Lorsque notre informatique était construite autour de notre grand système IBM, nous avions une structure hiérarchisée et fermée qui était sécurisée de fait. Mais lorsque nous avons migré vers de l’IP, il a fallu définir une nouvelle politique de sécurité pour l’accès de nos clients éditeurs à nos données, raconte Patrick Billon, analyste réseau et système des NMPP. Nous avons mis en place un extranet pour ces 80 éditeurs. La confidentialité des données de chaque éditeur est essentielle. Il fallait donc réfléchir à un système qui permette un accès totalement sécurisé et personnalisé.”Plutôt que d’installer des coupe-feu sur chacun des deux routeurs Cisco des NMPP, le responsable préfère gérer la sécurité à l’aide des listes de contrôle d’accès (ACL). Les ACL créent des zones de sécurité réagissant comme autant de réseaux distincts, chacun possédant sa propre politique de contrôle d’accès.
La sécurité est gérée dès l’arrivée de la ligne sur le routeur
Ce principe de sécurité est déployé sur les interfaces des routeurs auxquels ces zones sont connectées. “Nous voulions pouvoir gérer la sécurité dès l’arrivée de la ligne sur le routeur et non pas en sortie comme le fait un coupe-feu”, explique Patrick Billon. Jusqu’à l’année dernière, la gestion des listes de contrôle d’accès se faisait manuellement par Telnet. Pour ajouter une nouvelle connexion, il fallait rédiger une quarantaine de lignes de code en entrée et autant en sortie, sans compter celles pour les connexions de secours. Les risques d’erreurs étaient importants, et toute modification extrêmement fastidieuse. “Très rapidement, nous nous sommes rendu compte que cette gestion manuelle posait un réel problème de fiabilité. Nous avons donc étudié les offres du marché, notamment celles de Cisco et de Solsoft. Net Partitioner de Solsoft présentait l’avantage de gérer plusieurs marques de routeurs”, remarque Patrick Billon. Le logiciel de Solsoft automatise la génération et le déploiement des ACL avec une interface graphique. Le paramétrage de Net Partitioner a nécessité trois semaines de travail. Le logiciel ne récupère pas automatiquement les ACL, mais les interfaces des routeurs cibles. Il a fallu indiquer le plan d’adressage et les différents sites connectés. “Grâce à l’interface graphique nous avons une meilleure vision de nos modifications. Pour intégrer un nouveau lien, il suffit de définir le protocole de l’objet cible [équipements de filtrage, réseaux, classes ou métaclasses, Ndlr] et de tracer un trait entre le routeur et l’objet à connecter. Net Partitioner met alors à jour toutes les ACL. En quinze minutes, les modifications sont effectives, là où il fallait écrire 80 lignes de code, poursuit le responsable. Seule la translation d’adresses est toujours effectuée manuellement. Nous avions une contrainte : ne pas obliger nos clients à changer leur plan d’adressage. Nos translations sont donc assez complexes.”Après deux journées de formation, cinq ou six personnes peuvent désormais effectuer les modifications. “Quant aux coûts, ils se révèlent inférieurs à ceux de l’achat de deux coupe-feu et des équipements associés “, assure le responsable.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
