• Quelle nécessité y a-t-il à sécuriser son réseau ?

• Quelles sont les solutions existantes pour sécuriser un réseau ?

• Quel type de protection choisir en fonction de ses besoins ?

• Il n'y a pas de solution efficace à 100 %, mais des protections bien choisies limitent considérablement les risques.

• Les attaques viennent souvent de l'intérieur : il est donc nécessaire de coupler passerelle Internet et protection sur chaque poste de travail.

• Sensibiliser les utilisateurs aux différentes menaces et pièges est souvent plus efficace qu'un antivirus.

La sécurité des réseaux informatiques est devenue un problème depuis l'avènement d'Internet. Les entreprises doivent protéger leurs données de différentes menaces, comme les intrusions et les espions virtuels.

Il est possible d’installer différents types de systèmes pour offrir au réseau plusieurs niveaux de sécurité. Soit avec des logiciels installés sur l'hôte à protéger, soit en adoptant une solution matérielle périphérique pour contrôler les points d'entrée-sortie du réseau, ou encore à l’aide d’une combinaison des deux.

Pour sécuriser le réseau d’une petite structure, chaque poste de travail gagne à être équipé d’un ensemble de logiciels spécialisés dans la protection d’un type de menace, ou d’une solution «tout-en-un» contenant plusieurs modules de protection.

L’ensemble typiquement nécessaire pour protéger un PC est un firewall, un antivirus, un antispyware et un antispam intégré au logiciel de messagerie.

Les solutions logicielles «tout-en-un» rassemblent l’ensemble de ces outils : ce qui facilite l’utilisation, la configuration et la surveillance en centralisant les contrôles des modules au sein d’une même interface. Elles permettent aussi une économie sur les licences à acquérir.

Le choix doit donc se porter sur l’un ou sur l’autre, selon la technicité et le prix :

- Une solution tout intégrée est moins chère, plus simple à configurer et plus facile d’utilisation, mais son niveau de protection est moins efficace et elle contient parfois des modules limités.

- Une solution utilisant des outils séparés est en général plus chère, un peu plus longue à installer et à configurer, mais elle permet d’utiliser les meilleurs logiciels pour chacune des tâches de sécurité, ce qui apportera une plus-value non négligeable en termes de sécurité.

Rappelons que chaque éditeur de logiciels a développé ses propres technologies, ses propres protections, ainsi que ses modules de surveillance et d’inspection. Certains produits mal conçus peuvent parfois ralentir considérablement la vitesse d’un ordinateur, voire entraîner des risques d'infection ou d'attaque si les mises à jour ne sont pas effectuées correctement ou si les mesures de sécurité ne sont suffisantes.

Tous les logiciels ont un système d’installation et une configuration de base permettant une utilisation par des non-experts, tout en apportant des protections efficaces. Le prix ou le nom de l'éditeur ne sont pas des gages de qualité, de simplicité d’utilisation et de protection judicieuse : en effet, certains outils gratuits sont parfois plus efficaces. Renseignez-vous au cas par cas suivant vos besoins spécifiques.

L'utilisation de ces boîtiers spécialisés permet de disposer d'une appliance de sécurisation de l'environnement web, pour les petites structures comme pour les grandes entreprises, offrant une protection contre les menaces propagées par le Web complète et très performante.

Le déploiement de telles solutions est simple et rapide, ces boîtiers étant pratiquement prêts à l’emploi, préinstallés et préconfigurés.

Ces boîtiers sont pourvus d'au moins deux prises réseau utilisant des technologies de communication très rapides. Concrètement, ce sont des passerelles qui se connectent entre le réseau Internet et le réseau de l’entreprise afin de filtrer les données entrantes.
Ils sont munis de plusieurs outils parmi lesquels on trouve : firewall (filtrage de port), antivirus, antispyware (logiciel espion), filtrage de contenus web inappropriés, fonctions VPN (sécurisation des accès distants), dispositifs de détection d’intrusion ou de protection anti-intrusion.

L’interface d’administration du système est simple d’emploi et s’effectue généralement avec un navigateur web ou à l’aide d’un logiciel dédié. Elle apporte ainsi des fonctionnalités de contrôle, de gestion et de génération de rapports, via une entrée unique.

L'atout principal de ces boîtiers est la suppression des coûts qui découlent normalement de l'achat des licences et des frais d'abonnement mensuel aux mises à jour.

En prévenant les infections, ils réduisent le nombre d'appels au service d'assistance, les coûts de « nettoyage » ou de réinstallation de système.

La fonctionnalité de filtrage de contenus web permet de bloquer l'accès aux pages web sortant du cadre strictement professionnel afin de préserver la bande passante, de réduire les risques commerciaux et les risques de poursuites, ainsi que d'améliorer la productivité des employés.

Les options d'authentification transparente des utilisateurs et de création de rapports détaillés contribuent aussi à l’amélioration du contrôle et de la gestion.

On trouve différentes gammes de boîtiers : cela va du plus simple d’entre eux, n'embarquant qu'un antivirus et deux ports Ethernet, à ceux qui incluent un grand nombre de fonctions de sécurité, qui sont équipés de nombreux ports (switch) à très haute vitesse (Ethernet gigabit ou fibre optique) et autorisant un grand nombre d’accès VPN. Ces accès permettant aux utilisateurs extérieurs de se connecter et d’utiliser les ressources du réseau à distance en toute sécurité.

