| L'accès aux services intranet en toute sécurité! |
| |
|---|---|---|
| La sécurisation d'un réseau Internet/intranet ne se limite pas à trouver des parades contre les intrusions. Pour mettre en œuvre une véritable politique de sécurité, il faut également assurer un accès protégé aux services liés à Internet. Tour d'horizon des solutions françaises. | ||
|
Pour réussir son projet de sécurité d'un site intranet, il ne suffit pas de choisir un bon pare-feu (firewall). Il faut également définir une véritable politique de sécurité. «Une solution complète de sécurité ne se résume pas au choix de produits. Elle s'accompagnera d'un ensemble de services pour déterminer l'architecture et les produits les plus adaptés, de la formation et du transfert de compétence, une mise en place et une configuration de la solution, une documentation d'exploitation, et une vérification de la bonne marche de l'ensemble avant sa mise en production», explique Hervé Schauer, consultant et spécialiste en systèmes de sécurité. Dans cette solution complète, on trouvera non seulement des produits pour filtrer, relayer, authentifier, journaliser et analyser le trafic réseau mais aussi l'accès sécurisé aux services Internet et intranet. «Un firewall mal configuré ne sert à rien. Et il ne s'agit pas uniquement d'un simple mécanisme anti-intrusion qui sépare Internet du réseau de l'entreprise. Bon nombre d'utilisateurs sous-estiment les fonctions du firewall et l'architecture qui l'entoure. Dans neuf cas sur dix, certains éléments du réseau privé devraient être cloisonnés», ajoute Jean Buet, consultant spécialisé dans les solutions réseaux. Chez Dassault Electronique, la sécurité du système d'information reposera sur le principe de cloisonnement de réseau. Le réseau interne, et donc sensible, est entièrement étanche alors que le réseau externe, ouvert à Internet, est équipé d'un système d'authentification renforcée et de chiffrement fort. A l'Institut Pasteur, c'est la catégorie de machine (publique ou privée) qui déterminera le niveau de sécurité. Et l'on préconise une solution de sécurité maîtrisable et le respect des règles de sécurité établies. «J'ai tendance à préférer les solutions de sécurité simples, si les précautions suffisantes ont été prises. Car plus la sécurité sera complexe, plus elle risquera d'être affectée, ne serait-ce que par les utilisateurs. Ce n'est pas non plus parce qu'on dispose d'un firewall qu'on est en sécurité», explique Stéphane Bortzmeyer, ingénieur à l'Institut Pasteur. Bien que les entreprises françaises n'investissent pas encore beaucoup dans la sécurité de leur système d'information, les solutions de protection se multiplient. Aux côtés des produits d'origine américaine, une offre développée par des sociétés françaises a vu le jour. Parmi les produits plus récents, l'on note des solutions complètes offrant le filtrage IP et le relais d'application, aussi appelé serveur proxy. C'est le cas de la jeune société française Solsoft qui commercialise les produits Net SecurityMaster et Net Partitioner (ex-outils Hervé Schauer Consultants). Fonctionnant sous Unix, Net Partitioner génère automatiquement les fichiers de filtrage IP et permet la visualisation graphique des flux du réseau. Net Security Master, de son côté, assure la journalisation de tous les processus et peut prendre en compte un nombre illimité de sessions. L'offre Bull est assez conséquente en matière de sécurité: avec le produit de filtrage et de relais NetWall (mais la partie relais d'applicatif de NetWall est d'origine américaine), la gamme de logiciels Secureware (dont le boîtier de cryptage Secureware IP), le mécanisme de signature unique (ISM AccessMaster) et distribuée (Access Manager) et la carte à puce CP8. Dans la gamme des firewall, notons l'outil Forum SIS de Telis (ex-pôle des services informatiques de France Télécom repris par Sema Group) que les experts classent plutôt dans les systèmes de cloisonnement de réseau TCP/IP. Dans la même catégorie, la solution Fox de Thomson a été conçue plus spécifiquement pour interconnecter des réseaux de sensibilité différente. | ||
| CLARISSE BURGER | ||
| Dassault Electronique: deux réseaux distincts | ||
