Lundi 11 décembre 2017
NASDAQ : 0.0 0   nasdaq0 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE

UTM : le couteau suisse de la sécurité des PME

Imprimer Envoyer à un ami Contacter la rédaction
Par Christophe Dupont Elise le 12/09/2007 - indexel.net
 
Lci_utm_securite

Facilité d'installation, administration simplifiée et centralisée, maîtrise des coûts... Le boîtier de sécurité UTM est presque devenu un consommable. Les PME ont toutefois des choix à faire qui ne reposent pas que sur le prix.

 

Gage de leur réussite, les boîtiers UTM séduisent de plus en plus les grands comptes. De quoi conforter toute PME dans le choix de cet équipement pour protéger son réseau. Pour rappel, l'UTM (Unified Threat Management ou gestion unifiée des menaces) définit un boîtier regroupant diverses fonctions de sécurité relatives au filtrage des flux. Cette approche de la sécurité centralisée correspond aux besoins de sécurité actuels des PME. Un seul équipement peut intégrer un coupe-feu de réseau, un système de détection et prévention des intrusions, un antivirus de passerelle, du filtrage anti-spam, un réseau privé virtuel (VPN), voire une gestion de la bande passante et de la qualité de service.

"Auparavant, il fallait acheter, déployer et maîtriser chacune de ces briques indépendamment, une PME ne pouvait pas se le permettre. Avec l'UTM, l'administration s'opère en un seul point", défend Laurent Meimoun (photo), directeur technique de SonicWall. Seulement, enthousiasmées par cette facilité d'administration, les PME ont la fâcheuse tendance à réduire leur critère de choix à un seul facteur : le prix. "On rencontre bien moins d'exigences techniques au sein des PME que dans les grands comptes", reconnaît Laurent Meimoun.

Quel système d'exploitation ?

Pourtant, considérer l'UTM comme une simple "boîte noire" au contenu interchangeable d'une marque à l'autre est une erreur. Les constructeurs font des choix sur lesquels les PME seraient avisées de se pencher. Le premier d'entre eux concerne le système d'exploitation de l'équipement. Le plus courant est un OS Open Source dépouillé des fonctionnalités inutiles à son usage et renforcé en termes de sécurité. L'ennui est qu'il est bien difficile de connaître quels aménagements ont été apportés par les éditeurs. Bien que souvent la licence de l'OS Open Source utilisée nécessite la publication des modifications apportées, les éditeurs rechignent à le faire. Or y contrevenir peut aboutir au pire à l'interdiction de commercialisation du boîtier. Quid alors du service après-vente pour la PME cliente ? Ceux qui, comme SonicWall ou Clavister, ont choisi un système d'exploitation propriétaire défendent la réelle intégration de chacune des fonctionnalités, développées en interne, contre des partenariats dont l'existence ne tient qu'à un contrat.

Ajoutez un antivirus

Ces partenariats sont aussi à regarder de plus près. À commencer par l'antivirus accompagnant le produit. Inutile de retrouver dans le boîtier le même logiciel équipant déjà les postes de travail. Mieux vaut privilégier un deuxième niveau différencié de protection. En rapport avec l'antivirus et l'anti-spam, il est important de se faire préciser si le boîtier est équipé d'un disque dur ou de mémoire flash. Cette dernière a l'avantage de ne pas tomber en panne, de ne pas être vulnérable à une attaque de type buffer overflow*, et de ne pas ralentir le filtrage par des écritures sur un disque. Seulement, les partisans du disque dur rappellent que, sans cet espace de stockage, la taille de la base antivirale et du filtrage url est limitée, et que les spams ne peuvent alors être conservés pour un tri sélectif poussé.

Deux processeurs en équipe

Si l'entreprise envisage l'usage de la Voice over IP, le processeur équipant le boîtier peut avoir son importance. Les processeurs spécialisés par fonction (Asic**) sont performants pour les chiffrements (par exemple) mais peinent à gérer correctement de multiples petits paquets tels qu'en génère la VoIP. Ne reposer que sur un processeur Asic ralentit les performances. La combinaison d'un Asic et d'un processeur généraliste est un duo gagnant, l'Asic se contentant de prendre le relais dès qu'il s'agit de chiffrement.

Enfin, une sécurité en un seul point, fut-elle multicouches, signifie que si le boîtier vient à tomber en panne, c'est toute la sécurité informatique de l'entreprise qui s'écroule. L'achat de deux boîtiers gérant la redondance est donc une solution à envisager.

Notre sélection de boîtiers UMT

Fournisseur
Modèle
Fonctions
Prix
Fortinet
Fortigate-50B
VPN IPsec, L2TP, PPTP. Antivirus, antispam, IPS, filtrage d'URL. Support NAT, Reverse NAT, DHCP. 2 ports WAN et 3 ports switch.
890 euros HT
SecureComputing
SnapGear 565
VPN IPsec, L2TP, PPTP. Antivirus, IPS, filtrage d'URL en option. Support NAT, reverse NAT, DHCP (y compris relais), PPoE. 1 port WAN et 4 ports swtich.
600 euros HT
Check Point Software Technologies
Safe Office 500
VPN IPsec, L2TP, PPTP. Antivirus, antispam, IPS, filtrage d'URL. Support NAT, reverse NAT, DHCP (serveurs multiples), PPoE, PPTP. 6 ports Fast-Ethernet, 2 ports USB pour le serveur d'impression, 1 port série. Modem ADSL en option.
757 euros HT
NetASQ F50 VPN IPsec, L2TP, PPTP. Antivirus, antispam, IPS, filtrage d'URL (propriétaire ou en option via OPTENET). Support NAT, reverse NAT, DHCP, PPoE, PPTP, PPP. 3 ports Fast-Ethernet (10/100 Mbits/s), pas de switch intégré.
822 euros HT
IBM (ex ISS) Proventia MX 1004 VPN IPsec, L2TP. Antivirus, antispam, IPS, filtrage d'URL. Support NAT, reverse NAT, DHCP, PPoE. 4 ports Fast-Ethernet (10/100 Mbits/s), pas de switch intégré.
1500 euros HT
SonicWall Pro 2040 VPN IPsec, L2TP. Antivirus, antispam, antispyware, IPS, filtrage d'URL. Support NAT, reverse NAT, DHCP, PPoE, 4 ports Fast-Ethernet (10/100 Mbits/s).
1440 euros HT

 

* Buffer overflow : dépassement de mémoire tampon en français. Exploitation d'une vulnérabilité qui consiste à écrire dans une zone mémoire temporaire (un buffer) utilisée par une application, plus de données qu'elle ne peut en contenir. Le but est de remplacer des parties de code de cette application afin de les exécuter au profit de l'attaquant.
** ASIC : Application Specific Integrated Circuit. Processeur dédié au traitement d'une fonction spécifique de sécurité, pour des débits et vitesse d'exécution plus importants que ceux d'un processeur généraliste. Un ASIC peut être utilisé pour des fonctions de chiffrement.

LIRE AUSSI
 
Partager :
LIRE AUSSI
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages