boîtier de sécurité multifonction UTM se révèle plus complet qu'un pare-feu, pour des coûts comparables.

Le pare-feu vivrait-il ses dernières heures ? A observer les pratiques d'achat des grands comptes, la question mérite d'être posée. En effet, le succès des boîtiers de sécurité multifonctions UTM ne se dément pas. Et il devient très rare que, lors d'un renouvellement de leurs pare-feu, les entreprises ne leur préfèrent un matériel de ce type. Et les PME s'y mettent aussi.Inventé par IDC, l'acronyme UTM (Unified Threat Management, ou gestion unifiée des menaces) désigne des boîtiers comprenant plusieurs fonctions de sécurité autour du filtrage des flux. Un UTM incorpore des éléments de base ?" un pare-feu de réseau, des capacités de détection et de prévention d'intrusion, et un antivirus de passerelle ?", auxquels s'ajoutent des fonctions de filtrage antispam, de réseau privé virtuel (RPV), de gestion de bande passante et de qualité de service. Les entreprises ne se contentent donc plus d'un ' simple ' pare-feu, et se laissent convaincre peu à peu.' Nous utilisons encore des pare-feu Nokia/Check Point Software sur nos sites centraux, mais c'est parce que les autres technologies de filtrage existent déjà, sur divers serveurs ', reconnaît Guillaume Martin, responsable de l'activité de supervision à distance d'Axians, l'intégrateur réseau du groupe Vinci Energies. Le propos paraît éloquent : dans le cas présent, le maintien des pare-feu n'est assuré que sur la base d'une architecture historique en place. Un cahier des charges que le simple pare-feu ne pouvait visiblement plus tenir. Ainsi, lorsqu'il a fallu filtrer les flux de plus de 500 sites répartis en France, le groupe Vinci Energies a installé autant de boîtiers Fortinet. ' Nos prérequis consistaient à gérer la qualité de service via ces boîtiers, et pas uniquement via les routeurs fournis par l'opérateur. Nous souhaitions aussi administrer et déployer la politique de sécurité centralement, en bénéficiant d'un antivirus, de l'IDS/IPS et du RPV IPSec ', explique Jean-Christophe Damez-Fontaine, DSI de Vinci Energies.

La clé du succès passe par l'administration

Les qualités multifonctions du boîtier UTM penchent donc en sa faveur, mais pas seulement. Au fil des ans, sa configuration et son administration sont devenues performantes. Mais, le qualificatif Plug and Forget (' on branche et on oublie ') mis en avant par les offreurs semble exagéré. Si l'installation et le déploiement d'un boîtier excèdent rarement vingt minutes, en amont, une expertise plus approfondie s'avère nécessaire. Guillaume Martin en témoigne : ' Nos ingénieurs préparent des fichiers modèles de configuration, qui seront poussés en central dès lors que le boîtier est relié au réseau MPLS de notre opérateur. Ces fichiers nécessitent une connaissance fine des équipements et de la sécurité. On ne coche pas juste des options pour telle ou telle fonction '.En revanche, du côté de l'administration, la simplicité est de mise. Par exemple, pour gérer ses UTM, Sébastien Boyer, le responsable du réseau international au sein de la cellule réseau de Cegelec, se félicite d'avoir pu travailler avec une interface graphique sur la console d'administration NSM (Netscreen Security Manager), de Juniper : ' Tout le routage s'effectue en mode graphique, décorrélé de la sécurité. Schématiquement, vous tracez les routes nécessaires et vous placez ensuite les feux rouges et verts où vous le souhaitez. ' Cette simplicité sert l'apprentissage plus poussé des fonctions du boîtier. Ainsi, avec NSM, tous les changements de paramètres apparaissent sous leur forme brute, en lignes de commandes. Ils aident à comprendre quelles instructions sont poussées vers les boîtiers. Une fonction d'administration qui continue de progresser, s'inspirant de ce qui a fait le succès des pare-feu du leader Check Point Software. Ainsi dans la version 2007 de NSM, le glisser-déposer a fait son apparition, et une soixantaine de boîtiers ont pu rapidement être déployés au sein du réseau par une cellule de trois personnes. ' L'UTM est configuré dans nos bureaux, puis envoyé sur site. L'essentiel de la configuration consiste à changer l'adresse IP et la place d'adresse. Une fois qu'il est connecté au réseau, la console NSM le reconnaît et pousse les règles de sécurité préétablies selon des modèles (templates) ', résume Sébastien Boyer.

