Pour accéder à distance au système d’information de leur entreprise, les personnels itinérants empruntent des tunnels cryptés, via Internet, qui constituent les réseaux privés virtuels (RPV). Le standard IPSec (IP Security), élaboré par la communauté Internet, a contribué à relancer l’intérêt pour ces RPV mobiles. La société Zodiac, qui dispose déjà d’un réseau international à relais de trame, teste depuis trois mois une solution mettant en ?”uvre des coupe-feu de Check Point Software et des clients SecuRemote installés sur près d’une trentaine de PC mobiles. “Notre réseau couvre très bien les États-Unis et l’Europe, mais l’Afrique partiellement et l’Asie pas du tout. Dans ces pays, nous privilégions le RPV IP pour nos commerciaux”, explique Antonio Fernandez, responsable des réseaux.
Le poids de l’existant
L’architecte réseau qui installe un RPV pour utilisateurs mobiles dispose de plusieurs possibilités. Le routeur, utilisé depuis longtemps pour la connexion à distance, est peut-être la pièce maîtresse du RPV, tout comme le coupe-feu que les constructeurs ont enrichi de fonctions de tunnelling. Les entreprises comptant de nombreux itinérants utilisent aussi des équipements spécialisés, tels les concentrateurs, qui gèrent jusqu’à 40 000 sessions simultanées. Face à ces offres, quels sont les bons critères de sélection ? Force est de constater qu’une infrastructure de RPV est généralement conditionnée par l’existant. Ainsi, DoubleClick, société spécialisée dans la publicité sur Internet, est restée dans une logique de routeurs, comme l’explique Gad Stanislas, directeur des opérations internationales : “Nous avions commencé à relier nos sites à travers le monde par RPV avec des routeurs Cisco, nous avons donc continué avec le client RPV Cisco pour les utilisateurs mobiles. C’est l’option la moins onéreuse, d’autant que nous ne payons pas de licences supplémentaires pour les logiciels clients.”Chez Freudenberg SAS, fabricant de pièces à base de caoutchouc élastomère pour automobile, la solution retenue repose sur un boîtier Nokia IP Series et sur le logiciel Check Point VPN-1. “Le coupe-feu protégeant notre accès à Internet est la porte qui sert aussi à établir le tunnel IP avec les utilisateurs nomades. C’était la solution la plus logique, sans compter que le matériel qui sert de coupe-feu a aussi une fonction de routage”, commente Jean-François Quinet, directeur des systèmes d’information. Intérêt de cette architecture ? Le déchiffrage étant fait au niveau du coupe-feu, celui-ci peut contrôler la totalité du trafic passant par Internet, y compris celui généré par les utilisateurs itinérants. Mais il arrive aussi que l’accès au système d’information par les mobiles nécessite de modifier radicalement l’infrastructure existante. Ainsi, chez WFinance, il y avait incompatibilité entre les différentes pièces du puzzle. “Au départ, nous avions créé des RPV pour nos agences avec des routeurs. Mais le Cisco 2610, qui était initialement au siège, n’acceptait pas de clients RPV mobiles. Nous l’avons donc remplacé par la Firebox II que nous préconisait Easynet, mais elle n’était plus compatible avec les routeurs des agences, que nous avons donc dû changer à leur tour !”, rapporte Hervé Girod, responsable du réseau.
Le défi de la simplicité
L’obstacle principal pour l’installation d’un RPV pour les itinérants, n’est donc plus le niveau de sécurité assuré, mais la complexité de l’architecture à installer. À plus forte raison quand l’objectif est de leur donner les mêmes facilités d’accès que s’ils étaient à leur bureau. C’est le défi relevé par Stéphane David, responsable télécoms et réseaux du groupe de réassurance Scor : “Nous voulions une seule méthode d’authentification et une seule politique de sécurité pour les utilisateurs mobiles et fixes. Or comme il n’y avait pas de solution toute faite, nous avons dû monter les briques nous-mêmes.” L’infrastructure a nécessité un gros travail de conception et d’intégration mené avec l’aide de la SSII Atos. Équipés d’un logiciel Secure Client de Check Point Software et d’une clé électronique d’authentification lue sur le port USB de leur PC, les 250 mobiles se déplacent sur tout le globe. Ils établissent des tunnels chiffrés avec un boîtier Nokia IP 530 équipé du logiciel Check Point VPN-1. Côté sécurité, la pierre angulaire du dispositif est le serveur d’authentification Radius, compatible avec les équipements du réseau et la base de données SAM (Security Accounts Manager) qui gère le domaine de Scor.Outre la sécurité, l’infrastructure de RPV pour utilisateurs mobiles doit assurer la continuité du fonctionnement. Les équipements d’accès sont doublés et des mécanismes de basculement automatique installés. Mais lors du basculement entre deux équipements les produits n’assurent pas tous le rétablissement des sessions en cours.Autre opération complexe : l’installation et le paramétrage des logiciels clients sur les PC nomades. Le mieux est d’adopter une approche “industrielle”, en standardisant les postes de travail aux plans matériel et logiciel, comme l’ont fait WFinance et Scor. De même, gérer les comptes des utilisateurs requiert une organisation solide. C’est pourquoi Hervé Girod a confié toutes les questions de sécurité à Easynet, son FAI. “N’étant pas administrateur de sécurité, nous avons tout délégué à un opérateur unique”, explique-t-il. Lors de la création d’un nouveau compte utilisateur, les informations sur le profil d’accès sont communiquées à Easynet qui génère, avec la Firebox II, la clé personnelle qui sera installée par le service informatique de WFinance sur le PC mobile.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.