Euroclear industrialise la gestion de ses règles de pare-feu avec Algosec

Identifier les vulnérabilités générées par les enchaînements de règles de pare-feu en cascade est « très très compliqué, voire infaisable » résumait Benoît Delrieux, ingénieur sécurité chez Euroclear, à l’occasion d’un atelier organisé aux Assises de la Sécurité, début octobre, à Monaco. Mais cela n’en est pas moins nécessaire, et cela d’autant plus que l’infrastructure lorsque l’infrastructure et complexe et que l’entreprise évolue dans un secteur réglementé.

Depuis 2012, Euroclear utilise ainsi les outils d’Algosec, à commencer par Firewall Analyzer. De quoi obtenir une vision claire de la sécurité de l’infrastructure et de la topologie du réseau. Juste un point de départ qui a permis de passer à l’étape suivante : la mise en œuvre de FireFlow, en 2013, pour la gestion des changements de configuration des pare-feu. Ce qui aura pris 6 mois pour environ 150 équipements.

Auparavant, la situation était relativement classique : les requêtes étaient formalisées dans des fichiers Excel et suivant un processus d’approbation plus ou moins formalisé. Et bien sûr, tout se faisant manuellement. De quoi traiter au maximum 20 requêtes par semaine. Avec comme le souligne Benoît Delrieux, la segmentation réseau n’aide : multipliant les zones, elle augmente les besoins en ressources pour analyser et traiter les requêtes.

FireFlow a d’abord permis d’étudier l’existant. Et de supprimer au passage environ 80 % des règles : tout celles qui n’étaient jamais sollicitées, ou qui étaient couvertes par d’autres, voire celles conduisant à une exposition trop large par rapport au besoin réel.  

Combiné à Firewall Analyzer, FireFlow s’avère redoutablement efficace. Il profite des capacités de cartographie de FireFlow pour détecter le cheminement du trafic. Et permet aux équipes d’Euroclear de gérer 50 requêtes par semaines – tout en étant en mesure de monter à 100. Une matrice de risques a été établies et lorsqu’une survient une requête ne correspondant à aucun risque de la matrice, elle est approuvée automatiquement. Dans tous les cas, des « recettes » ont été établies pour préparer le changement. Et bien sûr, toutes les opérations laissent une trace et s’avèrent, dès lors, auditables. Au passage, cet effort d’industrialisation permet de réduire le risque : « on n’ouvre pas trop large et, surtout, on ouvre au bon endroit », explique Benoît Delrieux. Et c’est d’autant plus vrai que, après implémentation, chaque requête fait l’objet d’un contrôle automatisé : de quoi vérifier que ce qui a été fait correspond bien à ce qui était nécessaire. Et si ce n’est pas le cas, si le changement a été trop souple, une alerte est générée.

Ce travail d’industrialisation ouvre de nouvelles perspectives. La DSI d’Euroclear s’est fixée pour objectif de « simplifier la vie » des propriétaires d’applications et des divisions métiers en leur offrant plus d’autonomie. Et justement, les outils d’Algosec vont lui permettre d’aller par là. A la pile existante va venir s’ajouter BusinessFlow, l’outil de découverte et de gestion des flux applicatifs de l’éditeur. Ses informations auront vocation à être combinées avec celles de la base de données de gestion des configurations, la CMDB, pour obtenir une vision exhaustive des trafics. De quoi détecter du trafic interrompu sans raison ou encore identifier des règles de coupure sans pertinence avec les applicatifs déployés. Et au final, « donner 100 % d’autonomie aux propriétaires des applications pour gérer toutes leurs migrations de serveurs ou de versions ».