01net. | Actualités | Comparatifs et tests | Jeux | Astuces | Vidéo | Telecharger.com | Services | Forums
01net Pro Entreprise informatique
01net. web avec Google
Actualités gestion et logiciel informatique professionnel
Offre et recherche Emploi informatique internet
Salon conférences inofrmatique IT ebusiness 01
Informatique et TIC pour les PME TPE
Vidéos reportage entreprise acteur informatique
Retrouvez tous les services 01Net dédiés aux professionnels !
Télécharger logiciels Pro et progiciels
Livres blancs e-commerce informatique et nouvelles technologies
Retrouvez l'ensemble des dossiers de la rédaction 01net Entreprise
Les synthèses des bonnes pratiques sur les sujets IT du moment
01net Entreprises

De multiples façons de sécuriser ses liaisons intersites

Les VPN sont plébiscités pour relier un site central à ses filiales et agences. Les entreprises peuvent s'équiper elles-mêmes ou s'en remettre aux opérateurs. Certains DSI estiment que cette défense du réseau est illusoire.
01net.
le 04/09/08 à 00h00
envoyer
par mail
imprimer
l'article
Le concept n'est pas nouveau : le réseau privé Private Network) existe depuis des dizaines d'années. Mais c'est récemment, avec virtuel (ou VPN : Virtual l'essor d'internet, que son usage s'est développé. Et il peut prendre de multiples formes, comme en témoignent deux entreprises et une collectivité locale interrogées. Mais il n'a pas que des adeptes et certains responsables informatiques le trouvent dépassé, à l'exemple du DOSI de la quatrième entreprise étudiée.

Les besoins : simplifier les accès distants

Le besoin classique qui conduit au déploiement d'un VPN est illustré par le conseil général de la Marne (CG 51). Au départ, deux personnes bénéficiaient d'un accès distant au système d'information via la solution Business Everywhere, lancée par France Télécom au début des années 2000. ' Nécessitant un logiciel spécifique, elle était lourde et complexe ', estime Franck Lefevre, responsable informatique du CG 51. Quelques années plus tard, le développement d'internet donne des idées aux 44 élus du département ; ils souhaitent accéder à certaines applications (budget, revue de presse, par exemple) depuis leur domicile. Ils votent des crédits pour s'équiper de PC portables et d'imprimantes. Quelques travailleurs sociaux leur font chorus, estimant bien commode de pouvoir accéder de chez eux à leurs applications. ' Pas question de doter les uns et les autres de Business Everywhere. Il fallait quelque chose de plus simple à utiliser et déployer ', dit Franck Lefevre. Un VPN s'imposait.
Mais un VPN n'est pas la panacée : lui aussi peut tomber en panne. D'où l'idée de le doubler d'un VPN de secours. C'est la solution retenue par la société Acces Industrie, spécialiste de la location d'engins d'élévation. En 2005, elle retient la solution VPN IP sur c?"ur MPLS d'Orange. ' Le réseau est de bonne qualité, mais non exempt de coupures, signale Fabien Baudot, le DSI. Or 90 % de nos applications métier sont ' webisées ' et centralisées ; la permanence du réseau est indispensable pour que nos 38 sites, en France, en Espagne, au Portugal et bientôt au Maroc puissent travailler normalement. Nous avons donc décidé de le doubler d'un VPN de secours. '
Même raisonnement au sein du groupe agroalimentaire LDC, spécialiste des produits frais et qui compte 40 filiales. ' Le réseau est le système nerveux de notre activité, plaide Stéphane Plumas, le DSI. Le frais ne souffre aucun retard dans les commandes. Une interruption de quatre heures, et c'est une journée de chiffre d'affaires qui s'envole. ' A problème similaire, réponse identique : LDC a doublé son VPN sur c?"ur MPLS d'Orange par un second VPN, tout en gardant en réserve des connexions RNIS exploitables en dernier recours...
Si le VPN fait de plus en plus d'émules, il suscite la méfiance de certains. Au début des années 2000, Ceva Santé Animale, avait déployé un VPN IPsec classique pour relier les filiales au siège, installé à Libourne (Gironde). François Tricot, le nouveau DOSI veut le supprimer. ' Le VPN consiste à protéger le réseau. Peine perdue. Ce qu'il faut défendre à tout prix, ce n'est pas la périphérie, c'est le sanctuaire : les serveurs qui abritent les applications. '

