Qualifiés d'outils de contrôle parental par certains DSI facétieux, les systèmes professionnels de filtrage d'URL ne se résument plus à des logiciels de surveillance de la productivité. Leur contribution à la préservation de la bande passante et surtout à la sécurité du SI est leur meilleur atout pour conquérir les entreprises.

Ces outils de filtrage s'installent au niveau de la passerelle Internet, couplés ou non à un proxy ou autre coupe-feu. À chaque requête d'un utilisateur, le système consulte, sur une base d'URL livrée par le fournisseur, les adresses classées plus ou moins finement par catégorie : pornographie, jeux, voyages, commerce en ligne, racisme, webmails...

Les URL sont constamment actualisées, manuellement ou automatiquement, par le fournisseur lui-même ou par un partenaire. Si le site demandé par l'utilisateur fait partie d'une catégorie proscrite par l'administrateur réseau de l'entreprise, la requête est refusée et une page d'interdiction est retournée à l'employé. Mais interdits ou refusés, tous les accès et leurs paramètres (heure, durée, adresse IP du poste demandeur...) sont répertoriés. Ce reporting est consultable depuis une interface généralement claire, car dédiée.

« Notre coupe-feu ISA Server [de Microsoft, NDLR] nous fournissait déjà des données sur la navigation web, mais cela prenait beaucoup de temps pour les analyser » , raconte Yves Ropartz, DSI de Group 4 Securicor (8 000 personnes), une société rouennaise spécialisée dans le gardiennage et la sécurité physique. Répartie sur 45 sites en France, l'entreprise était régulièrement obligée d'augmenter le débit de ses connexions Internet, mais aussi de renforcer son serveur de messagerie Domino : « Il y a deux ans, il fallait lui rajouter 10 % d'espace disque tous les mois ! Nous soupçonnions des abus d'ordre privé, sur le Web et la messagerie, que nous devions canaliser pour ne pas pénaliser nos applications accessibles en mode hébergé. »

Si l'étranglement d'une connexion Internet est bien souvent le point de départ des réflexions en matière de filtrage Web, les problèmes de sécurité interne entrent de plus en plus en ligne de compte. Exemple, à la Setao, qui gère le réseau des tramways et bus de l'agglomération d'Orléans (700 personnes) : « Nous avions de plus en plus d'interventions à faire au sein de notre parc de 250 PC, dont beaucoup étaient infectés par des spyware, explique Olivier Parcollet, administrateur système et réseau. Certaines de ces machines gèrent la circulation des tramways ou encore celle des feux rouges : on ne peut pas plaisanter avec ça. »

Après deux expériences décevantes, dont une avec le logiciel libre quid Guard « un vrai gruyère » , la Setao a choisi le logiciel de filtrage Web d'Olfeo. Cet éditeur mise sur une base d'URL constituée par des Français, a priori en phase avec nos spécificités culturelles. Une proximité qui a aussi séduit la Setao sous un autre aspect : « Ils nous ont fourni tous les documents nécessaires pour argumenter notre projet auprès de nos juristes et des organisations syndicales » , précise Olivier Parcollet. Évoluant dans le secteur des transports, la société compte un grand nombre d'employés syndiqués, particulièrement sensibles à ce sujet.

Parce qu'il s'approche dangereusement de la frontière entre vie privée et vie professionnelle, le filtrage de la navigation web doit être manié avec des pincettes - et pas uniquement dans les milieux syndiqués. « L'aspect politico-juridique représente 50 % du projet, assure l'administrateur de la Setao. Il faut absolument être transparent vis-à-vis des utilisateurs pour qu'ils comprennent que ce n'est pas du flicage. Nous avons expliqué, par exemple, que c'était un bon moyen de protéger ceux qui n'avaient rien à se reprocher, lorsqu'un PC est partagé par plusieurs personnes au fil de la journée. »

Chez Aelia (1 250 personnes), un spécialiste de la vente en duty free, quelques rares employés n'ont pas apprécié la mise en service du système de filtrage Web et mail Webwasher. « Nous avons fusionné avec une société dont les collaborateurs étaient habitués à une certaine liberté... Ce ne sont pas en tout cas les personnes qui commettaient des abus qui auraient osé se plaindre » , commente Olivier Rideau, DSI d'Aelia (lire encadré).