Une configuration réglée en quinze minutes

La même facilité de déploiement a été attestée par Degrement, la filiale environnement du groupe Suez. D'autant plus que les équipes de Philippe Piroja, RSSI et responsable de l'infrastructure, ont bénéficié de leur connaissance de Check Point Software, qui fournit leurs UTM. ' Nous avons pu interconnecter rapidement des sites sans surcoût, car le même outil de management de Firewall-1 équipe les UTM Edge de Check Point Software ', explique Philippe Piroja. Dès lors, en quinze minutes en moyenne, un boîtier est mis en ?"uvre. ' Il nous suffit de configurer trois interfaces réseau (une vers internet, une autre vers le réseau local et la dernière vers une zone démilitarisée), de changer les mots de passe, de mettre à jour le micro-logiciel et de pousser les règles de sécurité ', se félicite le RSSI.L'administration des boîtiers semble primer sur le détail des composants figurant sous le capot. Peu de grands comptes attachent une réelle importance à ce que contiennent les UTM. D'ailleurs, la question du choix d'un processeur dédié (Asic) ou généraliste se pose rarement, malgré le fait que l'Asic accélère certains traitements spécifiques comme le chiffrement. En outre, peu de fabricants maîtrisent l'ensemble de la chaîne de composants ?" le système d'exploitation, la pile TCP/IP, les fonctions d'antivirus, d'antispam, de filtrage URL, etc. Le recours à des briques en open source et à des partenariats (pour l'antivirus et l'antispam) apparaît fréquent. Les clients ne sont pas regardants. ' Le fait que l'antivirus inclus dans le boîtier soit issu de Kaspersky faisait partie des critères qui nous ont amenés à retenir SonicWall, car cet éditeur représente une référence. Reste que sans Kaspersky, nous n'aurions pas renoncé à ce boîtier pour autant ', dit Farid Bouikila, responsable exploitation des systèmes d'information de CorsairFly.

Un coût équivalent

Obtenir davantage de fonctionnalités pour un investissement équivalent représente aussi un argument de poids dans la percée commerciale de l'UTM face au pare-feu. ' SonicWall nous a soumis une offre commerciale assez agressive ', illustre à ce propos Laurent Bayol, responsable des systèmes d'information de CorsairFly. Les UTM commencent à concurrencer les pare-feu, voire à se montrer moins onéreux. Reste que les écarts de prix entre les boîtiers UTM varient aussi du simple au double. Pour cette raison, Cegelec a préféré Juniper à Check Point Software. Et, à l'instar des PME, les grands comptes finissent désormais par positionner le critère de coût quasiment au-dessus de celui des performances.redaction@01informatique.presse.fr

L'UTM : quatre fois plus de fonctions qu'un pare-feu traditionnel

L'antivirus Libre ClamAV est particulièrement populaire au sein des boîtiers UTM qui s'appuient sur une solution open source. Quelques fabricants choisissent cependant d'intégrer de grands noms du marché (Kaspersky, Sophos). Enfin, les antivirus propriétaires (Fortinet, Sonicwall) devront, de préférence, être certifiés par une autorité tierce (ICSA Labs, Classment Virus Bulletin, etc.)

Brique essentielle et incontournable de l'UTM, le pare-feu peut en être le produit phare (Checkpoint, Juniper), ou venir compléter une base applicative existante afin de mériter l'appellation UTM. Il s'agira alors le plus souvent d'une solution open source fondée sur Packet Filter (FreeBSD) ou Netfilter (Linux).

Le composant VPN est, en général, étroitement lié au pare-feu. Lorsque celui-ci est propriétaire (Chackpoint, Juniper, Sonicwall, Fortinet, Clavister, WatchGuard...), le VPN l'est aussi. Sinon, il s'agit souvent d'une solution open source (OpenVPN ou Openswan).

