Très actifs sur les marchés financiers au cours de l'année 2005,
les équipementiers réseaux se sont massivement portés vers l'acquisition
de nouvelles briques de sécurité. Que ce soit Cisco avec Perfigo,
MI Secure et Netsift, 3Com avec TippingPoint ou Juniper Networks
avec Funk Software, les constructeurs ont dû enrichir leurs
offres face à des menaces changeantes.
Ainsi, les réseaux d'entreprises ont subi en 2005 une multiplication
d'attaques à zéro jour, s'appuyant sur des failles tout juste
découvertes. A peine détectées et supprimées par les solutions
antivirales, ces menaces réapparaissent sous la forme de nouvelles
variantes, l'objectif étant de submerger les réseaux sous une
avalanche de nouvelles menaces.
"Notre
stratégie baptisée UAC - pour United Access Control -, consiste
à protéger l'entreprise contre les intrusions, particulièrement
aux points d'accès difficilement contrôlables. Nous avions besoin
pour cela d'un serveur d'authentification et d'un serveur de
règles capables de rediriger l'utilisateur après vérification
sur des technologies Radius ou 802.1X, ce que nous apporte Funk
Software", note Ahmed Guetari, responsable technique chez Juniper
Networks.
Derrière ce terme d'UAC, l'enjeu est de contrôler les accès
réseaux de tout type de terminaux (téléphones IP, smartphones
)
pour rediriger au besoin l'utilisateur vers une zone de quarantaine
et l'obliger soit à mettre à jour son poste, soit à le désinfecter.
Mais si les postes clients peuvent être mis à jour régulièrement,
ce n'est pas le cas des serveurs où l'application d'un correctif
de sécurité nécessite des tests de non-régression.
| Le
contrôle des points d'accès distants, nouvel
enjeu des constructeurs |
Parallèlement, le système d'information des grands comptes
s'ouvre de plus en plus vers l'extérieur à travers les réseaux
sans fils (Wi-Fi, 3G) et les terminaux mobiles. De nouvelles
applications distantes viennent enrichir les fonctionnalités
des réseaux distants telles que la voix sur IP, les services Web
ou le stockage en réseau centralisé grâce à des systèmes d'accélération
et de compression de flux (lire l'article
du 20/10/2005).
"TippingPoint est une start-up américaine qui a orienté ses
développements vers les solutions IPS, détectant et bloquant
les attaques réseaux. Depuis qu'elle a rejoint Juniper, l'entreprise
est devenue la filiale sécurité de 3Com. Cela nous a permis
de conserver une équipe de spécialistes et de lancer un produit
intégrant des fonctions de gestion de la bande passante, un
firewall, un VPN, du filtrage d'URL et du routage dynamique",
souligne Frédéric Buisson, directeur commercial France pour
TippingPoint.
Ici, la détection d'intrusion appliquée à un routeur répond
à un besoin clair : protéger le réseau a priori et non réparer
a posteriori les dégâts. A travers ces solutions "tout en un",
les constructeurs ciblent directement la tranche du mid-market
- PME ou filiales de grand groupes - qui, bien qu'ayant les
mêmes besoins en fonctionnalités qu'une grande entité, ne
bénéficient pas des mêmes moyens.
"Nous souhaitons faire en sorte de placer à tout niveau du
réseau des barrières sécuritaires capables de scanner l'ensemble
du trafic. Il ne s'agit pas de mettre directement un IPS partout
mais de répartir la gestion de la sécurité. A terme, nous
pourrions voir des fonctions similaires s'intégrer dans des
châssis de commutation ou sur des contrôleurs Wi-Fi", résume
Agnès Chavrier, directrice marketing de 3com France.
| Centraliser
sa sécurité en un point unique du réseau
filtrant les risques |
Une démarche suivie par des acteurs non spécialisés dans
le routage réseau, comme F5 Networks. "Nous venons d'intégrer
à notre système d'exploitation, un module fonctionnel de pare-feu
applicatif capable de tourner seul ou avec des fonctions de
répartition de charge. Ce module est issu du rachat de Fire,
opéré il y a un an et demi. L'utilisateur peut ainsi protéger
et rediriger les flux réseau sur un même matériel", indique
Alain Thibaud, directeur technique de F5 Networks.
Cisco, quant à lui, a opéré trois rachats successifs dans
le domaine de la sécurité. Le premier, Perfigo
pour renforcer sa brique de contrôle d'accès, MI Secure Corporation
pour les réseaux privés virtuels et Netsift, sur le secteur
de la détection et la prévention d'intrusion (IDS / IPS).
Pour les constructeurs, le réseau doit être capable dans le
futur de s'autoprotéger en mettant à jour une base de vulnérabilités
de manière dynamique.
Pour l'utilisateur, l'avantage est évident. Il centralise
la sécurité sur des segments critiques de son infrastructure
réseau, réalisant un premier niveau de filtrage qui se veut
le plus efficace possible. Cela afin de reléguer la protection
du poste client à un degré moindre et de donner ainsi du temps
à l'administrateur face à des menaces rapides.
|
Dossier 
