Emploi Start-up Evénements 01 Avis d'expert Vidéos Indicateurs Distribution Telecharger Pro Livres blancs
01net Pro / Actualités / Sécurité

Poste de travail : une liberté sous surveillance

Contrôler l'intégrité des postes de travail permet de réduire les vulnérabilités. Beaucoup d'outils existent mais leur paramétrage est délicat.
Décision Informatique
le 09/02/2007 à 07h00
envoyer
par mail
imprimer
l'article
partager sur Viadeo
partager sur Facebook
partager sur LinkedIn
partager sur Scoopeo
partager sur Technorati
partager sur Digg
partager sur Delicious
partager sur Google
partager sur Myspace
partager sur Yahoo!

La mobilité des postes de travail complique la gestion de leur sécurité. Un collaborateur nomade habitué à changer de réseau et à exploiter son poste à des fins personnelles est beaucoup plus vulnérable que celui qui utilise un poste fixe. Pour l'entreprise, le danger de voir son réseau contaminé est grand. La prévention passe par des contrôles visant à déterminer si les postes qui se connectent sont sains, si les correctifs sont à jour ou si l'antivirus dispose des dernières signatures.

L'offre est assez importante tant du côté des constructeurs de passerelles SSL, qui proposent en général une fonction de vérification d'intégrité du poste, que de celui des équipementiers, tel Cisco avec NAC, ou de celui des éditeurs, tel LAN-Desk avec Security Suite. Les entreprises s'y intéressent, comme le rappelle Jean-François Cadudal, responsable du pôle intégration des solutions de sécurité chez l'intégrateur Cyber Networks : “ Aujourd'hui, rares sont les projets de mobilité qui n'intègrent pas une composante d'analyse du réseau. ”

Les besoins : maîtriser le réseau

Pour Patrice Moret, chargé de mission informatique à la chambre d'agriculture de l'Indre, le projet a débuté en 2005 lorsque la direction a choisi de revoir la sécurité de l'architecture. “ L'objectif était d'identifier les postes nomades tout en vérifiant leur intégrité. Notre contexte de travail est un peu particulier, car je suis le seul à m'occuper de l'informatique et ne peux donc consacrer mon temps à la vérification des logs. Le nomadisme a une part importante dans notre entreprise puisque 40 postes sur 70 sont des portables. L'information transportée n'est pas hautement confidentielle, mais nous ne pouvons nous permettre de détruire ou de perdre des données ”, précise-t-il.

C'est aussi la volonté de remettre à plat la sécurité qui a incité le groupe Ircem à se pencher sur le poste client : “ En 2005, la direction a créé un poste de responsable de la sécurité. Jusque-là, les mises à jour des postes étaient effectuées de façon basique par le module Windows Update de Microsoft. Nous avons alors cherché une solution permettant de faire l'inventaire, la télédistribution et la prise de main à distance ”, explique Julien Soleil, responsable assistance utilisation et sécurité informatique.

Pour le Crédit Immobilier de France, la prise de conscience au sujet de la sécurité s'est faite dès 2003, avec la création d'un poste de RSSI : “ Nous sommes passés d'une informatique régionale à une informatique sous-traitée par un GIE. Dans ce contexte, il était indispensable d'accéder à une photographie du réseau pour définir la politique de sécurité et pour s'accorder sur les contrats de service. De plus, le poste de travail est aujourd'hui rattaché à de nouveaux médias externes tels les lecteurs MP3 ou les clés USB, qui introduisent souvent des trous de sécurité importants ”, affirme Éric Doyen, responsable de la sécurité.

De son côté, la SPB, courtier en assurances, a tout simplement suivi l'évolution de l'offre proposée par Enterasys : “ Nous travaillons avec cet équipementier depuis 1996. La mise sur le marché de l'offre Secure Networks, qui permet notamment d'isoler un poste non conforme à la politique de sécurité, était en adéquation avec nos besoins du moment. En 2001, nous avons été victimes d'un arrêt brutal d'une semaine à cause du vers Klez. Cet événement a convaincu notre direction d'investir dans une solution ”, explique Bruno Hinfray, responsable des infrastructures. Relais H, spécialisé dans la distribution de presse a aussi fait le choix d'une solution proposée par un éditeur déjà présent dans l'entreprise : “ Lorsque nous avons décidé d'équiper nos points de vente en informatique, nous sommes passés de 300 postes à 1200. Comme nous possédions déjà des logiciels de LANDesk, nous nous sommes logiquement tournés vers eux ”, expose Thierry Barré, responsable micro.

