Inscrivez-vous gratuitement à la Newsletter BFM Business
Avec son administration simplifiée et son côté tout-en-un, le boîtier de sécurité multifonction UTM se révèle plus complet qu'un pare-feu, pour des coûts comparables.
Le pare-feu vivrait-il ses dernières heures ? A observer les pratiques d'achat des grands comptes, la question mérite d'être posée. En effet, le succès des boîtiers de sécurité multifonctions UTM ne se dément pas. Et il devient
très rare que, lors d'un renouvellement de leurs pare-feu, les entreprises ne leur préfèrent un matériel de ce type. Et les PME s'y mettent aussi.Inventé par IDC, l'acronyme UTM (Unified Threat Management, ou gestion unifiée des menaces) désigne des boîtiers comprenant plusieurs fonctions de sécurité autour du filtrage des flux. Un UTM incorpore des éléments de base ?" un
pare-feu de réseau, des capacités de détection et de prévention d'intrusion, et un antivirus de passerelle ?", auxquels s'ajoutent des fonctions de filtrage antispam, de réseau privé virtuel (RPV), de gestion de bande passante et de qualité de
service. Les entreprises ne se contentent donc plus d'un ' simple ' pare-feu, et se laissent convaincre peu à peu.' Nous utilisons encore des pare-feu Nokia/Check Point Software sur nos sites centraux, mais c'est parce que les autres technologies de filtrage existent déjà, sur divers serveurs ',
reconnaît Guillaume Martin, responsable de l'activité de supervision à distance d'Axians, l'intégrateur réseau du groupe Vinci Energies. Le propos paraît éloquent : dans le cas présent, le maintien des pare-feu n'est assuré que sur la base
d'une architecture historique en place. Un cahier des charges que le simple pare-feu ne pouvait visiblement plus tenir. Ainsi, lorsqu'il a fallu filtrer les flux de plus de 500 sites répartis en France, le groupe Vinci Energies a installé autant de
boîtiers Fortinet. ' Nos prérequis consistaient à gérer la qualité de service via ces boîtiers, et pas uniquement via les routeurs fournis par l'opérateur. Nous souhaitions aussi administrer et déployer la politique de
sécurité centralement, en bénéficiant d'un antivirus, de l'IDS/IPS et du RPV IPSec ', explique Jean-Christophe Damez-Fontaine, DSI de Vinci Energies.
La clé du succès passe par l'administration
Les qualités multifonctions du boîtier UTM penchent donc en sa faveur, mais pas seulement. Au fil des ans, sa configuration et son administration sont devenues performantes. Mais, le qualificatif Plug and Forget
(' on branche et on oublie ') mis en avant par les offreurs semble exagéré. Si l'installation et le déploiement d'un boîtier excèdent rarement vingt minutes, en amont, une expertise plus approfondie
s'avère nécessaire. Guillaume Martin en témoigne : ' Nos ingénieurs préparent des fichiers modèles de configuration, qui seront poussés en central dès lors que le boîtier est relié au réseau MPLS de notre opérateur. Ces
fichiers nécessitent une connaissance fine des équipements et de la sécurité. On ne coche pas juste des options pour telle ou telle fonction '.En revanche, du côté de l'administration, la simplicité est de mise. Par exemple, pour gérer ses UTM, Sébastien Boyer, le responsable du réseau international au sein de la cellule réseau de Cegelec, se félicite d'avoir pu travailler
avec une interface graphique sur la console d'administration NSM (Netscreen Security Manager), de Juniper : ' Tout le routage s'effectue en mode graphique, décorrélé de la sécurité. Schématiquement, vous tracez les routes
nécessaires et vous placez ensuite les feux rouges et verts où vous le souhaitez. ' Cette simplicité sert l'apprentissage plus poussé des fonctions du boîtier. Ainsi, avec NSM, tous les changements de paramètres apparaissent
sous leur forme brute, en lignes de commandes. Ils aident à comprendre quelles instructions sont poussées vers les boîtiers. Une fonction d'administration qui continue de progresser, s'inspirant de ce qui a fait le succès des pare-feu du leader
Check Point Software. Ainsi dans la version 2007 de NSM, le glisser-déposer a fait son apparition, et une soixantaine de boîtiers ont pu rapidement être déployés au sein du réseau par une cellule de trois personnes. ' L'UTM
est configuré dans nos bureaux, puis envoyé sur site. L'essentiel de la configuration consiste à changer l'adresse IP et la place d'adresse. Une fois qu'il est connecté au réseau, la console NSM le reconnaît et pousse les règles de sécurité
préétablies selon des modèles (templates) ', résume Sébastien Boyer.
Une configuration réglée en quinze minutes
La même facilité de déploiement a été attestée par Degrement, la filiale environnement du groupe Suez. D'autant plus que les équipes de Philippe Piroja, RSSI et responsable de l'infrastructure, ont bénéficié de leur connaissance de
Check Point Software, qui fournit leurs UTM. ' Nous avons pu interconnecter rapidement des sites sans surcoût, car le même outil de management de Firewall-1 équipe les UTM Edge de Check Point
Software ', explique Philippe Piroja. Dès lors, en quinze minutes en moyenne, un boîtier est mis en ?"uvre. ' Il nous suffit de configurer trois interfaces réseau (une vers internet, une autre vers le
réseau local et la dernière vers une zone démilitarisée), de changer les mots de passe, de mettre à jour le micro-logiciel et de pousser les règles de sécurité ', se félicite le RSSI.L'administration des boîtiers semble primer sur le détail des composants figurant sous le capot. Peu de grands comptes attachent une réelle importance à ce que contiennent les UTM. D'ailleurs, la question du choix d'un processeur
dédié (Asic) ou généraliste se pose rarement, malgré le fait que l'Asic accélère certains traitements spécifiques comme le chiffrement. En outre, peu de fabricants maîtrisent l'ensemble de la chaîne de composants ?" le système d'exploitation,
la pile TCP/IP, les fonctions d'antivirus, d'antispam, de filtrage URL, etc. Le recours à des briques en open source et à des partenariats (pour l'antivirus et l'antispam) apparaît fréquent. Les clients ne sont pas regardants.
' Le fait que l'antivirus inclus dans le boîtier soit issu de Kaspersky faisait partie des critères qui nous ont amenés à retenir SonicWall, car cet éditeur représente une référence. Reste que sans Kaspersky, nous n'aurions
pas renoncé à ce boîtier pour autant ', dit Farid Bouikila, responsable exploitation des systèmes d'information de CorsairFly.
Un coût équivalent
Obtenir davantage de fonctionnalités pour un investissement équivalent représente aussi un argument de poids dans la percée commerciale de l'UTM face au pare-feu. ' SonicWall nous a soumis une offre commerciale
assez agressive ', illustre à ce propos Laurent Bayol, responsable des systèmes d'information de CorsairFly. Les UTM commencent à concurrencer les pare-feu, voire à se montrer moins onéreux. Reste que les écarts de prix entre
les boîtiers UTM varient aussi du simple au double. Pour cette raison, Cegelec a préféré Juniper à Check Point Software. Et, à l'instar des PME, les grands comptes finissent désormais par positionner le critère de coût quasiment au-dessus de celui
des performances.redaction@01informatique.presse.fr
Votre opinion