La prévention des intrusions (IPS) est une fonction gourmande en ressources. Raison pour laquelle, d'ailleurs, elle n'est pas toujours activée par les clients de l'UTM. La technologie la plus répandue, ici, est Snort (open source), utilisée en ligne avec un jeu de signatures réduit.

Questions à... : Olivier Caleff, directeur technique sécurité de Devoteam Consulting (XP Conseil)

Est-ce une bonne stratégie de mêler pare-feu et fonctions de sécurité avancées ?
' Pas nécessairement. Le pare-feu est un outil simple, qui s'est largement banalisé. Il peut être piloté par la production, voire être externalisé. Gérer un IPS est une autre chose. On ne peut automatiser ses réponses sans surveillance : en cas de déni de service important, on court le risque de se couper du monde. L'IPS doit donc être piloté par une équipe capable de répondre aux incidents de sécurité. Si les deux fonctions se situent sur le même équipement, on se retrouve donc avec des équipes n'ayant ni le même métier ni les mêmes responsabilités, mais contraintes de partager une interface commune. Quid, alors, de la journalisation ? Si l'entreprise est soumise à des lois de conformité, elle doit pouvoir tracer les accès, et savoir quel opérateur a réalisé telle action, et assurer un contrôle d'accès fin. Ce que les boîtiers n'autorisent pas tous. '

Témoignage : Sébastien Truttet (Altran) : ' huit boîtiers UTM sécurisent le réseau français de 6 000 utilisateurs '

' Dans le cadre de la construction d'un système d'information commun au groupe, nous nous sommes équipés pour la partie sécurité de huit boîtiers UTM NetASQ F800. Pouvoir couvrir un grand nombre de fonctions de sécurité par le biais d'un seul produit, et donc ne devoir maîtriser qu'une seule technologie, forme l'atout principal des UTM. Cela a motivé notre choix. Avec quatre paires de boîtiers, nous sécurisons l'ensemble du réseau d'Altran en France, soit 25 sites, 1 000 utilisateurs sur le réseau interne et 5 000 utilisateurs faisant appel aux ressources mises à disposition sur internet. La facilité d'administration des équipements constitue le point fort de l'offre. La prise en main est aisée, et vous n'avez pas l'obligation de connaître toute la topologie du réseau pour autoriser tel ou tel flux. L'interface d'administration de NetASQ déduit les interfaces à configurer en fonction des flux à autoriser. Nous n'utilisons pas toutes les fonctionnalités mises à disposition, car certaines sont couvertes par des choix technologiques antérieurs. '

Ce qu'ils en pensent...

Check Point Software

Thierry Karsenti, directeur technique Europe chez Check Point Software
' Les solutions UTM imposent les différentes technologies embarquées. Problème : ces composants ne sont pas forcément tous au niveau d'efficacité souhaité. Nombre de nos clients préfèrent donc choisir séparément les technologies de pare-feu, d'IPS, d'antivirus, de filtrage d'URL, etc. Les solutions dédiées, dont l'appliance purement firewall, s'inscrivent dans une logique de sécurité à la carte, c'est-à-dire sans compromis ni dépendance imposée. '

Cisco

Christophe Perrin, CISSP, Sales Business Development Manager-Security chez Cisco
' Aujourd'hui, certains clients utilisent des solutions et procédures en place qui s'appuient sur plusieurs technologies couvertes par les UTM. Or, toutes ces offres ne sont pas dans des phases de renouvellement au même moment. Sans compter qu'à la séparation fonctionnelle correspond souvent une séparation organisationnelle (la personne gérant l'antivirus n'est pas forcément celle gérant les firewalls). Enfin certains clients veulent conserver la flexibilité de déployer chaque fonction de sécurité en des points différents. '

Juniper Networks

Mario Georgiou, directeur régional pour les technologies émergentes chez Juniper Networks
' Nous observons que la majorité des grands comptes préfère spécialiser les fonctions de sécurité (IPS, pare-feu, antivirus...) en se tournant vers des éditeurs spécifiques. Cette spécialisation vise la performance. Toutefois, une minorité de grands comptes utilise l'équipement UTM (incluant les fonctions d'IPS et dantivirus) pour sécuriser des agences distantes. '

Christophe Dupont Elise et Jérôme Saiz

Votre opinion