Vous avez déjà déployé du libre ?
Michel Maudet. Nous avons répondu à plusieurs appels d'offres, qui sont encore en cours d'étude. Je peux notamment mentionner le cas du ministère des finances, qui regarde notre proposition avec intérêt. Mais pour l'instant, nous n'avons récolté le fruit de nos efforts qu'une seule fois : en installant un système de détection d'intrusion de la société Siticom. Nous avons à cette occasion opté pour 5 sondes de détection d'intrusion - qui surveillent un réseau de 500 postes.

Quand on veut s'équiper, c'est Snort ou rien ?
Snort est la seule solution vraiment accessible sur le plan technique. Il existe bien des patches qu'on peut appliquer sur les noyaux pour durcir leur résistance aux attaques, mais ce sont des technologies extrêmement difficiles à maîtriser, et pour tout dire réservées aux personnes les plus pointues. Snort est conçu de façon à être implémentable sans grosses difficultés, et il peut fonctionner en mode Host IDS ou Network IDS. On peut utiliser un logiciel libre - lui aussi - pour le monitorer : Acid. Snort est en quelque sorte incontournable.

L'IDS libre est-il au niveau de l'IDS commercial ?
Pas tout à fait. Snort est efficace, mais pas autant que les produits commerciaux. Les technologies mises en oeuvre par Snort pour analyser les trames de Snort ne sont pas les plus performantes. Autre limite : c'est la communauté libre qui se charge de mettre à jour le fichier comportant les signatures des attaques. Il faut donc soi-même aller les récupérer sur plusieurs sites pour que la protection demeure vraiment complète. La mise à jour se fait de façon diffuse, et demande un véritable travail de veille - que nous assurons pour nos clients, évidemment.

Snort est-t-il difficile à administrer ?
Plus difficile qu'une solution commerciale : la console Acid ne permet pas de rejouer les scénarios. Ce qui signifie qu'on ne peut pas lui demander de retracer de façon conviviale le chemin suivi par chaque attaque sur le réseau. Il faut donc analyser les logs soi-même, ce qui est nettement plus laborieux. Et il y a un autre problème : on ne peut pas mettre à jour les signatures de chaque IDS depuis un poste distant. Il faut donc installer les nouvelles définitions soi-même, sur chaque sonde.

Le temps passé sur l'administration est plus long, ce qui fait monter la facture. Quid de l'argent investi dans le déploiement ?
Ici il n'y a pas vraiment de différence notable - à mon sens. Une sonde commerciale met autant de temps à être déployée qu'une sonde libre, c'est à dire une demi-journée. Prenons un exemple : il nous a fallu 5 jours pour déployer une console et cinq sondes chez Siticom. En sachant que la journée de travail est facturée 1000 euros. Je ne sache pas que cela soit fort différent des tarifs pratiqués par les intégrateurs d'offres commerciales.

Est-ce vraiment intéressant au final ?
L'administration du système est incontestablement plus laborieuse, nous en sommes conscients. C'est pourquoi nous proposons un forfait de 6 500 euros par an pour le support intégral de la technologie. Un forfait qui ne comprend évidemment pas la veille quotidienne sur les alertes du système : ce travail incombe à l'administrateur réseau. Le prix de 6 500 euros est sans doute un peu plus cher que celui pratiqué par les intégrateurs de technologies commerciales, mais il ne faut pas oublier que le ticket d'entrée chez eux se compte en diaines de milliers d'euros.

Et chez vous ?
Chez nous, il suffit d'investir dans un serveur, le reste est en licence GPL. Hors intégration, la facture se compte donc en milliers d'euros. Le gros avantage du libre, c'est ici encore son prix.

Quelques liens :

- Le site de SNORT : http://www.snort.org/
- Une société qui distribue une appliance basée sur SNORT: http://www.sourcefire.com/
- Les produits d'administration Open Source :
ACID : http://www.andrew.cmu.edu/~rdanyliw/snort/snortacid.html
IDSPM : http://www.activeworx.com/IDSPM
- Les sites donnant les jeux de règles : http://www.activeworx.com/IDSPM/ et http://www.securityfocus.org/