Global Security Mag : Pouvez-vous nous présenter votre entreprise ?

David Crespin : Le Conseil général dispose d’une compétence globale pour tout ce qui concerne la gestion de son territoire départemental et d’une large autonomie administrative. À ce titre, il assure différentes missions qui touchent à la vie quotidienne et aux préoccupations de sa population dans des secteurs spécifiques tels que, l’action sociale et médico-sociale, l’équipement des routes et les transports, l’éducation, le développement économique et social, la culture, l’environnement, le tourisme, l’agriculture, le sport.

Dans ce cadre, la Direction des systèmes d’Information (DSI) doit apporter des solutions aux différents métiers de la collectivités qui ont chacun leurs propres impératifs de sécurité

GS Mag : Quelle est la taille de votre système d’information ?

David Crespin : La collectivité est constituée d’environ 1000 collaborateurs, d’un parc de 750 PC et d’environ 50 serveurs répartis sur une cinquantaine de sites couvrant la totalité du Département. Tous les sites sont connectés au site central au travers d’un réseau privé de type VPN opérateur par des liens SDSL ou ADSL. Cette architecture informatique de type centralisée permet notamment, d’appliquer facilement et uniformément la politique de sécurité sur l’ensemble des sites. La plate-forme commune de sécurité Internet située à Digne les Bains est composée en autre, d’un Firewall, d’une solution antivirus, d’une solution antispam, et depuis bientôt deux ans de la solution de filtrage URL édité par la société Olféo.

GS Mag : Quels sont les éléments qui vous ont amené à choisir la solution de filtrage d’Olfeo ?

David Crespin : Il y a un peu plus de deux ans, nous avons réalisé une étude de marché des solutions de filtrage. Notre objectif était d’une part de disposer d’un outil performant, fiable, et répondant à nos critères fonctionnels et d’autre part conforme à la législation française en vigueur. La solution Olféo s’est détachée des solutions concurrentes, essentiellement de part son approche et de par son coté « franco-français ». Dans notre contexte de grande diversité de métiers, ce dernier point s’est avéré prépondérant dans notre choix. En effet, nous devions être certain que la solution référence évidement les sites Français facilement identifiables ou fortement consultés mais tout aussi bien ceux qui le sont très peu. Par ailleurs, il était tout aussi important pour nous qu’Olfeo propose une solution de filtrage répondant parfaitement à la législation française qui est souvent plus restrictive que la législation anglo-saxone. Enfin, la proximité et l’organisation de la société Olfeo nous faisait présager que nous pourrions bénéficier d’une réactivité importante en cas de problèmes ou de demandes. Or depuis deux ans, nous avons pu constater à de nombreuses reprises que cela n’était pas qu’un concept. En effet, la possibilité de bénéficier d’un support assuré en direct par les équipes techniques d’Olfeo est une excellente garantie de dépannage.

Il y a bien sûr d’autres éléments d’appréciation qui nous ont permis de retenir la solution Olféo tels que la richesse des fonctionnalités, la possibilité de choisir une plate-forme logiciel ou une appliance dédiée.

GS Mag : Pour son déploiement, avez-vous eu recours à un intégrateur ?

David Crespin : La mise en place de la solution a été réalisée par la société RDI, un intégrateur basé à Nîmes (Gard).

GS Mag : Avez-vous rencontré des problèmes techniques lors de la phase de déploiement ?

David Crespin : D’un point de vu technique le déploiement n’a pas été un véritable problème. La difficulté consiste à traduire au travers d’une politique de filtrage simple et efficace les besoins d’accès à Internet souvent complexes d’une entreprise. En effet, plus généralement, c’est plus simple de réaliser une configuration informatique lorsqu’on nous demande du « blanc ou noir », mais beaucoup plus complexe lorsqu’on nous demande du « gris ». Or c’est souvent le cas, lors de l’expression des besoins d’accès à Internet !!! D’où la difficulté de définir une politique de filtrage répondant à nos besoins tout en restant simple pour un temps d’exploitation faible.

Par ailleurs, nous avions aussi la volonté de limiter les usages à forte consommation de bande passante et de définir une politique de filtrage différenciée à plusieurs niveaux. Si la version 4 n’apportait que très peu de solution depuis la version 5 nous avons pu constater de fortes améliorations. Aujourd’hui avec la V5 nous pouvons d’une part définir une politique de filtrage avec un niveau de granularité à la fois très fin et très souple « On se rapproche grandement du gris souvent demandé » et d’autre part de réguler ou stopper notamment les téléchargements ou sessions MSN, P2P à l’aide respectivement de l’option Cache QoS et du filtrage protocolaire.

