Inscrivez-vous gratuitement à la Newsletter BFM Business
La société d'agroalimentaire Spanghero a déployé entre son réseau local et Internet des boîtiers de sécurité multifonctions qu'elle a su faire évoluer.
Afin d'assurer la sécurité de son réseau local, le fabricant de plats cuisinés Spanghero a successivement installé différents boîtiers de sécurité multifonctions (BSM, UTM en anglais) sur son site de Castelnaudary (dans l'Aude). Il
faut dire qu'en 2000, la sécurité se limitait à la présence d'un antivirus Norton sur les postes clients. ' Quotidiennement, nous subissions de 40 à 50 attaques, la plupart virales, et peut-être des tentatives
d'intrusion, dépeint José Marson, responsable du système d'information de Spanghero. Il nous fallait protéger l'entreprise en amont. D'autant qu'à ce moment, les données des utilisateurs ont été centralisées sur un serveur de
fichiers, leur sécurité relevait donc directement des services informatiques. 'Pour protéger le réseau des menaces extérieures, José Marson cherche en 2001 une solution ' intégrée, stable, dotée d'une interface graphique d'exploitation des données et dont l'administration ne monopolise pas
le service informatique '. Il se décide pour un BSM dont l'installation est confiée à l'intégrateur SCC, situé lui aussi sur les bords du canal du Midi, à Toulouse (31). Habitué à travailler avec le constructeur français
Arkoon, l'intégrateur propose de placer le boîtier Cube de ce dernier à l'entrée du réseau. Le fait qu'il soit basé sur un noyau Linux ' est un gage de stabilité ', selon José Marson. De plus, il est
moins onéreux que la solution Cisco, également évoquée à l'époque.SCC installe le Cube en 2002. Il est connecté via le premier de ses deux ports au routeur ADSL France Télécom et, de l'autre côté, au réseau local. Le service informatique de Spanghero décide d'activer les fonctions de filtrage d'URL,
de coupe-feu ainsi que l'antivirus Sophos sur les flux SMTP et HTTP.
Constitution d'une DMZ
Conformément au cahier des charges, l'administration ne monopolise pas l'attention des services informatiques. L'interface d'administration est composée de plusieurs logiciels qui assurent les fonctions de monitoring, de génération de
rapports et de paramétrage, et ' nous ne la visitons qu'occasionnellement ', note le responsable informatique. En partie parce que Spanghero a souscrit un contrat de maintenance avec SCC, qui assure la
visite périodique d'un de ses spécialistes de la sécurité. À ce stade du projet, Spanghero a constitué une ligne de défense, mais avec seulement deux ports, le boîtier Cube est limité et ne permet pas, par exemple, de créer une zone démilitarisée
(DMZ). Comme, de plus, le Cube arrive en fin de vie, le constructeur pousse à le remplacer.Spanghero passe alors au boîtier de nouvelle génération, l'A200, muni de quatre ports. Cette migration du Cube à l'A200 se fait fin 2004 et en trois jours. Les données du premier sont récupérées et implémentées dans le second pour y
être améliorées, en intégrant la DMZ qui réunit les serveurs Citrix et de messagerie. Pour José Marson, cette ' évolutivité des solutions représente un avantage ' lors des migrations. Le BSM gérant les
connexions RPV, et l'industriel occitan s'étant agrandi en rachetant un site de découpe de porc dans le Tarn, un tunnel RPV IPSec est établi pour relier les deux bâtiments.Les utilisateurs nomades qui ont installé l'agent Arkoon sur leur poste peuvent également se connecter à distance par connexion RPV IPSec. ' Avec, en général, deux ou trois personnes connectées, et jusqu'à une
dizaine le mercredi, le boîtier A200 supporte la charge sans que le trafic s'en ressente ', précise José Marson. Le responsable informatique en profite pour installer sur ses serveurs Citrix et de messagerie l'antivirus de
Trend Micro : ' Grâce au BSM et à la présence de l'antivirus sur les serveurs, nous pouvons nous passer d'antivirus sur la plupart des quatre-vingt-dix postes clients, auxquels on a ôté le port USB et les lecteurs de
disquettes ou de CD. Seule la vingtaine d'utilisateurs qui a besoin de ce type d'interfaces pour travailler est encore équipée de l'antivirus pour poste client de Trend Micro. 'L'intégrateur propose également de prendre à distance la commande du boîtier pour, par exemple, le reparamétrer. Cette option n'a pas été utilisée chez Spanghero, pour des raisons de sécurité. S'il souhaite le faire, l'intégrateur
aurait à fournir au SI de Spanghero l'adresse IP de l'appareil qui prendrait le contrôle de l'A200. Une fois cet identifiant rentré dans le logiciel d'administration du boîtier, SCC pourrait alors, via une connexion SSL, piloter et paramétrer le
boîtier lors d'un problème logiciel.
Un boîtier de secours
Pour l'instant, le principal problème a été matériel, l'A200 ayant connu une défaillance. Les services informatiques ont temporairement rebranché le Cube qui avait été conservé. L'appareil obsolète a assuré l'intérim en mode dégradé,
le temps que le constructeur remplace en 24 heures l'A200. Aujourd'hui, les menaces changent et il a été récemment demandé à SCC d'activer la fonction antipourriel, jusque-là négligée. ' C'est un projet qui
vit ', souligne Gilles Sabatier, ingénieur d'affaires chez SCC. D'ailleurs, l'architecture pourrait évoluer car, avec la défaillance physique du boîtier A200, José Marson s'interroge : ' Peut-on
rester 24 heures en mode dégradé, sans que le site distant ait accès au réseau ? 'D'où l'idée d'acquérir un nouveau boîtier équivalent (l'A210, plus récent) et de le placer en parallèle au premier. Les appareils fonctionneraient en mode actif-passif : lors d'une défaillance du boîtier maître, le boîtier de
secours prendrait le relais et comblerait le trou dans la défense du réseau. José Marson souhaite que ' cette étape soit franchie à court terme '.
Votre opinion