0.38 %
Publicité
SECURITE
UTM : le couteau suisse de la sécurité des PME
 |
Facilité d'installation, administration simplifiée et centralisée, maîtrise des coûts... Le boîtier de sécurité UTM est presque devenu un consommable. Les PME ont toutefois des choix à faire qui ne reposent pas que sur le prix. |
Gage de leur réussite, les boîtiers UTM séduisent de plus en plus les grands comptes. De quoi conforter toute PME dans le choix de cet équipement pour protéger son réseau. Pour rappel, l'UTM (Unified Threat Management ou gestion unifiée des menaces) définit un boîtier regroupant diverses fonctions de sécurité relatives au filtrage des flux. Cette approche de la sécurité centralisée correspond aux besoins de sécurité actuels des PME. Un seul équipement peut intégrer un coupe-feu de réseau, un système de détection et prévention des intrusions, un antivirus de passerelle, du filtrage anti-spam, un réseau privé virtuel (VPN), voire une gestion de la bande passante et de la qualité de service.
"Auparavant, il fallait acheter, déployer et maîtriser chacune de ces briques indépendamment, une PME ne pouvait pas se le permettre. Avec l'UTM, l'administration s'opère en un seul point", défend Laurent Meimoun (photo), directeur technique de SonicWall. Seulement, enthousiasmées par cette facilité d'administration, les PME ont la fâcheuse tendance à réduire leur critère de choix à un seul facteur : le prix. "On rencontre bien moins d'exigences techniques au sein des PME que dans les grands comptes", reconnaît Laurent Meimoun.
Quel système d'exploitation ?
Pourtant, considérer l'UTM comme une simple "boîte noire" au contenu interchangeable d'une marque à l'autre est une erreur. Les constructeurs font des choix sur lesquels les PME seraient avisées de se pencher. Le premier d'entre eux concerne le système d'exploitation de l'équipement. Le plus courant est un OS Open Source dépouillé des fonctionnalités inutiles à son usage et renforcé en termes de sécurité. L'ennui est qu'il est bien difficile de connaître quels aménagements ont été apportés par les éditeurs. Bien que souvent la licence de l'OS Open Source utilisée nécessite la publication des modifications apportées, les éditeurs rechignent à le faire. Or y contrevenir peut aboutir au pire à l'interdiction de commercialisation du boîtier. Quid alors du service après-vente pour la PME cliente ? Ceux qui, comme SonicWall ou Clavister, ont choisi un système d'exploitation propriétaire défendent la réelle intégration de chacune des fonctionnalités, développées en interne, contre des partenariats dont l'existence ne tient qu'à un contrat.
Ajoutez un antivirus
Ces partenariats sont aussi à regarder de plus près. À commencer par l'antivirus accompagnant le produit. Inutile de retrouver dans le boîtier le même logiciel équipant déjà les postes de travail. Mieux vaut privilégier un deuxième niveau différencié de protection. En rapport avec l'antivirus et l'anti-spam, il est important de se faire préciser si le boîtier est équipé d'un disque dur ou de mémoire flash. Cette dernière a l'avantage de ne pas tomber en panne, de ne pas être vulnérable à une attaque de type buffer overflow*, et de ne pas ralentir le filtrage par des écritures sur un disque. Seulement, les partisans du disque dur rappellent que, sans cet espace de stockage, la taille de la base antivirale et du filtrage url est limitée, et que les spams ne peuvent alors être conservés pour un tri sélectif poussé.
Deux processeurs en équipe
Si l'entreprise envisage l'usage de la Voice over IP, le processeur équipant le boîtier peut avoir son importance. Les processeurs spécialisés par fonction (Asic**) sont performants pour les chiffrements (par exemple) mais peinent à gérer correctement de multiples petits paquets tels qu'en génère la VoIP. Ne reposer que sur un processeur Asic ralentit les performances. La combinaison d'un Asic et d'un processeur généraliste est un duo gagnant, l'Asic se contentant de prendre le relais dès qu'il s'agit de chiffrement.
Enfin, une sécurité en un seul point, fut-elle multicouches, signifie que si le boîtier vient à tomber en panne, c'est toute la sécurité informatique de l'entreprise qui s'écroule. L'achat de deux boîtiers gérant la redondance est donc une solution à envisager.
Notre sélection de boîtiers UMT
Fortinet
VPN IPsec, L2TP, PPTP. Antivirus, antispam, IPS, filtrage d'URL. Support NAT, Reverse NAT, DHCP. 2 ports WAN et 3 ports switch.
SecureComputing
VPN IPsec, L2TP, PPTP. Antivirus, IPS, filtrage d'URL en option. Support NAT, reverse NAT, DHCP (y compris relais), PPoE. 1 port WAN et 4 ports swtich.
Check Point Software Technologies
VPN IPsec, L2TP, PPTP. Antivirus, antispam, IPS, filtrage d'URL. Support NAT, reverse NAT, DHCP (serveurs multiples), PPoE, PPTP. 6 ports Fast-Ethernet, 2 ports USB pour le serveur d'impression, 1 port série. Modem ADSL en option.
NetASQ
F50
VPN IPsec, L2TP, PPTP. Antivirus, antispam, IPS, filtrage d'URL (propriétaire ou en option via OPTENET). Support NAT, reverse NAT, DHCP, PPoE, PPTP, PPP. 3 ports Fast-Ethernet (10/100 Mbits/s), pas de switch intégré.
IBM (ex ISS)
Proventia MX 1004
VPN IPsec, L2TP. Antivirus, antispam, IPS, filtrage d'URL. Support NAT, reverse NAT, DHCP, PPoE. 4 ports Fast-Ethernet (10/100 Mbits/s), pas de switch intégré.
SonicWall
Pro 2040
VPN IPsec, L2TP. Antivirus, antispam, antispyware, IPS, filtrage d'URL. Support NAT, reverse NAT, DHCP, PPoE, 4 ports Fast-Ethernet (10/100 Mbits/s).
* Buffer overflow : dépassement de mémoire tampon en français. Exploitation d'une vulnérabilité qui consiste à écrire dans une zone mémoire temporaire (un buffer) utilisée par une application, plus de données qu'elle ne peut en contenir. Le but est de remplacer des parties de code de cette application afin de les exécuter au profit de l'attaquant.
** ASIC : Application Specific Integrated Circuit. Processeur dédié au traitement d'une fonction spécifique de sécurité, pour des débits et vitesse d'exécution plus importants que ceux d'un processeur généraliste. Un ASIC peut être utilisé pour des fonctions de chiffrement.
Publicité
RETOUR EN HAUT DE LA PAGE
Publicité