Le CNAM se protège en IPS/IDS
Denis Corée a rejoint la direction des systèmes d'information du CNAM pour entreprendre la modernisation des équipements informatiques et assurer la cohérence et la mise en sécurité du système d'information de l'établissement.
PublicitéA son arrivée, Denis Corée, DSI du Conservatoire des Arts & Métiers (CNAM) a procédé à la remise à plat de la stratégie de sécurité du réseau de l'institution. « J'ai initialement hérité d'un réseau à plat en VLAN pour la localisation géographique, mais pas par type d'utilisateur. Par conséquent j'ai dû opter pour un réseau différent, avec un coeur de réseau entièrement redondé afin de limiter les risques d'impacts des attaques. » Le CNAM s'est ainsi dotée de réseaux virtuels, à l'exemple d'un VLAN spécifique pour le Wi-Fi. Il s'est également renforcée sur le filtrage, l'IDS/IPS avec la solution DefensePro de Radware, et les firewall, ainsi que sur les droits d'accès aux serveurs et aux postes de travail. « Nous avons fait une analyse de l'existant. Puis nous sommes allés vers une solution idéale, c'est à dire qui soit la plus satisfaisante, mais par étapes. Concernant l'IPS/IDS, nous avons confié l'analyse à des acteurs compétents, afin en particulier de disposer les meilleurs éléments possibles aux meilleurs endroits. C'est pourquoi il faut faire appel à des prestataires qui sont à l'écoute de vos besoins. » La recherche d'innovation « Notre démarche est de nous protéger de tout ce qu'on ne connaît pas. Nous aurions pu adopter la solution de tout bloquer, mais... Nous préférons savoir ce qui se passe sur le réseau, l'observer, sans faire une veille lourde, tout en disposant d'accès à notre base de connaissances et en bloquant le trafic illégal. » Comme la majorité des DSI, Denis Corée confirme que ses réseaux subissent de nombreuses attaques dont les sources sont multiples. Mais il souhaite également éviter de se plonger dans les RFC de l'internaute pour vérifier la conformité des informations qu'il reçoit. D'autant qu'à cette étape déjà avancé de l'expérience de l'utilisateur, la déclaration 'illégale' d'un contenu peut prêter à confusion. « En faisant le choix de l'IDS/IPS [systèmes de détection et de prévention d'intrusions] en plus du routeur filtrant et du firewall, on n'a plus l'appréhension de bloquer un trafic légal, ce qui pourrait empêcher les utilisateurs de travailler. L'adoption d'une solution comme DefensePro de Radware présente l'avantage de disposer d'une phase d'apprentissage qui passe par l'avertissement et la validation, ce qui permet d'identifier le trafic légal mais qui n'est pas conforme à la norme. » La solution permet également de rester à l'écoute des principales attaques, avec une investigation permanente qui se place au niveau des principaux protocoles, et de les bloquer, ce qui est le moindre que l'on attend d'elle. Au fur et à mesure des phases de surveillance, IPS/IDS est exploité pour détecter le trafic suspect qui viole le réseau, ce qui le soulage d'autant. Quels avantages le CNAM tire-t-il de cette solution ? « Un moindre engorgement des réseaux, surtout au niveau des utilisateurs. Les attaques sont bloquées avant les serveurs, ce qui réduit d'autant le risque d'engorgement du réseau. Nous aurions pu les bloquer, mais seulement au niveau de l'application, ce qui se serait traduit par une moindre disponibilité. » Certes, l'usage d'une telle solution ne dispense pas du déploiement de solutions plus classiques, comme les dispositifs antivirus et de protection des systèmes, qui cependant doivent être régulièrement mis à jour. En revanche, elle améliore la passerelle avec les serveurs, ce qui participe à améliorer la disponibilité globale du réseau et sa sécurité. « Avant, son indisponibilité était de l'ordre de dix jours par trimestre ! »
Article rédigé par
Yves Grandmontagne
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire