Spanghero renforce sa ligne de défense

Afin d'assurer la sécurité de son réseau local, le fabricant de plats cuisinés Spanghero a successivement installé différents boîtiers de sécurité multifonctions (BSM, UTM en anglais) sur son site de Castelnaudary (dans l'Aude). Il faut dire qu'en 2000, la sécurité se limitait à la présence d'un antivirus Norton sur les postes clients. ' Quotidiennement, nous subissions de 40 à 50 attaques, la plupart virales, et peut-être des tentatives d'intrusion, dépeint José Marson, responsable du système d'information de Spanghero. Il nous fallait protéger l'entreprise en amont. D'autant qu'à ce moment, les données des utilisateurs ont été centralisées sur un serveur de fichiers, leur sécurité relevait donc directement des services informatiques. 'Pour protéger le réseau des menaces extérieures, José Marson cherche en 2001 une solution ' intégrée, stable, dotée d'une interface graphique d'exploitation des données et dont l'administration ne monopolise pas le service informatique '. Il se décide pour un BSM dont l'installation est confiée à l'intégrateur SCC, situé lui aussi sur les bords du canal du Midi, à Toulouse (31). Habitué à travailler avec le constructeur français Arkoon, l'intégrateur propose de placer le boîtier Cube de ce dernier à l'entrée du réseau. Le fait qu'il soit basé sur un noyau Linux ' est un gage de stabilité ', selon José Marson. De plus, il est moins onéreux que la solution Cisco, également évoquée à l'époque.SCC installe le Cube en 2002. Il est connecté via le premier de ses deux ports au routeur ADSL France Télécom et, de l'autre côté, au réseau local. Le service informatique de Spanghero décide d'activer les fonctions de filtrage d'URL, de coupe-feu ainsi que l'antivirus Sophos sur les flux SMTP et HTTP.

Constitution d'une DMZ

Conformément au cahier des charges, l'administration ne monopolise pas l'attention des services informatiques. L'interface d'administration est composée de plusieurs logiciels qui assurent les fonctions de monitoring, de génération de rapports et de paramétrage, et ' nous ne la visitons qu'occasionnellement ', note le responsable informatique. En partie parce que Spanghero a souscrit un contrat de maintenance avec SCC, qui assure la visite périodique d'un de ses spécialistes de la sécurité. À ce stade du projet, Spanghero a constitué une ligne de défense, mais avec seulement deux ports, le boîtier Cube est limité et ne permet pas, par exemple, de créer une zone démilitarisée (DMZ). Comme, de plus, le Cube arrive en fin de vie, le constructeur pousse à le remplacer.Spanghero passe alors au boîtier de nouvelle génération, l'A200, muni de quatre ports. Cette migration du Cube à l'A200 se fait fin 2004 et en trois jours. Les données du premier sont récupérées et implémentées dans le second pour y être améliorées, en intégrant la DMZ qui réunit les serveurs Citrix et de messagerie. Pour José Marson, cette ' évolutivité des solutions représente un avantage ' lors des migrations. Le BSM gérant les connexions RPV, et l'industriel occitan s'étant agrandi en rachetant un site de découpe de porc dans le Tarn, un tunnel RPV IPSec est établi pour relier les deux bâtiments.Les utilisateurs nomades qui ont installé l'agent Arkoon sur leur poste peuvent également se connecter à distance par connexion RPV IPSec. ' Avec, en général, deux ou trois personnes connectées, et jusqu'à une dizaine le mercredi, le boîtier A200 supporte la charge sans que le trafic s'en ressente ', précise José Marson. Le responsable informatique en profite pour installer sur ses serveurs Citrix et de messagerie l'antivirus de Trend Micro : ' Grâce au BSM et à la présence de l'antivirus sur les serveurs, nous pouvons nous passer d'antivirus sur la plupart des quatre-vingt-dix postes clients, auxquels on a ôté le port USB et les lecteurs de disquettes ou de CD. Seule la vingtaine d'utilisateurs qui a besoin de ce type d'interfaces pour travailler est encore équipée de l'antivirus pour poste client de Trend Micro. 'L'intégrateur propose également de prendre à distance la commande du boîtier pour, par exemple, le reparamétrer. Cette option n'a pas été utilisée chez Spanghero, pour des raisons de sécurité. S'il souhaite le faire, l'intégrateur aurait à fournir au SI de Spanghero l'adresse IP de l'appareil qui prendrait le contrôle de l'A200. Une fois cet identifiant rentré dans le logiciel d'administration du boîtier, SCC pourrait alors, via une connexion SSL, piloter et paramétrer le boîtier lors d'un problème logiciel.

Un boîtier de secours

Pour l'instant, le principal problème a été matériel, l'A200 ayant connu une défaillance. Les services informatiques ont temporairement rebranché le Cube qui avait été conservé. L'appareil obsolète a assuré l'intérim en mode dégradé, le temps que le constructeur remplace en 24 heures l'A200. Aujourd'hui, les menaces changent et il a été récemment demandé à SCC d'activer la fonction antipourriel, jusque-là négligée. ' C'est un projet qui vit ', souligne Gilles Sabatier, ingénieur d'affaires chez SCC. D'ailleurs, l'architecture pourrait évoluer car, avec la défaillance physique du boîtier A200, José Marson s'interroge : ' Peut-on rester 24 heures en mode dégradé, sans que le site distant ait accès au réseau ? 'D'où l'idée d'acquérir un nouveau boîtier équivalent (l'A210, plus récent) et de le placer en parallèle au premier. Les appareils fonctionneraient en mode actif-passif : lors d'une défaillance du boîtier maître, le boîtier de secours prendrait le relais et comblerait le trou dans la défense du réseau. José Marson souhaite que ' cette étape soit franchie à court terme '.