L'Education Nationale homogénéise sa sécurité
Afin d'assurer la sécurité de plus de 10 000 sites et évoluer vers des débits plus élevés, le ministère français migre vers une nouvelle architecture, redondée, comprenant pare-feu, IPS et gestion de logs.
Le ministère de l'éducation nationale est une organisation très déconcentrée, qui se répartit en 30 académies. Au niveau informatique, les académies au travers des rectorats assurent la fourniture de l'ensemble des systèmes d'information pour le périmètre académique. Chaque rectorat a ainsi la charge de l'administration d'une centaine de serveurs et autant d'applications.
Au niveau national, ce sont plus de 10 000 sites (administration centrale, rectorats, inspections académiques, établissements scolaires) interconnectés via un réseau sécurisé nommé RACINE (réseau VPN). En matière d'infrastructure de sécurité, chaque rectorat dispose de deux pare-feu, en redondance, pour filtrer les accès au système d'information.
En 2007, le ministère de l'éducation nationale décide d'homogénéiser ce volet du système d'information afin de diminuer au maximum les problèmes d'incompatibilité sur les infrastructures télécoms. Un chantier de réurbanisation est donc amorcé et un groupe de travail d'une dizaine de personnes issues des académies, est constitué pour élaborer l'expression de besoins préalable à l'appel d'offres.
Cette étape, échelonnée sur huit mois, s'est effectuée avec le concours de la société Devoteam qui a notamment réalisé des interviews auprès des académies avant de proposer un ensemble de scénarios d'évolution. L'objectif : aboutir à un consensus autour de la nouvelle architecture de sécurité.
Des boîtiers UTM Check Point en coupure d'Internet et des IPS Fortinet en cœur de réseau
"Nos principaux besoins étaient de trois ordres. Tout d'abord, disposer d'équipements en adéquation avec nos besoins en termes de débits. De fait, depuis l'acquisition des précédents pare-feu, les cœurs de réseau académiques sont passés de 100Mbit/s à des débits de 1Gbit/s voir 10Gbit/s et les liens Wan de 10Mbit/s à 100Mbit/s voir 1Gbit/s", détaille Cédric Foll, le RSSI du ministère de l'éduction nationale.
"Le deuxième besoin était d'implémenter une solution de filtrage de type IPS afin notamment de sécuriser l'accès à nos sites et applications Web ouverts au publique et faisant régulièrement l'objet de tentatives d'attaques. Enfin, la nouvelle architecture devait nous permettre le développement de nouveaux usages à valeurs ajoutés tels que la téléphonie sur IP ou la visioconférence en offrant une gestion satisfaisante des protocoles SIP et H.323 couplée à des dispositifs de qualité de service ", poursuit-il.
A l'issue d'un dialogue compétitif, la société British Telecom a remporté l'appel d'offres en raison de la qualité technique et organisationnelle de sa proposition, ainsi que de sa compétitivité. BT intervient à la fois comme revendeur, intégrateur et formateur pour les solutions Check Point et Fortinet constituant la nouvelle architecture.
Ainsi selon la taille du site, les rectorats sont équipés de deux boîtiers Check Point UTM-1 570 ou UTM-1 2070 (en coupure d'Internet), et de deux boitiers FortiNet FortiGate-310B (en cœur de réseau), ainsi que de l'appliance de gestion des logs FortiAnalyzer. Pour garantir la disponibilité et des performances optimales, chaque site dispose d'équipements redondés, soit deux UTM Check Point et deux FortiGate.
"L'UTM Check Point était déjà déployé sur plusieurs sites : Lille, Versailles et Amiens. Le dispositif était apprécié pour sa fiabilité et la qualité de l'interface d'administration. Nous n'avions en revanche pas de visibilité sur Fortinet. Mais l'appel d'offres, qui incluait la mise en place de maquettes, nous a permis d'évaluer la qualité du filtrage, de l'administration et de l'exploitation des logs. Sur l'équipement Check Point nous avons fait le choix, notamment pour des raisons de coûts, de ne pas activer les fonctionnalités IPS qui seront assurées exclusivement par les FortiGate ", déclare Cédric Foll.
Clermont-Ferrand fait actuellement office de site pilote. Trois nouveaux sites devraient rapidement migrer vers la nouvelle architecture de sécurité, à savoir Lille, Lyon et Limoge. Au terme de l'année 2009, trois quart des académies auront effectué la migration. Les sessions de formation (à des niveaux administrateur et experts) débuteront en février. En tout, 90 personnes assisteront aux formations au niveau administrateur dont 30 suivront également la formation expert.
| Source : JDN Solutions | |
| Organisation | Education Nationale |
| Intégrateur | BT |
| Solutions retenues | Check Point UTM, FortiNet FortiGate et FortiAnalyzer |
| Coût total du projet | 3 millions d'euros |