Sergey Nivens - Fotolia

Le CHU de Fougères sécurise accès Web et e-mail avec Barracuda Networks

L’établissement s’appuie depuis un an et demi sur deux appliances de l’équipementier pour protéger son infrastructure. L’efficacité est au rendez-vous mais la protection n’est toutefois pas totale.

Cet article se trouve également dans ce contenu premium en téléchargement : Information Sécurité: Information sécurité 7 : Tout pour s'y retrouver dans la gestion des menaces

Le CHU de Fougères utilise, depuis septembre 2014, deux appliances signées Barracuda Networks, pour sécuriser ses accès Web et sa messagerie électronique : une Web Security Gateway 610 avec un maximum de 400 Mbps de bande passante, et une Email Security Gateway 400.

Yannick Hervé, responsable informatique de l’établissement, ne cache pas satisfaction, notamment pour la seconde appliance : « nous protégeons 400 boîtes aux lettres, et de nombreux alias. Plus d’un message sur deux est bloqué ; l’appareil fait son travail », et cela même alors que la fonction de mise en quarantaine n’est pas activée. Les messages suspects sont marqués ; à charge pour le client de messagerie, sur le poste client, de faire le reste.

Mais l’étanchéité n’est pas totale et Yannick Hervé a bien conscience de l’illusion que représente l’espoir d’une sécurité absolue. Face aux rançongiciels cryptographiques, il se dit ainsi « concerné, comme tout le monde », reconnaissait au passage une compromission épisodique à l’automne dernier, « mais rien depuis ». Son secret ? Ne pas se reposer sur les solutions technologiques : « nous travaillons beaucoup sur la communication et la sensibilisation des utilisateurs en interne. Nous leur expliquons les précautions à prendre avant d’ouvrir un e-mail et surtout une pièce jointe ». Et l’expérience ne peut que lui donner raison : « dans certains cas, les messages malveillants passent avec un score indiquant un niveau de propreté supérieur à celui de messages que l’on pourrait envoyer en interne ». Et ce n’est pas faute de disposer de bases de signatures à jour : lors de l’entretien avec la rédaction, celle-ci s’est avérée avoir été mise à jour 30 minutes plus tôt.

Pour les accès Web, le CHU de Fougères s’appuie sur des règles établies en lien avec la politique de sécurité interne. Des services comme la prise en main à distance sont ainsi bloqués. L’accès offert aux patients n’est toutefois que peu limité. Mais pour les utilisateurs internes, la réflexion est en cours pour affiner les restrictions en fonction des populations et des terminaux – et tout particulièrement les postes partagés. Yannick Hervé souligne toutefois une limite : l’impossibilité de disposer de l’adresse IP interne à l’origine d’une connexion HTTPS. Un souci alors que ses équipes s’appuient sur cette donnée pour certaines règles de routage appliquées en amont, au niveau des pare-feu Netasq/Stormshield.

Ce sont eux, d’ailleurs, qui ont conduit le CHU à retenir les équipements Barracuda : il s’agissait de disposer de fonctionnalités plus avancées en matière de sécurisation des connexions à Internet et de la messagerie électronique. A l’occasion d’un appel d’offres, l’équipementier ne s’est pas révélé le moins cher, mais peut-être le plus raisonnable, avec des possibilités de paramétrage très étendues et, surtout, une facturation plus lisible que d’autres : « beaucoup de solutions sont facturées au nombre de boîtes mail protégées ou d’utilisateurs simultanés, ce qui n’est le cas ici ». Sans compter le renouvellement des matériels au bout de quatre ans à condition de continuer à payer la maintenance.

Après un an et demi d’expérience, Yannick Hervé fait état d’équipements fiables, « qui fonctionnent de manière assez autonome ». Le déploiement s’est fait en l’espace de 4 jours, avec transfert de compétence assuré par l’intégrateur Neurones IT. Mais l’interface souffre un peu de sa richesse, au point « qu’il est parfois difficile de trouver l’élément de configuration recherché – ce qui est peut-être aussi lié au fait que l’on n’intervienne pas sur les configurations tous les jours ». Le véritable regret du responsable informatique tient au support, assuré uniquement en anglais. 

Pour approfondir sur Sécurité réseau

Close