Le choix : des VPN complémentaires

Si le DSI du CG 51 ne voulait pas de la solution Business Everywhere, jugée trop complexe, il n'était pas emballé par le VPN IPsec. ' Installer des clients sur tous les PC, former les utilisateurs... pas idéal '. C'est alors qu'arrive sur le marché la technologie VPN SSL. ' C'est exactement ce qui nous convenait. Pas de logiciel côté terminal. Côté SI, une simple passerelle. ' Le choix est vite fait : Cisco est trop cher, Netasq propose une passerelle embarquée dans un firewall, dont le CG 51 n'avait pas besoin. Restaient Juniper et Aventail (aujourd'hui Sonicwall). ' La solution de ce dernier l'a emportée comme étant la plus performante. ' Résultat, environ 150 personnes utilisent le VPN pour accéder à leurs applications webisées.
Acces Industrie comme le groupe LDC, tous deux clients du VPN d'Orange, recherchaient un VPN de secours. Acces Industrie opte pour l'offre de MyStream avec des accès DSL de catégorie grand public, donc moins cher. ' Les deux se complètent, estime Fabien Baudot. Orange a le poids et l'expérience pour le réseau de base. MyStream est parfait comme réseau de secours. D'autant que ce dernier propose un package de supervision-maintenance qui est appréciable et réactif. '

L'utilisation : la continuité de service à tout prix

LDC voulait plus qu'un VPN de secours, mais carrément un second réseau. ' J'ai remarqué que les coupures réseaux ne venaient pas uniquement des liens, mais aussi des pannes logicielles chez l'opérateur, signale Stéphane Plumas. Il ne servait donc à rien d'avoir un lien de secours chez le même exploitant. D'où le recours à second prestataire. ' LDC retient Alphalink. ' L'offre de ce dernier se distingue par des boîtiers qui équilibrent le trafic entre les deux réseaux et gèrent également la QoS, précise Michel Emeraud, responsable système et réseau. Si un lien tombe, il route le trafic sur l'autre lien. Si les deux liens tombent, les applications sont routées vers Numéris et, dans ce cas, seules les critiques sont autorisées. '
François Tricot porte un avis différent sur les offres des opérateurs. ' Elles reviennent dix à cent fois plus chères que les connexions Internet grand public, sans apporter de réelles améliorations de performances et de qualité. Trois ou quatre liens ordinaires m'apportent le même service qu'un lien dit professionnel, et pour beaucoup moins cher. '
Lorsque le SI de Ceva Santé Animale aura achevé sa mutation, internet deviendra le réseau reliant les filiales au système d'information de l'entreprise. Les applications seront stockées sur des serveurs web coffre-fort auxquels les utilisateurs accéderont via HTTPS, après avoir franchi les procédures d'identification (gestion d'identités). ' Pas besoin de blinder le réseau d'accès, résume François Tricot. C'est le serveur qui assure sa propre défense. ' Dans cette configuration, les applications seront visibles d'internet. ' Et après ? rétorque François Tricot. N'y auront accès que les ayants droit. '
Ce dépouillement extrême fait figure d'exception. La plupart des utilisateurs s'en remettent aux VPN pour garantir la sécurité des accès au SI et, comme pour les équipements matériels, ils font jouer la redondance. Ainsi, chez Acces Industrie, le VPN d'Orange constitue le réseau principal et celui de My Stream de secours avec basculement automatique. LDC va plus loin et multiplie les réseaux pour garantir la continuité de service, vitale pour son activité. Ainsi, le VPN Orange et celui d'Alphalink sont considérés comme les réseaux de base, se secourant l'un l'autre ; le RNIS demeure l'ultime recours.
A l'opposé, le VPN du conseil général de la Marne ne dispose d'aucun secours. ' Nous n'en avons pas réellement besoin, estime Franck Lefevre. D'ailleurs, la passerelle Aventail n'est jamais tombée en panne. Elle n'a été arrêtée que pour des opérations de mise à niveau et de maintenance. '

Les écueils : un chemin physique de secours différent

L'entreprise qui décide de se doter d'un VPN a le choix entre le monter elle-même ou souscrire à un service proposé par un opérateur. Lorsque le VPN ne concerne que quelques sites ou une poignée de nomades, elle peut se lancer seule dans l'aventure. Cependant, l'écueil serait de toujours vouloir tout faire soi-même. Si les raccordements sont nombreux, et particulièrement à l'étranger, il est préférable de passer par un prestataire.
Autre point sensible : les liens de raccordement. Il existe deux écoles. D'un côté, ceux qui passent par des liens ' professionnels ', le plus souvent des connexions symétriques SDSL, avec garantie d'un temps de rétablissement ; de l'autre, ceux qui considèrent que le surcoût d'une telle liaison ne se justifie pas par rapport à un lien grand public, quitte à en prendre deux pour plus de sûreté.
Les avis sont partagés, mais un lien DSL, grand public ou professionnel, n'a pas la qualité d'une liaison louée... ni le même prix. Prendre deux liens (un principal et un secondaire) n'est pas la parade absolue. En effet, lorsque les deux se trouvent dans le même toron de câble et que celui-ci est coupé, les deux liens sont également interrompus. Pour pouvoir bénéficier d'une protection maximum, il faut qu'ils empruntent des chemins physiques différents.
LDC pousse la logique assez loin : ' Nous allons tester avec Alphalink des liaisons Wimax pour le réseau d'appoint, précise Stéphane Plumas. Ainsi, les chemins physiques sont totalement distincts. '