| Pour protéger son système d'information relié à l'Internet, Dassault Electronique l'a architecturé autour de deux réseaux distincts. L'un est interne, sensible et totalement cloisonné. L'autre est externe, dédié aux communications extérieures et sécurisé par une solution intégrée. Celle-ci est constituée de produits maison et d'outils issus de partenaires, comme la société française Solsoft. A plus long terme, il est également prévu de mettre en place une passerelle asynchrone entre le réseau interne et le courrier électronique. Mais les deux réseaux resteront toujours distincts. Le système de sécurité a été mis en place entre le réseau d'entreprise étendu (réseau externe) de Dassault Electronique et Internet. Baptisé provisoirement "spi-net", il est actuellement composé de quatre modules: à savoir le filtrage, l'administration centralisée, le chiffrement et un système d'audit et d'exploitation. Autrement dit, le premier module ("spi-sas") assure le routage et le filtrage du réseau et des applicatifs. Il bénéficie également d'un système d'authentification renforcé (calculette) et de détection de virus. Par ailleurs, le portage sur ATM et IPV6 est envisagé à l'horizon 1998. Le deuxième module ("spi-sup") est dédié à l'administration centralisée et locale du système de sécurité. A terme, il évoluera vers une administration à distance couplée au produit Dedicace (logiciel de chiffrement fort, autorisé par la SCSSI et commercialisé par Dassault Automatisme et Télécommunications). Le troisième module ("spi-com") est adapté à la cryptologie (Dedicace mis sur un serveur de signature et de confidentialité). A plus long terme, le chiffrement devrait être intégré sur la nouvelle mouture du protocole IP (IPV6). Ce qui permettra, entre autres, de bénéficier des mécanismes de sécurité de ce protocole. Enfin, le quatrième élément ("spi-exp") regroupe les fonctions d'audit et d'exploitation. Y est également intégrée la détection d'attaques du réseau. | ||
| HERVÉ SCHAUER, CONSULTANT «Parades et services inclus» | ||
| «Une solution complète de sécurité doit intégrer tous les besoins de l'entreprise, tous les métiers que l'on va y trouver. Elle doit permettre de tout protéger, de tout cloisonner, y compris des services Web, par exemple. Pourtant, chacun doit pouvoir accéder à l'ensemble des services dont il a besoin sans exception, et ce en toute sécurité. Une solution complète ne se résume pas aux outils de filtrage, de journalisation ou d'analyse, elle doit également protéger des services comme la messagerie, les News, les serveurs Web, jusqu'à un relais de cache HTTP, un serveur de temps, une passerelle avec une messagerie propriétaire. C'est également une gestion des noms doublée (DNS privé/public), le masquage des adresses et de l'architecture du réseau privé. Une solution complète doit pouvoir évoluer vers de nouveaux services, par opposition à une boîte noire. Et il ne faut pas oublier qu'au- delà des moyens techniques mis en œuvre, l'utilisateur doit aussi se former à la sécurité, et se tenir informé au fil du temps». | ||
| Institut Pasteur: simplicité avant tout | ||
| Pour Daniel Azuelos, responsable de la sécurité à l'Institut Pasteur, la simplicité de l'architecture et le respect des règles sont ses priorités. «Nous avons mis en place notre système de sécurité en 1991. Notre réseau informatique est un inter réseau de l'Internet. Il doit donc être protégé des accès malveillants venant de l'extérieur ou de notre site. A l'Institut Pasteur, nous avons opté pour une philosophie de sécurité simple basée sur un ensemble de règles à respecter. Classées en diverses catégories, nos machines les plus sensibles c'est-à-dire publiques, sont protégées de l'extérieur. Celles-ci sont sécurisées par routeur, coupe-feu, et un ensemble de fonctions élémentaires comme le contrôle d'accès selon le protocole utilisé et la journalisation des processus et des connexions TCP/IP. Nous avons volontairement minimisé le nombre de machines publiques, ce qui facilite la mise en place d'une bonne sécurité. La sécurité d'un système d'information doit être simple tant pour l'administrateur que pour l'utilisateur. Sinon, ce dernier sera tenté de lutter contre ce qui le gêne, voire de détériorer le dispositif de sécurité. L'établissement de règles permet d'éviter certaines intrusions comme le partage de compte. Enfin, du point de vue de l'administration, plus le système de sécurité est complexe et plus il est difficile d'en détecter les failles éventuelles». | ||