Est-il bien raisonnable pour une banque d’outsourcer son réseau ? ” Nous demandons des engagements de résultats “
, répond Michel Dubar, responsable des études techniques sécurité de la Société Générale. En septembre dernier, la banque a confié à un grand ” outsourceur ” national une partie de son réseau, à la suite d’une étude menée pour la partie sécurité avec CF6 (groupe Telindus). Sur cette infrastructure devenue sa propriété, ce prestataire devra assurer une disponibilité différenciée pour les postes de travail, les serveurs et le routage.
Des contraintes maximales
Le service de transport est en cours de déploiement. Les services de sécurité seront basculés par la suite. En cas de dégâts des eaux ou d’incendie, un repli sur un réseau et un site de secours est prévu. “Nous basculerons si la supervision devient indisponible, si une attaque de type déni de service abat les équipements d’interconnexion, ou s’il y a perméabilité à la suite d’attaques intrusives”, précise Michel Dubar. L’infogérant assure la gestion des alarmes, dont la sécurité, prévenant la Société Générale sur les alertes de niveau 3. À terme, le prestataire supervisera les coupe-feu et les IDS de détection des attaques en temps réel. Les historiques des coupe-feu seront corrélés afin de détecter d’éventuelles intrusions. Les contraintes de la Société Générale sont maximales. “Nous avons besoin d’authentification forte et de chiffrement. Nous avons des contraintes de traçabilité jusqu’au poste de travail, souligne Michel Dubar. Nos utilisateurs nomades se servent de VPN avec authentification forte. Sur notre LAN, les flux sont aussi séparés par des VPN, des VLan seraient trop aisément cassables ! Les flux sensibles empruntent des infrastructures séparées. En ce qui concerne le chiffrement, nous employons des clés d’au moins 128 bits en symétrique. En asymétrique, 1 024 ou 2 048 bits sont nécessaires. Nous préférons des algorithmes de type Cast ou Idea plutôt que DES, trop facile à casser. Nos architectures sont multicouches à pénétration contrôlée. Chaque niveau complète le précédent. Les routeurs filtrants forment une première barrière. D’un niveau à l’autre, on peut se servir de coupe-feu, mais de marques différentes, car il faut une rupture technologique”, poursuit-il.
Les menaces extérieures, plus nombreuses
Entre chaque niveau, des serveurs proxies spécifiques relayent les trafics. “Tout flux doit être examiné “, insiste Michel Dubar. La banque s’appuie sur la console centrale de supervision Patrol, de BMC Software, tandis que des règles d’analyse accélèrent les tâches. Les outils de détection d’intrusions remontent beaucoup d’informations et nécessitent des tris. “Nous n’utilisons ni SNMP ni Telnet : il y a trop de trous de sécurité. Nous mettons en ?”uvre une technique de supervision plus astucieuse, continue Michel Dubar, qui préfère ne pas détailler. Les risques internes restent les plus importants. Mais, la croissance des attaques externes est très forte : nous avons des alertes tous les jours !”La lutte antivirale n’est pas externalisée. “Dès 1995, le produit de McAfee n’était plus gérable à grande échelle. Les administrateurs installaient des disquettes de mise à jour s’ils y pensaient”, commente Christian Perret, responsable de la cellule antivirus. La banque recherchait un logiciel avec module résidant sur différentes plates-formes. Son choix s’est porté sur Sophos Sweep, déployé sur la centaine de serveurs centraux, puis sur cinquante mille postes dans toutes les agences : “Seuls nos serveurs de mails possèdent des antivirus différents (Symantec et Trend Micro). Nous ne mettons pas tous nos ?”ufs dans le même panier !”
La réactivité fait la différence
Le déploiement et l’administration sont des contraintes aussi importantes que le taux de détection (souvent identique entre produits). “Nous faisons une seule installation sur un serveur. Des scripts installent les composants au démarrage du poste de travail, explique Christian Perret. La mise à jour arrive via FTP. Elle est testée sur différents serveurs, puis transmise aux administrateurs afin qu’ils l’implémentent sur leurs serveurs. Une dizaine de jours s’écoulent entre la réception de la nouvelle base et son déploiement. Nous aimerions réduire ce délai.”En cas d’urgence, Sophos avertit la banque d’une nouvelle signature. “Si elle arrive avant 17 heures, nous la testons, et elle est disponible le lendemain matin”, précise Christian Perret. Pour un nouveau virus, l’éditeur a fourni une nouvelle signature en moins de douze heures. “L’administration centralisée et la réactivité de l’éditeur font la différence”, conclut Christian Perret.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.