Vous
avez déjà déployé du libre ?
Michel Maudet.
Nous avons répondu à plusieurs appels
d'offres, qui sont encore en cours d'étude. Je
peux notamment mentionner le cas du ministère
des finances, qui regarde notre proposition avec intérêt.
Mais pour l'instant, nous n'avons récolté
le fruit de nos efforts qu'une seule fois : en
installant un système de détection d'intrusion
de la société Siticom. Nous avons à
cette occasion opté pour 5 sondes de détection
d'intrusion - qui surveillent un réseau
de 500 postes.
Quand
on veut s'équiper, c'est Snort ou rien ?
Snort est la seule solution vraiment
accessible sur le plan technique. Il existe bien des
patches qu'on peut appliquer sur les noyaux pour durcir
leur résistance aux attaques, mais ce sont des
technologies extrêmement difficiles à maîtriser,
et pour tout dire réservées aux personnes
les plus pointues. Snort est conçu de façon
à être implémentable sans grosses
difficultés, et il peut fonctionner en mode Host
IDS ou Network IDS. On peut utiliser un logiciel libre -
lui aussi - pour le monitorer : Acid. Snort
est en quelque sorte incontournable.
L'IDS
libre est-il au niveau de l'IDS commercial ?
Pas tout à fait. Snort est efficace,
mais pas autant que les produits commerciaux. Les technologies
mises en oeuvre par Snort pour analyser les trames de
Snort ne sont pas les plus performantes. Autre limite :
c'est la communauté libre qui se charge de mettre
à jour le fichier comportant les signatures des
attaques. Il faut donc soi-même aller les récupérer
sur plusieurs sites pour que la protection demeure vraiment
complète. La mise à jour se fait de façon
diffuse, et demande un véritable travail de veille -
que nous assurons pour nos clients, évidemment.
Snort
est-t-il difficile à administrer ?
Plus difficile qu'une solution commerciale :
la console Acid ne permet pas de rejouer les scénarios.
Ce qui signifie qu'on ne peut pas lui demander de retracer
de façon conviviale le chemin suivi par chaque
attaque sur le réseau. Il faut donc analyser
les logs soi-même, ce qui est nettement plus laborieux.
Et il y a un autre problème : on ne peut
pas mettre à jour les signatures de chaque IDS
depuis un poste distant. Il faut donc installer les
nouvelles définitions soi-même, sur chaque
sonde.
Le
temps passé sur l'administration est plus long,
ce qui fait monter la facture. Quid de l'argent investi
dans le déploiement ?
Ici il n'y a pas vraiment de différence
notable - à mon sens. Une sonde commerciale
met autant de temps à être déployée
qu'une sonde libre, c'est à dire une demi-journée.
Prenons un exemple : il nous a fallu 5 jours pour
déployer une console et cinq sondes chez Siticom.
En sachant que la journée de travail est facturée
1000 euros. Je ne sache pas que cela soit fort différent
des tarifs pratiqués par les intégrateurs
d'offres commerciales.
Est-ce
vraiment intéressant au final ?
L'administration du système est
incontestablement plus laborieuse, nous en sommes conscients.
C'est pourquoi nous proposons un forfait de 6 500
euros par an pour le support intégral de la technologie.
Un forfait qui ne comprend évidemment pas la
veille quotidienne sur les alertes du système :
ce travail incombe à l'administrateur réseau.
Le prix de 6 500 euros est sans doute un peu plus
cher que celui pratiqué par les intégrateurs
de technologies commerciales, mais il ne faut pas oublier
que le ticket d'entrée chez eux se compte en
diaines de milliers d'euros.
Et
chez vous ?
Chez nous, il suffit d'investir dans
un serveur, le reste est en licence GPL. Hors intégration,
la facture se compte donc en milliers d'euros. Le gros
avantage du libre, c'est ici encore son prix.
|