Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Consentry : La solution NAC adoptée par la CCR

octobre 2007 par Marc Jacob

Philippe BREMARD, RSSI du Groupe CCR (Caisse Centrale de Réescompte), s’appuie depuis 5 ans sur Vipawan pour la gestion de son réseau et la sécurité de son système d’information. Il aborde son projet NAC et motive son choix de la Solution Consentry.

La CCR et ses filiales sont des acteurs majeurs dans la gestion d’actifs. Nous gérons plus de 18 milliards d’euros pour le compte de nos clients. La disponibilité, la traçabilité et la gestion des droits sont donc des préoccupations de sécurité stratégiques pour la CCR.

Nous considérons qu’il est important d’avoir un niveau de sécurité aussi performant tant au niveau du périmètre qu’au niveau du réseau. Si nos applications métiers permettent nativement de respecter les contraintes de disponibilité, traçabilité et de gestion des droits, il nous faut, en revanche, faire évoluer notre réseau.

Il y a 5 ans, nous avons bâti notre réseau local autour d’une logique de haute disponibilité et de performance. Sa conception ne nous permet pas aujourd’hui d’appliquer efficacement les nouvelles politiques de sécurité qui sont nécessaires pour parer aux nouvelles menaces.

Après avoir étudié les approches traditionnelles, établies sur la base d’une segmentation par de très nombreux VLAN et un routage assuré par des pare-feux, nous avons considéré que leurs impacts pouvaient être critiques, donc risqués :

• Les habilitations au sein de la CCR sont établies par groupe d’utilisateurs et sont très fines. La notion de VLAN ou de filtrage basé sur des adresses IP amoindrirait cette finesse nécessaire.

• Un passage en IP fixe serait obligatoire mais impliquerait un temps de préparation et de validation des applications métiers trop important et trop lourd.

• L’ajout de VLAN et de routage segmenterait encore plus notre architecture, la rendant encore plus complexe.

• Le ratio densité de port / performance / prix des pare-feux conventionnels est faible. Tant l’évolutivité du réseau interne que ses performances en seraient bridés.

Appliquer les techniques de protection du périmètre au cœur du réseau interne aurait pu être une solution. Mais la difficulté de gestion au quotidien qui en résulterait, ferait peser un risque sur l’efficacité réelle dans le temps d’un tel projet.

Notre partenaire Vipawan nous a suggéré de considérer le concept de Consentry Networks, éditeur américain, afin d’éviter tous les obstacles évoqués.

En tant que RSSI, j’essaie d’envisager les points d’impact négatifs liés à la mise en œuvre d’un projet ; tant d’un point de vue technique, qu’en terme d’investissement et de consommation de ressources.

Consentry nous permet :

• D’éviter tout impact sur la topologie et les performances du réseau actuel.

• De déployer simplement et rapidement, en cœur de réseau et sans modification de l’existant.

• D’appliquer des politiques de filtrage réseau, tant en fonction de l’identité des utilisateurs que des groupes auxquels ils appartiennent.

• De réaliser une segmentation réseau efficace sans pour autant créer de VLAN ou modifier les plans d’adressage IP.

Parmi les fonctionnalités de la solution Consentry, ce que je trouve également performant, c’est la possibilité :

• D’identifier des utilisateurs internes sans impact sur les postes grâce à l’utilisation de l’authentification passive Kerberos (observation des requêtes de login Windows) qui lie identifiant utilisateur, IP adresses MAC.

• D’avoir une réelle visibilité de la matrice des flux et des rapports d’activité grâce à la console centralisée de supervision et de contrôle.

• D’authentifier les prestataires externes ne disposant pas de compte dans l’Active Directory par utilisation du portail captif inclus dans le produit.

• De mettre en quarantaine des postes non conformes grâce à l’option de vérification de l’intégrité du poste de travail (pour les prestataires externes dans un premier temps, pour le personnel CCR à terme).

• De détecter d’éventuelles menaces de type 0-DAY et des anomalies réseaux grâce à la fonction d’analyse comportementale.




Voir les articles précédents

    

Voir les articles suivants