L'avenir de la sécurité est à l'administration centralisée

Il est un vieux rêve des responsables de la sécurité du système d’information, celui de pouvoir tout piloter à partir d’une seule console centralisée. Tout mettre à jour en un clic, consulter toutes les alarmes classées par priorité et, surtout, nettoyées du ” bruit ” qui règne dans les log des coupe-feu, routeurs et autres outils de détection d’intrusion.Mais comme le regrette Nicolas Appert, directeur commercial de l’intégrateur Ubizen : “Il n’y a pas de console universelle qui sache exploiter toutes les fonctions de chaque produit. On se retrouve très vite à faire du nivellement pas le bas, en omettant les spécificités propres à chaque équipement, au profit des fonctions communes.”Il devient en effet impossible d’administrer une cinquantaine de coupe-feu de modèles différents, tout en gérant un parc d’une centaine d’antivirus, devant être mis à jour en permanence, et surveiller les alertes des outils de détection d’intrusion.

Les analyseurs de log se limitent à établir des rapports

Certes, des consoles existent qui permettent d’administrer toute la gamme de sécurité d’un éditeur (chez Data Fellows ou Computer Associates, par exemple). Mais elles sont limitées à cette seule gamme. Même ceux qui prétendent intégrer les offres concurrentes à leur console d’administration le font en général à la suite d’accords OEM.Le responsable de la sécurité doit alors se tourner vers les analyseurs de log capables, par définition, d’intégrer et de digérer des sources d’informations beaucoup plus hétéroclites (Webtrend, par exemple). Leur efficacité est réelle, mais ils se contentent d’établir des rapports. Certains sont dotés de fonctions de remontée d’alertes, mais aucun n’agit en temps réel, aussi bien lors d’une alerte du coupe-feu que de l’antivirus. Les travaux menés par l’éditeur ISS ou la SSII IB Group. com vont dans ce sens : un traitement diversifié et centralisé de la sécurité du système d’information, mais le chemin est encore long pour y parvenir. “Nous préférons encore rassembler toutes les consoles sur un même serveur”, conclut Nicolas Appert.

L’administration centralisée évite les erreurs humaines

Il n’en reste pas moins que l’avenir est à l’administration centralisée. “Elle ne garantit pas directement la sécurité, explique Patrice Payen, ingénieur avant-vente chez BindView, cependant elle clarifie la vision du système d’information, elle facilite la maintenance et évite les erreurs humaines (dans les réplications de mots de passe sur tout le parc, les mises à jour, etc. ). Elle donne finalement les moyens de contrôler l’application de la politique de sécurité.”

Les neuf questions à poser avant de choisir une solution d’administration centralisée

1. Le produit couvre-t-il l’ensemble de mes produits actuels et à venir ?

2. Toutes les fonctions de chaque produit sont-elles reproduites sur la console ?

3. La console est-elle sécurisée ? (communication entre éléments plus authentification)

4. A-t-on une vision claire de la politique de sécurité de l’entreprise ?

5. Quelles sont les voies de remontée des alertes ? Sont-elles compatibles avec mon organisation ?

6. Peut-on intégrer mes outils à un réseau d’administration dédié à la sécurité ?

7. A-t-on une analyse de log synthétisant l’ensemble des outils et dépassant le seul coupe-feu ?

8. Quelles sont les réactions de la console aux alertes émises par la supervision ?

9. Tous les outils peuvent-ils être mis à jour depuis la console ?

Gemplus teste les outils d’administration centralisée

“Les outils d’administration centralisée permettent d’avoir une vue d’ensemble des configurations des postes et de leur statut, à tout instant et depuis un point unique, explique Éric Deschamps. Sans ces outils, les opérations demandent beaucoup d’efforts de la part des équipes d’exploitation. Par exemple, le déclenchement des fichiers signatures se fait manuellement et les remontées des statuts des postes clients doivent être analysées serveur par serveur. “ Ces outils sont encore en phase de test chez Gemplus, car ils visent une migration des postes utilisateurs la plus transparente possible, tout en s’assurant des mises à jour automatiques des fichiers signatures et des remontées d’informations des postes de travail en un point unique. ” Des tests de migration ont été effectués : la mise à jour de F-Secure v. 4 vers F-Secure v. 5 a été évaluée avec succès sur des postes Windows 95 et NT. Nécessitant des essais plus approfondis, la mise en place du backweb [outil d’automatisation des fichiers signatures, Ndlr] est en cours de validation. La question de la ma”trise de l’outil et de gestion des coûts nous pousse vers de tels outils. “

Gemplus

Activité : fournisseur de solutions basées sur les cartes à puce.

Siège : Gemenos (13).

Effectif : 6 000 personnes.

Chiffre d’affaires 1999 : 5,029 milliards de francs (817 millions d’euros).

Didier Pierrard
(consultant sécurité chez IB Group. com) : ” Ne pas confondre supervision et adminis- tration. “

” Il manque de véritables solutions centralisées d’administration des éléments de sécurité. La confusion est grande sur ce marché, et les termes ne sont pas encore clairs pour tous. Attention donc à ne pas se faire piéger par la distinction entre supervision et administration, d’autant que certains vendeurs mélangent souvent les deux “, prévient Didier Pierrard.

Dans le premier cas, la démarche est passive. Un logiciel de supervision ” écoute ” ses équipements et collecte les informations remontées comme les alertes, les statistiques, etc. Il pourra en analyser les log et reconnaître des schémas d’attaques, mais il ne produira que des rapports, souvent à heure fixe, sur le nombre d’attaques subies, celles qui sont parvenues à être évitées, etc.

La console d’administration permet en plus de piloter les équipements qu’elle surveille. ” Avec une solution d’administration, les coupe-feu, les logiciels IDS ou les routeurs filtrants ne sont donc plus passifs. Ils savent, par exemple, réagir à une attaque en fermant des ports ou en bloquant l’ensemble du trafic en provenance d’une source donnée. Bien sûr, la principale difficulté est de savoir intégrer le maximum de produits de sécurité différents au sein de la même solution d’administration, tout en conservant leurs fonctions propres. “

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Dossier réalisé par JÉRÔME SAIZ