Emploi Start-up Evénements 01 Avis d'expert Vidéos Indicateurs Distribution Telecharger Pro Livres blancs
01net Pro / Actualités / Matériel

Les UTM, vigie sécuritaire du réseau d’entreprise

Les matériels centralisant plusieurs fonctions de sécurité rencontrent un véritable succès dans les entreprises. La diversité des produits suggère une attention particulière à l’heure du choix.
01 Réseaux
le 07/06/2007 à 07h00
envoyer
par mail
imprimer
l'article
partager sur Viadeo
partager sur Facebook
partager sur LinkedIn
partager sur Scoopeo
partager sur Technorati
partager sur Digg
partager sur Delicious
partager sur Google
partager sur Myspace
partager sur Yahoo!

Selon les cabinets d’études, plus de la moitié des petites entreprises utiliseraient des boîtiers UTM pour assurer la sécurité de leur réseau informatique. Ce marché porteur suscite donc logiquement de nombreuses propositions provenant de spécialistes de la sécurité ou d’équipementiers réseaux. Créée par IDC, l’appellation UTM signifie Unified Thread Management, c’est-à-dire gestion unifiée des menaces. Elle désigne un équipement physique spécifique, qui opère un contrôle des flux de données entrants et sortants et fait fonction à la fois de pare-feu, de VPN, d’antivirus, d’antispam et de filtrage de contenu (URL notamment). L’UTM offre aussi des capacités de gestion de bande passante et de qualité de service.

Pour l’administrateur de réseau, le principal atout de ces produits est la gestion centralisée des fonctions, qui en simplifie l’exploitation et procure une certaine maîtrise des coûts d’acquisition et de maintenance. Nombre d’UTM associent des composants de provenances diverses, en particulier pour ce qui concerne l’antivirus, souvent fourni par un éditeur de référence. On pourra donc sélectionner un produit en s’appuyant sur la réputation des éléments constitutifs tels qu’ils sont fournis par les partenaires du concepteur du boîtier.

Des critères qui varient d’un spécialiste à l’autre

Les critères d’évaluation sont la fiabilité, mais également la périodicité des mises à jour, dont le constructeur-intégrateur n’est pas maître par définition et qui fait souvent l’objet d’un abonnement facturé séparément. Le filtrage de contenu peut s’avérer être un simple contrôle d’URL, tandis que d’autres sont plus complets, tels ceux que propose un spécialiste du domaine, SurfControl, partenaire de Check Point Software. La remarque est identique pour le filtrage de courriers indésirables (spams), compétence pour laquelle certains éditeurs font réellement la différence vis-à-vis du RBL (Real-Time blackhole list), notoirement insuffisant.

Cette distinction entre fonctions a un sens car des entreprises préfèrent se concentrer sur les quatre briques essentielles que sont le pare-feu, le VPN, l’IPS et l’antivirus, et faire appel à des équipements tiers pour d’autres types de filtrage.

Si l’on veut opérer un traitement en profondeur de toutes les données, un matériel bien doté en puissance de calcul s’impose, sinon la latence aura un impact sur l’ensemble du réseau informatique. La durée d’auscultation est particulièrement symptomatique de la performance des systèmes de prévention ou de détection d’intrusion (IPS et IDS), fonctions que les spécialistes estiment être les plus importantes après celles de pare-feu/VPN et d’antivirus. Les IPS et IDS sont souvent complexes et gourmands en ressources, surtout si l’on définit des règles d’analyse en associant diverses méthodes de détection. Il faut aussi savoir que des analyses génériques ou comportementales trop strictes peuvent générer des faux positifs, c’est–à-dire de vrais courriels désignés comme spams, ce qui est aussi contre-productif.

Quoi qu’il en soit, un sous-dimensionnement de puissance entraînera un ralentissement ou un blocage lorsque toutes les règles seront effectivement appliquées. La plupart des firmwares animant les boîtiers UTM sont fondés sur des Linux ou FreeBSD endurcis, l’exception étant Network Engines, qui préfère le système d’exploitation Windows de Microsoft, massivement dégraissé. Il est regrettable que certaines licences Linux utilisées n’adhèrent pas au modèle GPL (Generic Public Licence), ce qui leur interdit de bénéficier du potentiel d’évolution généré par la communauté des développeurs du logiciel libre. La compatibilité avec l’environnement informatique existant est elle aussi fondamentale, notamment pour la prise en compte des applications d’annuaires LDAP ou Active Directory.

