Passer au contenu

Adapter les consoles de supervision

Il peut être tentant de confier aux consoles de supervision la gestion des outils de sécurité. Hélas, elles ne se révèlent pas à la hauteur de la tâche.

Qui peut le plus peut le moins. Au premier abord, cet adage semble aller comme un gant aux outils de supervision de réseau : les grandes consoles de Tivoli, HP ou Computer Associates disposent des capacités de remontée d’événements, de corrélation et de centralisation nécessaires à la surveillance des équipements. Mieux, elles permettent bien souvent de prendre la main sur des outils réseaux afin d’en changer la configuration. Alors pourquoi pas la sécurité ?“Avec OpenView, nous traitons la sécurité de la même manière que n’importe quelle ressource critique du système d’information par le biais de plug-in. Il en existe pour les bases de données, les systèmes d’exploitation, mais aussi les IDS ou les coupe-feu”, commente Alain Roche, chef produit logiciel chez HP. L’idée semble donc bien être de banaliser la gestion de la sécurité en l’intégrant avec les indicateurs traditionnels du système d’information.

Un gros travail de corrélation

Or, comme met en garde Claude Cangelosi, directeur de la cellule Intégration Sécurité de CF6-Telindus, “ce n’est pas une bonne idée de vouloir intégrer l’administration de la sécurité à ces consoles. Car cela revient à tout mettre à plat, et à faire en sorte que tout le monde voit tout. Or, l’administrateur réseau ne devrait pas voir les log des coupe-feu, ni même gérer leur configuration”. Sans oublier que, si la supervision d’un réseau est une activité passive, veiller à sa sécurité exige de savoir réagir en temps réel à une attaque. “Les utilisateurs de ces consoles généralistes connaissent le réseau, SNMP, mais ce ne sont pas des spécialistes de la sécurité”, confirme Thierry Evangelista, consultant sécurité chez Enterasys Networks. “L’expertise sécurité n’a rien à voir avec celle du réseau”, surenchérit Jean-Pierre Quemard, directeur de la BU sécurité d’EADS Telecom. Et confier en plus la gestion de la sécurité à ces consoles n’est pas simple : “Ces produits sont vraiment très complexes. Quatre ou cinq mois de travail sont nécessaires avant de corréler des incidents de sécurité”, fait remarquer Luis Delabarre, directeur de projet chargé de la partie supervision chez Thales Secure Solutions. Sans cet important travail de corrélation, la console ne sert à rien face aux incidents de sécurité. “On va centraliser les événements, mais il n’y aura aucun tri : ils vont arriver en même nombre sur la console”, indique Stéphane Woillez, consultant sécurité chez IBM-Tivoli. Ainsi, même chez les éditeurs de ces consoles génériques dont le prix s’échelonne de 80 000 à 100 000 euros, on est conscient du problème. Leur réponse passe par des produits spécifiques. Hormis chez HP – pour qui la sécurité se limite à chiffrer les échanges entre les agents et la console OpenView -, tous ont des offres fiables pour gérer la sécurité : Tivoli a ainsi Risk Manager et Computer Associates, le portail Clever Path. Des outils qui quittent le monde de la supervision pour défricher le marché émergent des Security Information Managers.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Saiz