Le ministère du travail met le spam au chômage technique

Ministère majeur de l'Etat français, le ministère du travail, des relations sociales et de la solidarité rassemble quelques 12 500 agents répartis sur pas moins de 250 sites. Pour ces employés, parmi lesquels figurent de hauts fonctionnaires, la messagerie électronique est une application indispensable à l'exercice de leurs missions au quotidien.

Direction informatique et sécurité des systèmes d'information doivent par conséquent veiller à la bonne gestion des près de 16.000 boîtes aux lettres électroniques, et garantir leur disponibilité. Pour le RSSI du ministère du travail, cela consiste notamment à déployer des barrières pour filtrer le spam. Ce sont en effet plus d'1 million de messages non sollicités qui affluent chaque mois, parmi lesquels des virus en forte proportion.

Plusieurs critères ont prévalu au choix de la solution. Il importait ainsi de pouvoir s'appuyer en matière de traitement du spam sur l'expérience d'autres administrations afin d'opter pour un produit sûr et fonctionnellement abouti. Les références de l'éditeur étaient par conséquent un élément déterminant.

En outre, le ministère ayant une politique forte d'externalisation de son informatique, il souhaite pouvoir diminuer la charge de travail consacrée à l'administration. Déjà convaincu par le concept des boîtiers UTM, le RSSI opte donc pour une solution sous forme d'appliance, moins exigeante en termes de maintenance.

Sur la base de ces critères, Symantec, Ironport et Goto Software sont notamment écartés au profit des appliances RazorGate de Mirapoint. Deux RazorGate 100, redondantes sont ainsi déployées sur les deux accès Internet dédiés. Un troisième boîtier, RazorGate 350, sert quant à lui à la gestion des quarantaines.

Les agents peuvent ainsi créer leurs propres listes de filtrage et réacheminer un message qui aurait à tort été considéré comme du spam. "Nous avons souhaité une architecture avec quarantaine personnalisée par les agents afin qu'ils aient la possibilité de gérer eux-mêmes leur messagerie, mais également afin de diminuer l'administration", précise Fabrice Pizzi.

Multicouche, l'appliance comprend un premier filet de greylisting qui a lui seul arrête 75% du spam. Cette technique consiste à exiger une confirmation de l'émetteur du courriel. Une opération que ne peuvent effectuer les bots, habituellement utilisés dans l'acheminement des pourriels. La mise en place de cette architecture est l'occasion pour le RSSI de constater l'ampleur du spam ciblant le ministère.

"Sur la base d'un sondage,- ne disposant pas d'outils pour remonter des données-, nous avions réalisé notre propre évaluation selon laquelle le taux de messages non-sollicités était de l'ordre de 10%. Grâce aux appliances, nous avons pu constater qu'il était en vérité de 88%. Si nous l'avions su à l'époque, nous aurions eu le budget plus aisément", souligne le RSSI.

Outre une diminution drastique à 31 virus maximum par jour, contre 33 000 en 2004 (grâce notamment au filtrage de 50 types de pièces jointes parmi lesquelles ne figurent pourtant pas les exécutables), le ministère a pu dégager de la bande passante et améliorer son espace de stockage dévolu à la messagerie. Toutefois, le projet n'est pas allé à son terme sans quelques complications liées à l'architecture de son système d'information et non à la solution elle-même.

En effet, s'il n'aura fallu que 30 jours pour déployer les boîtiers antispam et procéder au tunning, 60 jours/homme supplémentaires furent nécessaires pour régler la problématique de synchronisation des annuaires impliquée par l'application des quarantaines. Pour ne pas solliciter son annuaire principal, deux annuaires furent donc mis en place sur les passerelles et un troisième en DMZ, faisant office de relais.

Enfin, Fabrice Pizzi relève un dernier élément incontournable dans la réussite d'un projet de cette nature : l'accompagnement des utilisateurs avant et pendant l'installation. "Cela comprend la sensibilisation des agents mais aussi des administrateurs, ainsi que la formation à l'outil.

Il faut également communiquer sur la politique de sécurité et la charte d'utilisation interne. Comme pour le filtrage d'Url, c'est un devoir éthique et si vous ne communiquez pas ou mal, vous vous exposez à une réaction de rejet instinctive", avertit-t-il.