Ready For IT : l’influence de la sécurité inquiète les gens du réseau
Les administrateurs réseau sont pris entre deux feux. D’un côté, le SASE risque de les dissoudre dans les équipes sécurité. De l’autre, les objets connectés mettent à mal leurs efforts de standardisation.
Le SASE, la dissolution des équipes réseau dans celles de la sécurité et l’intrusion des objets connectés. Telles sont les trois thématiques liées au réseau qui préoccupaient les entreprises que LeMagIT a pu rencontrer lors du salon professionnel Ready for IT qui se tenait – en présentiel ! – à Monaco fin juin.
« Le SASE ? Cela a beau être une technologie très récente, tout le monde est venu nous poser des questions à son sujet lors du salon », s’exclame un responsable commercial sur le stand de l’équipementier réseau Riverbed.
Comme d’autres professionnels interviewés le même jour, il refuse que son nom soit cité. Crise pandémique oblige, la plupart des fournisseurs américains ont donné ordre à leurs troupes européennes d’éviter encore un peu les manifestations publiques. Ils se font représenter par des intégrateurs locaux. Qu’importe, notre interlocuteur n’a peut-être pas la bonne carte de visite, il a tout de même l’avantage d’être sur le terrain.
« Les entreprises sont bien plus à jour sur les solutions qu’on pourrait le penser. Elles ont compris que le SASE était une extension sécuritaire des offres réseau qu’elles doivent déployer pour travailler à distance. Alors, bien entendu, nous devons encore expliquer les subtilités techniques, mais ce qui importe le plus est que le SASE rende possibles de nouveaux cas d’usage. Le secteur bancaire, par exemple, veut se servir des outils qui monitorent l’efficacité du réseau et fluidifient son trafic, pour détecter aussi des événements de cybersécurité et bloquer les attaques. Leur idée est de réunir les équipes autour de la même base de métriques », dit notre témoin.
La passerelle réseau SD-WAN, un pont pour faire entrer la sécurité
À l’instar des autres équipementiers réseau, Riverbed propose une offre SASE sous la forme de services de sécurité en ligne qui se greffent au-dessus d’un SD-WAN. Pour mémoire, le SD-WAN est le module qui, sur chaque site d’une entreprise, sert à faire la passerelle entre le réseau local et les différentes connexions extérieures : Internet, liens directs vers d’autres sites ou vers le siège, réseaux mobiles 4G/5G, etc. Les entreprises utilisant de plus en plus des connexions Internet publiques, pour accéder à des outils métiers en ligne ou joindre des succursales qui ne sont pas reliées par une fibre privée, le besoin de sécuriser les SD-WAN a rapidement gagné en importance.
L’intérêt de passer par des services de sécurité en ligne, plutôt qu’installer des fonctions identiques dans les SD-WAN serait, selon Gartner, que les règles de sécurité et leur richesse fonctionnelle pourraient être ainsi en permanence à jour. Pour autant, certains observateurs interrogés par LeMagIT lors du salon monégasque Ready For IT suspectent une volonté de réunir en une seule équipe les gens du réseau et ceux de la cybersécurité.
Certains pointent l’économie de personnel du côté des entreprises. D’autres accusent les fournisseurs de vouloir mieux verrouiller les entreprises sur leur marque. D’autant qu’accoler des services en ligne avec une solution sur site permet de vendre l’ensemble sous forme de souscription indéfiniment renouvelable, plutôt que par achats ponctuels, qui suscitent à chaque fois une nouvelle étude du marché.
« La souscription permet d’engager une relation à long terme et c’est la clé pour qu’un fournisseur puisse mieux accompagner son client dans l’évolution de ses projets », tente de justifier notre témoin.
Équipes sécurité, équipes réseau : un rapprochement difficile
« Dans le secteur public, la réunion des sujets cybersécurité et réseau donne ceci : la région a la responsabilité d’administrer tous les matériels informatiques publics sur son territoire, dont les firewalls qui étaient pourtant jusqu’il y a peu sous la responsabilité de l’Éducation nationale. Notre grand chantier du moment est donc de déployer 170 firewalls sur notre région, avec autant de nouveaux serveurs pour les administrer. Notre rôle consistera ensuite à les superviser, à collecter leurs logs. Pour autant, c’est le RSSI de l’académie, donc de l’Éducation nationale, qui reste la plus haute autorité concernant ces logs. C’est lui qui reste le garant de la sécurité. La différence est juste que ce ne sont plus ses équipes qui produisent les logs », témoigne la DSI d’un GIP (Groupement d’Intérêt Public) régional.