La mise en œuvre : le rôle des intégrateurs

À l'instar de la chambre d'agriculture de l'Indre, la plupart des entreprises interrogées ont fait appel à un intégrateur et ont réalisé une maquette avant la mise en production. “ Une fois la décision prise de monter le projet en mars 2006, nous avons eu recours à l'infograteur Infocentre à Bourges. Nous avons remplacé les coupe-feu, car nos anciens boîtiers n'étaient pas administrables et nous souhaitions avoir une vue des flux du réseau. Nous possédions déjà du matériel Citrix en interne et le lancement de l'équipement Citrix Access Gateway avec le module Advanced Access Gateway arrivait à point nommé. Nous nous sommes concentrés sur la vérification d'intégrité du poste distant. Nous vérifions l'adresse MAC de la machine, son adresse IP et la présence de l'antivirus avec les dernières signatures. Si le poste répond à l'ensemble des critères, nous lui donnons accès. Sinon, soit nous lui interdisons la connexion, soit nous lui donnons un accès restreint aux ressources. Une maquette légère a été réalisée en juin et nous sommes passés à une mise en production en août, période pendant laquelle 60 % du personnel est en vacances ”, explique Patrice Moret.

Pour le groupe Ircem, les tests du logiciel Criston Precision, appelé désormais Criston Desktop Management, n'ont pas posé de problème et la maquette a été réalisée en deux mois fin 2005. En mars 2006, 80 % des applications ont été déployées avec cet outil. En avril 2006 Criston propose Vulnerability Management qui permet de faire une analyse des vulnérabilités et de vérifier l'intégrité du poste. Compte tenu des logiciels Criston déjà installés, l'Ircem l'adopte. En revanche, l'entreprise constate que le besoin en ressources humaines est assez important : “ Pour mettre en place et assurer la maintenance des logiciels de Criston, il faut quasiment une personne à temps plein ”, précise Julien Soleil.

Ce besoin en personnel technique a aussi été constaté par le Crédit Immobilier de France : “ Nous avons découvert Spectator de Promisec fin 2004. Cette solution était en adéquation avec notre besoin de cartographier le parc et de connaître ce qui tourne sur les machines. Nous avons commencé par une première maquette sur 200 postes durant l'été 2005. Nous sommes encore en phase de déploiement car nous manquons de ressources sur ce projet ”, détaille Éric Doyen.

L'intervention humaine reste également assez importante à la SPB qui a fait le choix d'assurer un suivi précis des alertes plutôt que d'automatiser l'ensemble des processus : “ Lorsqu'un poste analysé ne correspond pas à la politique de sécurité de l'entreprise, nous l'orientons vers le help desk. Côté technique, nous avons opté pour la solution Sentinel d'Enterasys Networks qui s'appuie sur l'architecture Secure Networks. Une maquette a été réalisée début 2006. Sentinel travaille en collaboration avec les commutateurs. Par défaut, les ports du commutateur sont verrouillés. Sentinel vérifie l'intégrité du poste et valide l'OS, l'antivirus et ses mises à jour. Il transmet ensuite le résultat au commutateur qui ouvre le port ou non ”, décrit Bruno Hinfray.

Les gains : une gestion sereine du réseau

Grâce à l'utilisation de ces solutions d'analyse du poste de travail, tous les acteurs interrogés sont plus sereins. “ Nous voyons vraiment ce qui se passe. Cette solution couplée au RPV SSL nous rend plus confiants dans notre réseau. Pour les utilisateurs, rien n'a réellement changé ”, précise Patrice Moret. “ On sait désormais ce qui peut être installé à notre insu sur les postes ”, affirme Thierry Barré. Pour Bruno Hinfray, même si le ROI est difficile à chiffrer, l'entreprise peut désormais sécuriser le réseau suite à un événement. “ Les clients et la direction sont séduits. Nous sommes aussi plus tranquilles sur le plan technique ”, explique-t-il.

Pour Julien Soleil, le gain de temps est également important : “ L'assistance intervient moins du fait de la mise à jour des postes. Nos équipes ont été très vite conquises, elles se servent de l'outil au quotidien. Une interface renseigne sur les vulnérabilités du réseau avec les failles connues et les erreurs de configuration. Les remontées d'informations se font de façon visuelle sous forme de tableaux. Il est possible de faire une requête sur une machine. En un mois, en appliquant 4 000 correctifs, nous avons fait baisser les vulnérabilités de 10 %. L'objectif est d'avoir résolu les vulnérabilités principales de notre réseau d'ici à la fin de l'année. ”

Les écueils : assurer le suivi des outils

Comme souvent pour ce genre de projet, le plus difficile semble être d'adapter la solution à l'entreprise : “ Mis à part quelques soucis mineurs au niveau du numéro de série, nous n'avons pas eu de grosses difficultés. Ce qui a pris le plus de temps a été de définir la façon dont allait être utilisé le logiciel ”, affirme Patrice Moret. Sur la même problématique, Bruno Hinfray ajoute : “ Il nous a fallu assimiler le mode de fonctionnement de la solution. Le logiciel Dragon demande beaucoup de travail pour évaluer les faux positifs et définir un comportement en cas d'alerte. Il requiert également des techniciens compétents. En fait, dès qu'on veut aller plus loin dans la sécurité que le simple filtrage par coupe-feu, réalisé pour nous par des coupe-feu Check Point, cela demande un gros investissement. ”

La justification du projet n'a pas toujours été des plus simples : “ Nous avons eu quelques difficultés pour vendre le projet en interne ”, précise Éric Doyen. Côté technique, les difficultés liées aux solutions elles-mêmes restent mineures. “ Nous avons constaté quelques bugs dans le logiciel de Criston, notamment concernant le déploiement des correctifs. L'outil ne précisait pas, par exemple, si les correctifs étaient installés alors qu'il l'avait effectivement fait ”, détaille Julien Soleil. Pour Thierry Barré, les postes sont un peu plus longs au démarrage et il y a eu quelques remarques des utilisateurs. Le prix à payer pour une meilleure sécurité en quelque sorte.

agrandir la photo

Si vous êtes pressé

Les administrateurs sont souvent anxieux face à la méconnaissance qu'ils peuvent avoir de leur réseau. Les outils d'analyse les aident à y voir plus clair en dressant un inventaire des postes. Ils permettent aussi de bloquer les PC lorsqu'ils ne respectent pas la politique de sécurité en place et de réduire les vulnérabilités. En contrepartie, la gestion efficace des solutions et des alertes nécessite de bonnes compétences techniques. D'ailleurs, le plus souvent, le recours à un intégrateur spécialisé s'impose pour le maquettage et le déploiement du projet.

agrandir la photo

Les outils d'analyse des postes proposent souvent de cartographier le réseau. L'administrateur dispose ainsi d'une photographie de son architecture à l'instant T qui lui permet d'identifier les failles.

L'application des correctifs permet de diminuer les vulnérabilités. La gestion du réseau s'opère alors de façon plus sereine.

Du fait de la mise à jour des postes, l'équipe technique assure moins d'assistance et peut consacrer du temps à d'autres tâches.

Quels que soient les outils employés, ils se doivent d'être adaptés à l'environnement de l'entreprise. Cette opération peut être coûteuse en temps et nécessite un suivi lors de l'analyse du réseau. Le passage par un intégrateur est souvent nécessaire.

La vérification d'intégrité des postes engendre dans certains cas une chute des performances. Mais certains administrateurs préféreront réduire les performances si leur sécurité s'en trouve améliorée.

Votre dernière mise en œuvre est riche d'expérience et vous voulez la partager avec nos lecteurs ? Faites-le nous savoir en envoyant un mail à l.sounack@decisioninfo.net

Retour d'expérience : Thierry Barré : “ Nous avons verrouillé les connexions à l'aide de liens RPV ”

Thierry Barré est responsable micro au sein de la société Relais H.

Relais H est spécialisé dans la diffusion de la presse dans les aéroports, les gares et les stations de métro. En 2003, la société décide d'équiper ses points de vente en informatique. Elle réalise un réseau de 1200 postes clients dont 100 nomades et d'une vingtaine de serveurs. “ Il était indispensable de disposer d'une solution de gestion de parc. Nous possédions déjà le logiciel de LANDesk pour notre ancien réseau et l'avons logiquement conservé pour la nouvelle architecture. Il nous permet de faire l'inventaire des matériels et logiciels et de télédistribuer les applications ”, précise Thierry Barré, responsable micro chez Relais H.

En 2004, lorsque LANDesk propose sa solution Security Suite, la société de distribution de presse choisit de la mettre en œuvre. “ Jusque-là, il nous manquait un outil pour connaître le degré de vulnérabilité des postes et pour appliquer des correctifs. Security Suite nous permet de détecter les spywares, les chevaux de Troie, etc., et nous autorise à déployer les patchs ”, explique Thierry Barré. La spécificité de cette réalisation tient dans le fait que Relais H a pris le parti de mettre en place des liens RPV vers l'entreprise et de verrouiller les postes clients pour qu'ils ne puissent pas se connecter ailleurs. “ Nous ne vérifions pas l'intégrité du poste avant de l'admettre sur le réseau et préférons une analyse à la demande programmée ”, affirme le responsable micro.