Les 4 entreprises étudiées

Activité : location d'engins d'élévation.
Siège : Tonneins (47).
CA 2007 : 57 M d'euros.
Effectifs : 420 personnes.

Problème à résoudre : garantir la continuité du réseau entre le siège et les agences.

Solution déployée : le VPN principal d'Orange (75 000 euros par an pour 36 sites) est doublé par un VPN de secours de My Stream (27 000 euros par an pour la supervision et le SAV).

Activité : laboratoire pharmaceutique vétérinaire.
Siège : Libourne (33).
CA 2007 : 340 M d'euros.
Effectifs : 2 100 personnes, dont 67 % hors de France.

Problème à résoudre : protéger les applications sans s'en remettre à la seule défense périmétrique.

Solution déployée : faire l'impasse sur la protection du réseau et utiliser l'internet classique, mais protéger les serveurs par une gestion forte des identités et le recours au protocole HTTPS.

Activité : collectivité territoriale.
Siège : Châlons-en-Champagne (51).
Budget 2007 : 691 M d'euros.
Effectifs : 1 200 personnes.

Problème à résoudre : permettre aux 44 élus et aux travailleurs sociaux d'accéder au SI de chez eux.

Solution déployée : passerelle Aventail EX-1500 avec licence pour 200 utilisateurs simultanés a (coût d'une passerelle EX-1600 qui succédé à la 1500 : 6 000 euros HT).

Activité : agroalimentaire (volaille).
Siège : Sablé-sur-Sarthe (72).
CA 2007 : 1,8 M d'euros.
Effectifs : 12 000 personnes.

Problème à résoudre : supprimer toute interruption de service du réseau.

Solution déployée : un réseau de base chez Orange et un réseau d'appoint fourni par Alphalink, avec recherche systématique de chemins de raccordement distincts.

Les tunnels VPN sécurisent les réseaux étendus

Moins chers que des liaisons louées, les liens DSL sont aussi moins fiables. C'est pourquoi il est souvent plus sage de doubler les raccordements. On peut demander à l'opérateur un second lien empruntant un chemin physique différent du premier. L'idéal est de choisir un second opérateur ayant son propre réseau et de créer un second VPN. Facile dans les villes, plus aléatoire dans les zones rurales.

L'arrivée des technologies XDSL a donné un coup de fouet au VPN, car elles proposent des débits de plusieurs Mbit/s à des prix jusqu'à dix fois inférieurs à ceux des liaisons louées. Le SDSL (DSL symétrique) est d'ailleurs largement retenu par les entreprises. La couverture est très large, couvrant toutes les villes et des zones industrielles.

Que ce soient en IPsec ou en SSL, l'infrastructure VPN est très sécurisée. Elle constitue comme un ' tunnel ' dans les réseaux publics. D'où l'utilisation de plus en plus fréquente d'internet comme réseau de transport, avec les aléas de qualité de service que cela suppose. L'entreprise peut demander à son fournisseur d'accès de ' monter ' les VPN ou se doter elle-même de passerelles VPN pour organiser son propre réseau.

L'illusion est grande de penser que, grâce à un VPN, la sécurité est absolue. Dans cette architecture, les points faibles sont généralement les sites distants, moins bien défendus que le site principal. Les attaques peuvent les viser et, une fois dans la place, remonter jusqu'au site principal. Le VPN SSL offre toutefois une meilleure garantie que le VPN IPsec, car il y a terminaison de la session dans la passerelle SSL. Et il faut à nouveau montrer patte blanche pour aller plus loin.