Elle aussi refuse que nous publiions son identité : son administration pourrait lui reprocher de ne pas avoir fait valider ses propos par toute une armée de bureaucrates avant de nous les partager. Elle nous dit avoir déjà suffisamment à faire sans se mettre cette épine dans le pied en plus.
« Nous sommes 25 à la DSI du GIP. Nous avons en charge l’administration de 650 serveurs physiques, plusieurs milliers de serveurs virtuels, 45 000 PC, 5 000 tablettes dans les lycées et 4 000 autres dans les collèges. Évidemment, Covid oblige, toutes les collectivités ont en projet le rééquipement des élèves. L’objectif est d’en acheter 22 000 », raconte-t-elle.
Elle enchaîne de nouveau sur la sécurité : « la plupart de ces tablettes sont contrôlées par le MDM Airwatch de l’Éducation nationale. Je n’ai pas ce logiciel, c’est le rectorat qui l’a. La question est de savoir s’ils vont nous céder toute leur infrastructure Airwatch ou si nous devons tout rebâtir. Dans le second cas, en partant du principe que les 7 000 tablettes déjà en circulation sont obsolètes et qu’elles n’ont plus aucun avenir, autant recommencer sur autre chose qui correspondra plus à nos impératifs techniques, de support et de coûts », ajoute-t-elle.
L’enjeu de maintenir des processus éprouvés
Ses impératifs techniques ? Tous les serveurs applicatifs, l’annuaire, les stockages partagés, les sauvegardes, pour les établissements scolaires, comme pour les autres administrations, doivent fonctionner sous exactement le même Linux Debian, avec le même hyperviseur KVM, la même suite d’outils de virtualisation Proxmox et les mêmes réseaux VLAN regroupés par besoins. C’est la condition sine qua non pour garder la main sur la maintenance. Concernant la sécurité, cette DSI est bien plus concernée par la capacité à restaurer des documents sains qu’à protéger les copies en production contre des ransomwares.
« La sauvegarde fait partie du quotidien des enseignants et des élèves, qui ne travaillent jamais sur les mêmes postes et doivent donc tout stocker sur des serveurs. Les gens sont habitués. Tout comme nous sommes habitués à leur restaurer les données qu’ils perdent. Nous avons des processus parfaitement rodés pour y parvenir, même quand – et c’est très fréquent – la personne s’est identifiée avec le login de quelqu’un d’autre avant d’effacer par mégarde un fichier. »
Au cours de la conversation, LeMagIT apprendra que cette région utilise des commandes Linux de base comme solution de sauvegarde.
« Concernant les ransomwares, l’un de nos établissements a été littéralement foudroyé. Foudroyé avec des pluies diluviennes d’attaques derrière ! Le plus long n’a pas été de tout remettre en opération, le plus long a été d’enquêter pour voir comment le malware était rentré. Cela nous a pris quinze jours. Et figurez-vous qu’il ne s’agissait même pas d’une faille sur les firewalls : le responsable de l’établissement avait juste branché un disque dur infecté sur le réseau », lance-t-elle en laissant transparaître son agacement à l’encontre de ceux qui prêchent la dissolution des administrateurs dans les équipes sécurité.
Des objets connectés qui heurtent les règles réseau
Le vrai problème de cette DSI de région n’est de toute façon pas la sécurité, mais les objets connectés. « Les établissements publics se sont mis à vouloir installer des systèmes de badge pour contrôler les accès, des systèmes de vidéosurveillance, des photocopieurs connectés, des sondes connectées… Dans tous les cas, ce sont des solutions propriétaires ! Elles ne s’interfacent avec rien : l’intégrateur vient avec sa solution et il a une peur bleue qu’on lui pique le service qu’il vend derrière ! », lance-t-elle.
Et d’ajouter : « L’intégrateur ne veut pas soumettre sa solution à nos IP, à nos VLAN. Il veut installer sa propre connexion Internet pour relier ses appareils. Nous devons nous battre, nous battre avec acharnement à chaque fois pour lui faire accepter nos règles. Le problème est que ce n’est pas nous qui achetons ces solutions, ce sont les établissements qui le font de manière individuelle. »