Chez Group 4 Securicor, chaque nouvelle recrue est avertie par le DSI de la politique Internet de l'entreprise, au même titre que de l'usage de l'outil informatique. Les collaborateurs en place ont été informés de l'installation du logiciel de filtrage Web et mail de SurfControl, et ils ont été invités à signaler tout site injustement bloqué. Encore faut-il déterminer au départ la stratégie de blocage à adopter.

Chez Scaff'Holding (600 personnes), numéro un français de l'échafaudage, 16 des 64 catégories de sites fournies par Sonic-Wall sont proscrites par défaut (pornographie, violence...). Pour savoir sur quelle base partir, le système avait été discrètement mis en service pendant un mois, afin d'avoir un reporting de référence sur les besoins de consultation des collaborateurs.

« En plus des catégories bloquées, nous avons une liste blanche de cinq ou six sites difficiles à classer, auxquels nous devons être sûrs de pouvoir accéder, précise Sébastien Guepratte, RSI. Nous constatons un ou deux faux positifs par semaine, que nous faisons remonter à l'éditeur. C'est notamment arrivé avec le site du Crédit Lyonnais, qui s'est retrouvé classé dans une mauvaise catégorie. »

À la DSI de Group 4 Securicor, le choix des catégories à interdire était plus complexe : « Nous voulions surtout bloquer la pornographie, la musique et les téléchargements divers. Pour les sites de tourisme ou de shopping, nous avons hésité car l'entreprise recourt souvent aux réservations en ligne : nous avons préféré tout laisser passer plutôt que d'avoir des listes blanches à gérer ». Le DSI ne baisse pas les bras pour autant. Même autorisées, les tentatives d'accès sont tracées et les abus sont notifiés aux intéressés. « Nous envoyons deux ou trois mails par mois, des messages relativement fermes ».

De même, après avoir envisagé d'exploiter les fonctions de Surf-Control pour la gestion des accès en fonction des horaires et des utilisateurs, le service informatique a renoncé, faute de temps. A contrario, à la Setao, « la possibilité de débrider certains créneaux horaires a été un bon argument vis-à-vis des représentants du personnel, affirme l'administrateur système. Hormis les postes qui fonctionnent 24 heures/24, le filtrage est beaucoup plus souple avant 8 heures et après 18 heures ».

Quant à la définition de groupes d'utilisateurs, difficile de passer outre les desiderata de la direction de l'entreprise. Chez Aelia, trois groupes aux règles différentes ont été distingués : le service RH, qui doit notamment accéder à des sites de recrutement, le comité de direction, et les employés lambda. Chez Group 4 Securicor, les messageries instantanées ont été de nouveau autorisées à tous, après que les dirigeants ont souhaité les récupérer pour leurs propres besoins... Interdites chez Aelia, les messageries instantanées ne sont pas filtrées par Webwasher mais par un boîtier Allot, surtout chargé de gérer la QoS du réseau.

C'est, en revanche, Webwasher qui bloque les téléchargements de fichiers depuis le Web. « Le système reconnaît 142 types de fichiers tels que les MP3, les Mpeg... Et cela fonctionne même en renommant les extensions. Le filtrage est basé sur l'analyse des en-têtes » , souligne le DSI d'Aelia. Débordant bien souvent de leur usage premier, les systèmes de filtrage Web sont tantôt redondants, tantôt complémentaires des outils de sécurité existants : antispyware (le blocage de sites à spyware allège leur tâche), antivirus (moins d'exposition des PC), etc.

La Setao en a déjà fait l'expérience. Pourtant équipée d'un boîtier multifonction Fortigate de Fortinet et d'OfficeScan de Trend Micro sur les postes clients (antivirus, antispyware...), l'entreprise a constaté l'effet antispyware du filtrage d'Olfeo : « Il nous a servi une fois, en attendant la mise à jour d'OfficeScan », raconte Olivier Parcollet. Rappelons toutefois que le filtrage d'URL ne détecte pas les espions à proprement parler, mais limite l'exposition des postes en bloquant des sites connus pour en générer.