Relais H

Retour d'expérience : Patrice Moret : “ Plutôt remplacer les postes les plus anciens que d'accumuler les correctifs ”

Patrice Moret est chargé de mission informatique auprès de la chambre d(agriculture de l'Indre.

La chambre d'agriculture de l'Indre fait intervenir des techniciens munis de portables dans l'ensemble du département. Le réseau, réparti sur un site principal et deux sites secondaires, est composé de 70 postes et de 40 portables. En 2005, l'organisme décide de revoir la sécurité de tout son réseau. “ Nous avons rapidement opté pour la solution Citrix Access Gateway car nous utilisions déjà des solutions de cet éditeur. Lorsqu'un poste nomade cherche à se connecter, nous vérifions son adresse MAC, son adresse IP et l'antivirus. En fonction du résultat, nous donnons accès à l'ensemble du réseau ou à une partie seulement ”, précise Patrice Moret, chargé de mission informatique.

Pour l'heure, la vérification des correctifs n'est pas réalisée : “ La mise en place d'une sécurité trop importante engendre une certaine lenteur. Plutôt que de chercher à accumuler les correctifs, nous avons préféré programmer un remplacement des postes les plus anciens ”, ajoute le chargé de mission. D'après lui, le projet aura été transparent pour les utilisateurs, l'équipe technique profitant de la pause estivale pour procéder aux modifications. “ Le plus difficile a été de définir la façon dont nous souhaitions utiliser le produit. Pour aller plus loin, nous avons encore besoin de travailler sur le logiciel afin d'exploiter l'ensemble de ses possibilités. ”

Chambre d'agriculture de l'Indre

Avis d'intégrateur : Stéphane Besenval : “ La problématique d'intégrité est souvent abordée au moment de déployer des RPV SSL ”

Stéphane Besenval travaille pour Nextiraone, un intégrateur de solutions et de services de communication.

Décision informatique : Quelle est la part prise par les projets d'intégrité chez vous ?
Stéphane Besenval : Aujourd'hui, la plupart des projets autour de la mobilité sont concernés. La problématique d'intégrité est abordée au moment de déployer des RPV SSL. Les PME ont les mêmes difficultés que les grands comptes pour les postes nomades. En revanche, elles abordent peu la vérification du poste client sur le LAN.

Que proposez-vous à vos clients ?
Nous commercialisons les offres de Cisco, de Check Point et de SkyRecon Systems. Les deux premières vérifient le poste quand il se connecte et l'autorisent à entrer sur le réseau si le résultat est en accord avec la politique de sécurité. La dernière apprend le fonctionnement d'une application et détecte ensuite tout comportement anormal. Si les projets sont rarement lourds, ils demandent tout de même un travail de maquettage pour prendre connaissance des possibilités du produit et l'adapter ensuite à son architecture. Au final, un projet dure en général de un à deux mois. Il coûte environ 40 euros/poste pour un parc de 50 nomades sans compter les coûts indirects, notamment pour l'administration.

NextiraOne
publicité
à lire aussi
SUR LES MÊMES THÈMES
Windows : un écran noir sur certains PC après le Patch Tuesday
Ruée des SSII françaises sur le contrat informatique du siècle en Inde
La sécurité des bases de données n’a pas de prix pour IBM
L'agence européenne de la sécurité relève 35 risques liés au cloud
Opération blindage pour l'adressage du Web
Wipro joue la sécurité tous azimuts...
Pour McAfee, la guerre numérique est une réalité
SSL, un protocole de plus en plus vulnérable
De gentils pirates détournent 300 groupes sur Facebook
Sécurisez vos applications Web dès leur conception
Comparatif antivirus 2010 : l'impact sur les performances de votre PC
Cisco rachète ScanSafe, un spécialiste de la sécurité Web
Windows 7 vous protège-t-il mieux que Windows XP ?
Les fichiers qui remplacent Edvige satisfont la Cnil (MAJ)
Anticiper les évolutions lentes pour mieux appréhender les menaces
Des fourmis pour protéger le réseau
250 faux antivirus circulent sur le Net
Kaspersky Lab : un antivirus Mac pour mieux protéger les PC ?
Mon compte e-mail est-il vendu sur le Web ?
Olféo devient un acteur du proxy
01Informatique
01 INFORMATIQUE
L'hebdo de référence des décideurs informatiques.
Micro Hebdo
MICRO HEBDO
L'hebdo qui vous simplifie la micro
et Internet.
L'Ordinateur Individuel
L'ORDINATEUR INDIVIDUEL
Le mensuel informatique qui vous informe et vous conseille.
Tous droits réservés © 1999 - 2009 Internext - 01net.