Fabien Baudot (Acces Industrie) : ' superviser les deux VPN de manière centralisée '

' Notre double VPN IPsec constitue le cordon ombilical qui relie les sites du groupe Acces Industrie au siège, où sont hébergés les outils métiers pour la plupart ' webisés '. C'est pourquoi la surveillance des réseaux est capitale. En complément des systèmes de supervision des prestataires Orange et My Stream, les deux VPN sont supervisés de manière centralisée par la DSI à travers l'outil Centreon, ce qui nous garantit une grande réactivité en termes de détection, de diagnostic et d'évaluation autonome de la qualité de service. Il permet de surveiller le basculement automatique vers le VPN de secours en cas de défaillance du VPN principal et le retour à la situation normale après le rétablissement du lien. Ce réseau de secours nous permettra de faire transiter ponctuellement des flux vidéo sans surcharger le réseau principal. '

François Tricot (Ceva santé animale) : ' pas besoin de routes fortifiées '

' Un VPN me fait penser à un château fort, assimilable au site central d'une entreprise, entouré de villages fortifiés, les filiales et les agences. Les chemins qui les relient sont très bien gardés. Admettons que le château fort soit imprenable et que les villages alentour soient moins sûrs. Si quelqu'un parvient à se glisser dans l'un d'entre eux, il peut aller où il veut et accéder aux applications sans défense. Mon plan est de supprimer ces chemins fortifiés et d'emprunter les chemins publics pour circuler. Par contre, les serveurs abritant les applications seront entourés de barrières infranchissables. En termes informatiques, cela signifie : Internet comme réseau de transport, une forte gestion des identités et des communications entre les filiales en HTTPS, c'est-à-dire en HTPP avec SSL pour crypter les données. '

Franck Lefevre (Conseil général de la Marne) : ' pas d'ouverture généralisée vers l'extérieur '

' Nous pourrions ouvrir notre VPN aux prestataires extérieurs ou aux autres collectivités locales de la Marne, car la licence d'exploitation de la passerelle Aventail porte sur 200 accès simultanés et nous n'avons environ que 150 utilisateurs réguliers. Nous ne l'avons pas fait pour ne pas perdre le contrôle. C'est très lourd de gérer en permanence les droits d'accès des uns et des autres, surtout avec les nombreux changements parmi les utilisateurs extérieurs. Nous avons fait deux exceptions pour les enteprises qui travaillent avec nous. La première concerne les contrats de maintenance. Les enteprises peuvent intervenir pour les opérations d'exploitation classique. La seconde porte sur les projets. Nous offrons des accès limités, par exemple à des serveurs SharePoint, pour un temps limité. '

Stéphane Plumas et Michel Emeraud (Groupe LDC) : ' diversifier les chemins de raccordement '

' Nous avons opté pour deux opérateurs différents, l'un pour le réseau principal, l'autre pour le réseau d'appoint, ce qui, en prime, est plus économique. En effet, deux liens à 1 Mbit/s chez deux opérateurs reviennent 20 % moins cher qu'un seul à 2 Mbit/s chez un seul. Nous cherchons également à diversifier les chemins physiques partout où il existe un autre réseau de distribution que France Télécom. De plus, nous gardons nos abonnements RNIS, au cas où les deux réseaux seraient indisponibles. L'activité serait alors réduite mais ne cesserait pas, ce qui est pour nous vital. Ces précautions se justifient. Le rétablissement en quatre heures, nous n'y croyons pas. Et même si cela se faisait en deux heures, une interruption serait catastrophique. C'est pourquoi nous prenons tant de précautions. '

L'avis de l'intégrateur : Damien Gabard, directeur technique d'Interdata

' Les VPN IPsec en panne de développement '

' Les VPN SSL offrent plus de fonctions que les VPN IPsec. Ces derniers sont un peu ' en panne de développement ', alors que les premiers ont le vent en poupe. Ces solutions offrent, à la connexion de l'utilisateur, un portail d'accueil où celui-ci trouve la liste des applications et des fichiers auxquels il a accès, soit en lecture seule, soit en lecture-écriture. On peut gérer très finement les droits, chose plus difficile à réaliser en IPsec, qui n'est qu'un tuyau sécurisé. '

' Un outil dans les plans de reprise et de continuité d'activité '

' De plus en plus, sous les pressions réglementaire et concurrentielle, les entreprises élaborent des plans de reprise et de continuité d'activité. Les VPN SSL permettent aux employés de poursuivre tant bien que mal leur travail de nimporte où. La passerelle doit être programmée pour gérer ces accès en cas de crise. Cela peut éviter de louer des salles de repli pour les accueillir ou de limiter le nombre de places. '

publicité
Nos partenaires
 
Nous contacter | Charte de confiance | Notice légale | Conditions d'abonnement | 01net. recrute
01net. - 01men - RMC - RMC Sport - BFM BUSINESS - BFMTV - Association RMC-BFM