Très simples à installer et à paramétrer au départ, de l'avis de nos témoins, les logiciels de filtrage d'URL portent aussi rapidement leurs fruits. « En deux semaines, les blocages effectués par nos boîtiers SonicWall sont passés de 1 000 à 30 , chiffre Sébastien Guepratte de Scaff'Holding. De plus, quelques petits avertissements ont été nécessaires. Mais je n'interviens réellement que lorsqu'un problème de sécurité est latent, par exemple, quand un employé cherche à se rendre sur un site de crack de mots de passe Windows... Dans tous les cas, on essaie de gérer cela en bon père de famille ! ».

Encore faut-il se plonger dans les statistiques, malgré l'ambiguïté de la loi à ce sujet (lire encadré), pour détecter les abus persistants. « Pour ma part, je regarde le " top " des navigations les plus longues, et si quelque chose semble anormal, je regarde le détail », raconte Yves Ropartz. Une approche partagée par les autres responsables informatiques, qui ne regardent que très peu le reporting. « C'est un outil presque idéal, puisque je n'en entends jamais parler ! », ajoute Yves Ropartz, qui souhaite cependant réunir SurfControl et ISA Server au sein d'un seul boîtier (Network Engines), afin de simplifier la maintenance des solutions.

« La partie antispam de Webwasher nécessite une gestion quasi quotidienne. Pour le filtrage Web, je n'ai presque rien à faire » , renchérit Olivier Rideau, d'Aelia. Quant à la Setao, l'objectif d'Olfeo semble avoir été atteint : « Nous avons beaucoup moins d'interventions de dépannage sur les postes ». Difficile cependant d'évaluer le ROI. S'il paraît atteint à la Setao, qui consacre 8 000 euros sur trois ans à son filtrage Web, le DSI d'Aelia préfère, lui, parler de police d'assurance : celle-ci s'élève à 15 000 euros pour les logiciels et leur mise en oeuvre (filtrage Web et mail), 5 000 euros pour les deux boîtiers redondants, et enfin 13 000 euros de maintenance annuelle (base d'URL, antivirus, antispam).

Quant à l'impact sur l'éducation des utilisateurs, il va parfois au-delà des espérances, comme chez Scaff'Holding : « On s'étonne parfois auprès de moi que tel ou tel site soit autorisé ! »

Cliquez ici pour agrandir l'image

1 - un atout pour la sécurité

Les bases d'URL des éditeurs s'enrichissent de plus en plus en sites connus pour relayer des codes malveillants ou pour exposer les postes des utilisateurs à diverses menaces. Le filtrage Web peut alors faire office de barrière de premier niveau, même s'il ne se substitue pas à des outils d'analyse pour PC ou pour réseau (antivirus, antispyware, coupe-feu...).

2 - un impact immédiat

Dès qu'une requête est refusée, l'utilisateur reçoit une page d'interdiction, personnalisable par l'administrateur. Outre le blocage, donc une protection immédiate, le procédé induit une prise de conscience de la part des utilisateurs, mal intentionnés ou non. Certains systèmes permettent une solution intermédiaire, où l'utilisateur est alerté en cas de digression, mais sans blocage. Dans tous les cas, mieux vaut penser à indiquer le moyen d'alerter la DSI en cas de blocage illégitime.

3 - un filtrage à affiner

Bien que ces outils soient beaucoup plus simples à gérer que les antispams, des ajustements sont à prévoir au fil du temps : une liste blanche de sites doit être maintenue si certains accès sont critiques, et le retour des utilisateurs doit bien évidemment être pris en compte. Les faux positifs sont à remonter aux éditeurs pour qu'ils les intègrent - plus ou moins efficacement - à leur base. Des catégories peuvent être personnalisées pour certains produits.

4 - des susceptibilités à ménager

Les employés français sont très sensibles aux outils de contrôle... Suivant les contextes, il faut donc adapter sa stratégie de filtrage et surtout l'expliquer clairement aux collaborateurs ou à leurs représentants. Le reporting du filtrage ne doit être épluché qu'en cas d'abus flagrant apparaissant sur le bilan global des statistiques.

Dans le même ordre d'idées, la DSI doit tempérer les ardeurs des directions qui souhaiteraient consulter les historiques de navigation de leurs collaborateurs.