Le conseil général de la Manche mise sur l’IDS de Sourcefire pour sécuriser son infrastructure

Dès 2002, la collectivité territorialle a commencé à prendre en compte les problématiques de sécurité sur son système d’information, sous l’impulsion, notamment, de la multiplication des services Web. Alors qu’elle avait initialement misé sur les sondes de détection d’intrusion (IDS) signées Symantec, elle a dû se trouver un autre fournisseur d’IDS. Et s’est tournée vers Sourcefire avec, à la clé, des gains fonctionnels et économiques non négligeables.

Stéphane Riffard, responsable de la cellule sécurité au sein de la DSI du conseil général de la Manche, plante le décors : «nous gérons les applications pour 170 métiers référencés. Un ensemble très large qui s’étend de l’entretien des routes au développement économique en passant par le social et la culture. Pour chaque application, les besoins en sécurité sont différents.» A cette complexité s’en ajoute une autre : celle de l’étendue géographique couverte : «nous avons 180 sites distants dont 80 équipés en informatique. Pour la plupart, on utilise des interconnexions MPLS mais, pour certains sites, c’est encore du Numeris.» Et là encore, le paysage ne manque pas de diversité : «par endroits, il n’y a qu’un poste de travail. Dans d’autres, on en compte 90, comme dans le centre d’aide sociale de Cherbourg», explique Stéphane Riffard. 

Mais c’est bien le développement et la multiplication des services web, dès 2002, qui a poussé à la prise en compte de la sécurité, ouverture des systèmes oblige : «nous avons nommé un responsable de la sécurité, sur les aspects techniques principalement. En 2004, la structure s’est étoffée et nous avons décidé d’avoir recours à de l’infogérance pour disposer d’un service h24. Le temps et les ressources nous manquaient pour gérer correctement les pare-feux et les systèmes de détection d’intrusion». Du coup, c’est le prestataire Intrinsec qui est retenu avec, derrière lui, Symantec et, en particulier ses sondes de détection d’intrusion (IDS), installées sur les équipements réseaux «en amont et en aval des pare-feux.» Mais en 2008, Symantec a cessé de commercialiser ses sondes d’IDS. 

De Symantec à Sourcefire

L’éditeur a alors orienté les équipes du conseil général vers les sondes de Sourcefire. «Nous les avons rencontrés une première fois à l’automne 2008, à l’occasion des Assises de la Sécurité. Puis nous nous sommes revus début 2009 pour étudier plus précisément la solution, avant de l’acquérir mi-2009. Dans un premier temps, nous voulions la tester, la qualifier et la prendre en main.» Puis, en début d’année, les sondes Sourcefire ont été déployées. Mais pas question de changer de partenaires pour autant : «la prestation est bonne, pourquoi remettre en concurrence nos prestataires avant le terme du contrat ?»

Au quotidien, si Stéphane Riffard n’a pas observé de changement marquant dans la qualité de service, il n’en relève pas moins quelques avancées appréciables : «lorsque l’on reçoit les statistiques, tous les mois, on constate moins de faux positifs. Et les alertes qui nous sont remontées sont plus pertinentes.» Et si ces avancées profitent d’abord à Symantec et à Intrinsec, le conseil général de la Manche en retire tout de même quelques bénéfices : «on gagne en sérénité. Mais, à coût égal, nous couvrons plus d’équipements avant.» En outre, alors que les sondes Symantec étaient positionnées en détection simple, celles de Sourcefire peuvent aujourd’hui couper des flux illégitimes. 

Un meilleure visibilité sur l’infrastructure

Mais ce n’est pas tout. Si la supervision du réseau est assurée, en continu, par les partenaires du conseil général, ses équipes ont «souhaité garder un accès en lecture sur l’ensemble des équipements, pour pouvoir voir à tout moment ce qui se passe.» Et là, les gains fonctionnels sont nets : «on peut déployer une nouvelle application et analyser son comportement. Cela nous arrive une à deux fois par semaine. [...] Le portail de service de Symantec nous donnait accès aux logs des équipements mais ses fonctions de recherche n’étaient pas assez poussées,» explique Stéphane Riffard.

En outre, le responsable sécurité exploite un modèle spécifique de la solution de Sourcefire, RNA : «il travaille sur les adresses IP et MAC et peut cartographier les hôtes pour lesquelles il voit passer du trafic. Il identifie aussi les systèmes d’exploitation et les flux. Ce qui nous permet d’affiner les politiques de sécurité et de détecter les vulnérabilités machine par machine. Par exemple, si un serveur Linux est attaqué selon des schémas d’agression conçus pour le monde Windows, ce n’est pas grave.» Mais le module RNA lui permet également de vérifier la conformité de ses systèmes : «par le passé, cela nous a permis de réaliser qu’une machine Windows avait encore NetBIOS actif après son passage d’un réseau de test à un réseau de production.» Au-delà, le module RNA «nous permet d’être alertés lorsque des flux de données non prévus se manifestent.»

Sécuriser les serveurs virtualisés

Plus loin, Stéphane Riffard prévoit de tester les appliances virtuelles de Sourcefire «pour sécuriser nos serveurs sur ESX de VMware. Pour l’instant, nous n’utilisons que les fonctions de pare-feu intégrées pour garantir le cloisonnement entre VLAN sur les hyperviseurs.» Mais ça, ce sera pour 2011.

Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)

Close