Des produits certifiés

Enfin, l’administration est un point qu’il faut analyser avec beaucoup d’attention, de même que les dispositifs de reprises après incident (fail-over) dans le cadre d’architectures actif/passif ou actif/actif. Les tests d’aptitude à la restauration révèlent d’ailleurs souvent quelques surprises. Tous les produits recourent à une interface Web pour activer les fonctions et leur réglage. Cela convient pour les petites structures, mais pas pour les grandes, qui préfèrent une application d’administration traditionnelle, plus lourde.

La plupart des acteurs proposent ce double mode d’administration, et ce point est à étudier avec soin dans les entreprises souhaitant faire appel à un prestataire de services dans le cadre de l’externalisation de leurs solutions de sécurité. La plupart des fabricants d’UTM ont pris la précaution de faire certifier leurs produits selon les critères communs de niveau EAL 2, mais la tendance est d’accéder au niveau 4. Cette certification est une procédure très coûteuse et, si elle rassure le client, elle ne lui garantit nullement qu’aucun pirate ne franchira son UTM. En matière de protection, la gestion des règles reste fondamentale, et le laxisme n’a pas lieu d’être.

Le choix de la rédaction

Fast360 A800 d’Arkoon et UTM-1 450 de Check Point

Le Fast360 A800 d’Arkoon est un UTM complet et performant qui se caractérise notamment par des fonctions de haute disponibilité (reprise après incident), d’agrégation de liens, de gestion de bande passante et de répartition de charge.
L’UTM-1 450 de Check Point Software est un produit simple et complet qui convient aux grands comptes comme aux PME et se distingue par sa facilité de mise en œuvre et d’administration.

Trois points à vérifier

Voix sur IP sous contrôle
Avec l’expansion de la téléphonie sur IP, la scrutation des protocoles standardisés (dont SIP) devient un prérequis, comme la détection d’un usage non autorisé de Skype.

Facilité d’administration
Le constructeur d’UTM est aussi un intégrateur de solutions, dont il doit assurer une bonne interopérabilité, afin de proposer une administration aisée.

Tenue des performances
L’activation des règles de contrôle périmétrique via l’IPS et de l’antivirus ne doit pas pénaliser la performance de l’UTM, qui doit avoir une bonne puissance de calcul.

Mono ou multifonction

L’UTM peut–il veiller efficacement sur toutes les menaces, ou n’est–il qu’un compromis pouvant présenter des failles ? Dans les grandes entreprises, le recours à plusieurs matériels, dont chacun est dédié spécifiquement à une fonction de sécurité, est un scénario qui a de nombreux adeptes.

La formule aurait l’avantage d’éviter la panne généralisée – un risque nul si les matériels sont bien redondés– , mais elle donne surtout la possibilité de choisir les équipements en fonction de la spécialisation des fournisseurs, quitte ensuite à rencontrer des complications pour centraliser l’administration.

C’est l’approche de certains intégrateurs, qui peuvent ainsi élargir leur palette de facturation. C’est aussi l’option d’un constructeur comme Crossbeam Systems, qui revendique une dizaine de partenaires et se positionne dans le haut de gamme des UTM. L’assemblage des “ meilleures solutions ” complémentaires est également un argument commercial pour les prestataires de services externalisés, qui valorisent ainsi leur offre avec les références du marché.

agrandir la photo
publicité
à lire aussi
SUR LES MÊMES THÈMES
Cinq solutions de vidéosurveillance IP
Quatre imprimantes laser monochromes pour groupe de travail
Quatre portables miniatures
Six récepteurs TNT à disque dur de 149 à 400 euros
Sept cartes mères pour processeur Core 2 Duo
Trois logiciels de gestion de correctifs
Cinq logiciels pour créer un site Web évolué
5 graveurs Blu-ray internes avec 25 Go au compteur
Dix appareils photo compacts avec stabilisateur d'image
Cinq moniteurs TFT de 20 pouces
Onze kits d'enceintes 2.1
Huit imprimantes multifonctions à moins de 100 euros
Trois onduleurs empilables de 3 kVA
Dix baladeurs audio-vidéo de 275 à 500 euros
Cinq graveurs Blu-ray pour PC
Onze caméscopes avec DVD ou disque dur
Huit clés USB Wi-Fi
Trois baies SAN FC d'entrée gamme
Huit écrans 4/3 de 19 pouces à moins de 300 euros
01Informatique
01 INFORMATIQUE
L'hebdo de référence des décideurs informatiques.
Micro Hebdo
MICRO HEBDO
L'hebdo qui vous simplifie la micro
et Internet.
L'Ordinateur Individuel
L'ORDINATEUR INDIVIDUEL
Le mensuel informatique qui vous informe et vous conseille.
Tous droits réservés © 1999 - 2009 Internext - 01net.