GS Mag : Vous utilisez depuis le mois de juin la version beta de la nouvelle solution Olfeo et vous venez d’acquérir cette version, quels sont les points forts de la solution de filtrage url ?

David Crespin : Effectivement, nous utilisons la version 5 depuis déjà plusieurs mois. Elle a été tout d’abord déployée en test pour quelques collaborateurs de la DSI, puis depuis septembre sur une grande partie des PC des services et des directions de la collectivité. Nous espérons terminer ce déploiement début décembre. Nous trouvons que la version 5 apporte de nombreuses améliorations par rapport à la précédente.

Sur la partie filtrage url, elle offre de nouvelles fonctionnalités très pertinentes tel que la possibilité pour un utilisateur d’hériter de plusieurs politiques de sécurité. Le module d’édition de statistiques a été en grande partie redéveloppé. Son interface graphique est plus intuitive avec un visuel amélioré. Enfin, elle propose la possibilité d’avoir de la tolérance de panne en mode secours et très prochainement en mode partage de charge. Nous espérons très bientôt déployer une seconde appliance sur notre site de secours.

Parmi d’autres points forts de la nouvelle solution, la synchronisation avec l’annuaire windows Active Directory (AD) a été amélioré. Désormais chaque fonction clé de la solution dispose d’un service indépendant qu’il est possible d’arrêter ou de démarrer très simplement. Les alertes et les rapports de statistiques peuvent maintenant être reçus par « mail ». Un point intéressant également, les mises à jour logicielles de l’appliance peuvent se faire de façon sélectives et automatiques. Enfin, la base de données a été aussi retravaillée afin de supporter un volume de transaction plus important tout en préservant un niveau de performance satisfaisant. Ainsi en corrigeant ces petits défauts de jeunesse, Olfeo propose maintenant une solution riche en fonctionnalité qui arrive à maturité.

GS Mag : quels sont les améliorations apportées à l’antivirus ?

David Crespin : Concernant l’antivirus, nous avons noté une amélioration notamment dans la transparence des actions réalisées par le module antivirus. Désormais il est possible d’obtenir des informations et des statistiques sur les attaques arrêtées. L’antivirus n’est plus une simple boite noire que l’on active ou désactive, il offre maintenant un niveau de service plus conforme à nos attentes.

GS Mag : quel est votre évaluation des autres nouvelles fonctionnalités, le filtrage protocolaire et la QoS ?

David Crespin : Concernant l’option de filtrage de protocole, c’est une option que nous allons certainement retenir. En effet, aujourd’hui, il est difficile de maîtriser l’accès à des sites qui proposent des services de messagerie instantanée de type (MSN), de poste à poste (P2P) ou encore d’autres services impactant fortement la bande passante Internet. Historiquement, nous filtrions ces protocoles ou services à l’aide de notre firewall mais cela nécessité une exploitation plus complexe pour un résultat pas toujours satisfaisant. Par contre, l’option de filtrage protocolaire proposée par Olfeo sur son proxy devrait nous permettre une gestion de ces services plus fine et plus simple, d’autant que sa classification sous forme d’une liste de services par catégorie nous offre une visibilité rassurante.

Concernant l’option de cache QoS, nous allons certainement la tester pour vérifier si effectivement elle nous permettra d’affecter un pourcentage de la bande passante au téléchargement ou autre service vidéo en ligne de type « streaming ». Nous pourrions ainsi autoriser des services à des périodes horaires de la journée tout en garantissant un impact sur la bande passante uniquement réduit au pourcentage alloué. Car il ne faut pas oublier que la liaison Internet est mutualisé et que notre objectif est de privilégier pour le plus grand nombre de collaborateurs un niveau de performance constant et satisfaisant pour le trafic dit professionnel !

GS Mag : Quel sont vos conclusions sur cette nouvelle version ?

David Crespin : La version 5 me semble être celle de la maturité aussi bien en termes de fonctionnalités proposées que de performance et de fiabilité. Plus généralement, l’empilement sur le traditionnel « proxy » d’entreprise de nouvelles fonctions tels que le filtrage protocolaire, le cache QoS, ou encore l’antivirus, nous éloigne petit à petit de sa fonction première qui était le « cache de page Internet » pour enfin devenir une véritable passerelle globale de sécurité Internet.