Malheureusement, ce type de protection n’est pas une solution miracle, car il n’y a aucune surveillance des autres points d'entrée possible dans un réseau : disquettes, CD piratés, connexions à Internet via d'autres points (modem du portable, par exemple). Un virus implanté sur un PC peut donc infecter tous les PC du réseau, même si les mails infectés sortants (et donc le PC contaminé) seront détectés. Cette solution très efficace au demeurant a donc ses limites.

Les appliances de sécurité sont de véritables ordinateurs très performants contenus dans un boîtier. Leurs hautes performances permettent d'utiliser un ensemble d’outils ayant chacun une tâche spécifique pour sécuriser le réseau.

Ils comportent tous de très nombreux outils : un firewall, des systèmes de détection (IDS) et de prévention d’intrusion (IDPS), un filtrage de contenus web et de mails (protection contre les virus et les vers), un antispam, le filtrage des sites web sensibles et des scripts malicieux, une fonctionnalité de passerelle VPN cryptée, des fonctions de routage et de qualité de service (QoS). Ces dernières permettent de répartir dynamiquement la quantité de bande passante allouée aux différents types de données transitant sur le réseau afin que nul ne puisse en accaparer la totalité et bloquer les autres. Le tout est complété par des systèmes d’authentification des utilisateurs permettant de leur allouer uniquement les ressources auxquelles ils ont droit d’accès.

Certaines appliances vont plus loin en proposant un modem ADSL intégré ou à connecter en option, un accès WiFi, un serveur d’impression ou la gestion des flux VoIP.

Tous sont administrables à distance par des interfaces web permettant de visualiser les alertes de sécurité, les différentes pages de configuration et la gestion des différents services fournis par le matériel.

Des boîtiers de gestion centralisée permettent d’administrer plusieurs appliances disséminées sur différents sites afin d’en centraliser le contrôle.

La segmentation des gammes se fait selon la puissance de traitement de l’appliance. En d’autres termes, les boîtiers les moins hauts de gamme, qui ont donc la puissance de traitement la plus basse, ne peuvent pas traiter en temps réel toutes les informations qui transitent par eux et ne gèrent pas ce qui est le plus exigeant : antivirus, antispyware, antispam, filtrage URL, contenus web et mails.

En revanche, dès que l’on dépasse ce niveau de gamme, tous les matériels incluent l’ensemble des fonctionnalités déjà citées. La puissance de calcul reste le paramètre différenciateur et se traduit par un débit plus ou moins élevé sur la connexion Internet et sur les connexions VPN. Quant au haut de gamme, il se différencie souvent par le nombre et la nature des prises du commutateur réseau intégrées permettant de bénéficier du très haut débit via Ethernet gigabit, voire grâce à la technologie de fibre optique.

C’est un ordinateur ayant un rôle de passerelle Internet. Le point fort de cette solution est la puissance de traitement et le nombre d'outils qui peuvent être mis en place. Un ordinateur très modeste suffit pour sécuriser un réseau de vingt personnes. Des machines plus puissantes peuvent gérer des milliers de postes.

En contrepartie, il faut avoir des compétences spécifiques pour installer, configurer et répondre aux alertes du système. Cette solution nécessite donc un contrat de maintenance externe (externalisation de service informatique) ou une équipe dédiée en interne, en fonction de la politique de gestion décidée.

Il reste que ce matériel apporte plus que la seule sécurité, puisqu’il peut servir pour héberger les sites intranet ou Internet de l'entreprise, des services de messagerie et qu’il autorise de nombreux accès distants sécurisés (VPN SSL) pour les utilisateurs distants, les filiales ou les télétravailleurs.

Cf. guide les serveurs

A. Les points à garder toujours en tête

• Il n'y a pas de solution efficace à 100 % mais des protections bien choisies limitent considérablement les risques.

• Les attaques viennent le plus souvent de l'intérieur, il est donc nécessaire de coupler passerelle Internet et protection sur chaque poste de travail.

• Sensibiliser les utilisateurs aux différentes menaces et pièges est souvent plus efficace qu'un antivirus.

• Le choix d’une solution dépend directement de vos besoins. Ceux-ci sont déterminés par le nombre d’ordinateurs du réseau, par le degré de confidentialité et d’importance des documents traités, et par l’importance du volume d’échanges du réseau.

• Les solutions les mieux adaptées en termes de sécurité et de coût total, dans l’ordre croissant des besoins, sont : une solution 100 % logicielle, les boîtiers dédiés de protection, les appliances de sécurité et enfin les serveurs de sécurité.


B. Ce qu’il faut savoir par ailleurs

• Les appliances ou les boîtiers de protection ne sécurisent qu’un point d’entrée sur le réseau : par conséquent, les autres possibilités d’entrée doivent être bloquées par d’autres dispositifs.

• Un serveur de sécurité est la solution la plus évolutive et la plus flexible, mais il nécessite des compétences spécifiques.