Vous avez déjà
déployé du libre ?
Michel Maudet.
Nous avons répondu à plusieurs appels d'offres, qui
sont encore en cours d'étude. Je peux notamment mentionner
le cas du ministère des finances, qui regarde notre proposition
avec intérêt. Mais pour l'instant, nous n'avons récolté
le fruit de nos efforts qu'une seule fois : en installant un
système de détection d'intrusion de la société
Siticom. Nous avons à cette occasion opté pour 5 sondes
de détection d'intrusion - qui surveillent un réseau
de 500 postes.
Quand on veut
s'équiper, c'est Snort ou rien ?
Snort est la seule solution vraiment accessible sur
le plan technique. Il existe bien des patches qu'on peut appliquer
sur les noyauds, mais ce sont des technologies extrêmement
difficiles à maîtriser, et pour tout dire réservées
aux personnes les plus pointues. Snort est conçu de façon
à être implémentable sans grosses difficultés,
et il peut fonctionner en mode Host IDS ou Network IDS. On peut
utiliser un logiciel libre - lui aussi - pour le monitorer :
Acid. Snort est en quelque sorte incontournable.
L'IDS libre est-il
au niveau de l'IDS commercial ?
Pas tout à fait. Snort est efficace, mais
pas autant que les produits commerciaux. Les technologies mises
en oeuvre par Snort pour analyser les trames de Snort ne sont pas
les plus performantes. Autre limite : c'est la communauté
libre qui se charge de mettre à jour le fichier comportant
les signatures des attaques. Il faut donc soi-même aller les
récupérer sur plusieurs sites pour que la protection
demeure vraiment complète. La mise à jour se fait
de façon diffuse, et demande un véritable travail
de veille - que nous assurons pour nos clients, évidemment.
Snort est-t-il
difficile à administrer ?
Plus difficile qu'une solution commerciale :
la console Acid ne permet pas de rejouer les scénarios. Ce
qui signifie qu'on ne peut pas lui demander de retracer de façon
conviviale le chemin suivi par chaque attaque sur le réseau.
Il faut donc analyser les logs soi-même, ce qui est nettement
plus laborieux. Et il y a un autre problème : on ne
peut pas mettre à jour les signatures de chaque IDS depuis
un poste distant. Il faut donc installer les nouvelles définitions
soi-même, sur chaque sonde.
Le temps passé
sur l'administration est plus long, ce qui fait monter la facture.
Quid de l'argent investi dans le déploiement ?
Ici il n'y a pas vraiment de différence notable -
à mon sens. Une sonde commerciale met autant de temps à
être déployée qu'une sonde libre, c'est à
dire une demi-journée. Prenons un exemple : il nous
a fallu 5 jours pour déployer une console et cinq sondes
chez CityCom. En sachant que la journée de travail est facturée
1000 euros. Je ne sache pas que cela soit fort différent
des tarifs pratiqués par les intégrateurs d'offres
commerciales.
Est-ce vraiment
intéressant au final ?
L'administration du système est incontestablement
plus laborieuse, nous en sommes conscients. C'est pourquoi nous
proposons un forfait de 6 700 euros par mois pour le support
intégral de la technologie. Un forfait qui ne comprend évidemment
pas la veille quotidienne sur les alertes du système :
ce travail incombe à l'administrateur réseau. Le prix
de 6 700 euros est sans doute un peu plus cher que celui pratiqué
par les intégrateurs de technologies commerciales, mais il
ne faut pas oublier que le ticket d'entrée chez eux se compte
en diaines de milliers d'euros.
Et chez vous ?
Chez nous, il suffit d'investir dans un serveur,
le reste est en licence GPL. Hors intégration, la facture
se compte donc en milliers d'euros. Le gros avantage du libre, c'est
ici encore son prix.