Six critères pour choisir une appliance UTM

L’expert Ed Tittel se penche sur les critères auxquels prêter attention lors de l’évaluation d’appliances de gestion unifiée des menaces afin de déterminer le meilleur choix pour son organisation.

Les appliances de gestion unifiée des menaces (UTM) – ces appareils qui combinent de multiples protections réseau au sein d’un seul équipement – sont très populaires dans les environnements de petite et moyenne taille – et gagnent en popularité dans les grandes infrastructures – pour nombre de bonnes raisons. Dans le bon environnement, s’appuyer sur un seul appareil pour couvrir ses besoins en pare-feu, VPN, contrôle applicatif et IPS – entre autres – permet de réduire ses coûts d’investissement et d’exploitation.

Déterminer ses besoins

Avant de se plonger dans la comparaison en profondeur des appliances d’UTM et de commander des unités de test, la première étape consiste à effectivement déterminer les besoins en sécurité de son organisation.

Voici plusieurs questions à prendre en considération :

  • Le besoin porte-t-il sur une solution de protection complète ou sur une solution venant en complément de technologies déjà déployées ?
  • Quels types de protection sont attendus de l’appliance UTM ? Pare-feu, serveur VPN, contrôle applicatif, etc. ?
  • L’intégration d’un point d’accès sans fil au sein de l’appliance est-elle nécessaire ? Seules certains appliances UTM embarquent un point d’accès Wi-Fi, et il s’agit généralement de produits d’entrée de gamme ou pour petites organisations.
  • De quelle bande passante a besoin l’organisation ? Réponse à cette question suppose de collecter des statistiques de l’infrastructure, comme la consommation moyenne de bande passante en entrée et en sortie, le nombre moyen d’utilisateurs accédant à Internet simultanément, ou encore le nombre d’e-mails échangés par jour. Il convient également de prendre en compte les pics de trafic et leur fréquence. Ces données statistiques aident à dimensionner au plus juste l’appliance UTM par rapport à son environnement, et à déterminer si une mise à niveau du réseau doit être envisagée.
  • Combien d’utilisateurs et de terminaux doivent être supportés par l’organisation aujourd’hui ? Et combien d’ici à deux ans ? Les réponses à ces questions aident encore une fois à dimensionner au plus juste l’appliance en tenant compte de la croissance estimée. Les appliances UTM haut de gamme sont pleinement évolutives, mais elles sont aussi plus onéreuses.
  • L’organisation dispose-t-elle d’une protection robuste contre les logiciels malveillants, qui fonctionne bien ? De nombreuses appliances UTM embarquent un moteur anti-virus, mais toutes les organisations ne souhaitent pas remplacer leur solution existante en la matière.

Durant cette analyse en profondeur, il convient de noter précautionneusement les informations recueillies d’affiner la sélection des offres des équipementiers en fonction des besoins réels de l’organisation.

Recommandations générales

Les spécialistes actuels de l’UTM, tels que Fortinet, Check Point, Dell, et Sophos notamment, simplifient l’acte d’achat – hormis en ce qui concerne la question des licences et des souscriptions. Le site Web de l’équipementier fournit généralement une liste des appliances pour les environnements de toutes tailles, présentant clairement les différents détails de performances tels que la bande passante du pare-feu, du serveur VPN, le nombre d’utilisateurs ou encore le nombre et le type de ports.

Attention toutefois à la nomenclature employée. Tous les équipementiers ne font pas référence à leurs produits sous le terme d’UTM. De fait, les appliances UTM sont souvent évoquées avec le terme d’appliances de sécurité. Et certains préfèrent parler de pare-feu de nouvelle génération (NGFW). Mais si ceux-ci intègrent généralement prévention des intrusions (IPS) et contrôle applicatif, les appliances UTM vont souvent bien plus loin.

Chaque site Web présente en outre les fonctionnalités et les contrôles qui sont soit intégrés de base dans l’appliance, soit peuvent y être ajoutés moyennant l’achat d’une licence spécifique ou une souscription. Il est alors important de bien savoir quelles fonctionnalités l’on veut utiliser, parce que les performances des appliances peuvent être affectées – et parfois lourdement – par certaines d’entre elles.

Les critères d’évaluation

Lors de l’étude de l’offre des appliances UTM, les critères suivants méritent d’être comparés attentivement :

  • Equipementier : retenir un leader du marché peut généralement être une bonne idée. On peut estimer qu’il profite d’un bon historique, d’un support de qualité, et propose une gamme de produits bien pensée. Les équipementiers les plus importants du marché disposent en outre de ressources plus importantes pour conduire des efforts de recherche en continu sur les menaces, et peut déployer le savoir en résultant dans leurs produits. La continuité et la compatibilité sont également des facteurs importants. Si une organisation utilise déjà les produits d’un équipementier, se tourner vers lui pour d’autres appareils peut permettre de raccourcir la courbe d’apprentissage des équipes internes.
  • Fonctionnalités : toutes les appliances UTM ne proposent pas les mêmes fonctionnalités. La prévention des fuites de données (DLP) et l’inspection de paquets en profondeur (DPI) sur les connexions SSL ne font généralement pas partie des fonctionnalités de base. Et si les équipementiers tâchent d’offrir les mêmes fonctionnalités sur toute leur gamme, certains modèles peuvent toutefois s’afficher légèrement en retrait. L’analyse des besoins doit là aider à différentier les fonctionnalités critiques des autres. En matière d’anti-virus, il convient de chercher à savoir si l’équipementier dispose de sa propre solution ou s’il a noué un partenariat avec un tiers. Certains s’appuient sur les outils de Kaspersky ou de Sophos, par exemple. Et le choix retenu par l’équipementier peut ne pas être du goût de l’organisation.
  • Performances : Comme indiqué précédemment, les équipementiers publient les débits pare-feu et VPN de leurs appliances. Mais ces chiffres ne sont pas forcément ceux observés en environnement réel. Les tests et les commentaires produits par des sources indépendantes telles que les NSS Labs et Miercom peuvent être précieux.

Conseil : si le temps le permet, il peut être pertinent d’échanger avec d’autres organisations utilisant déjà des appliances UTM pour recueillir leurs commentaires sur leurs performances en environnement de production, ainsi que leur facilité de déploiement, leur compatibilité avec d’autres équipements de protection réseau, et la réactivité du support.

  • Coût : le coût des appliances UTM varie de manière importante, entre entrée de gamme (de 400 à 1200 euros), produits largement évolutifs et matériels à haute disponibilité (plusieurs dizaines de milliers d’euros). C’est là que l’analyse des besoins s’avère payante : elle doit permettre de pointer vers le choix le plus approprié.
  • Licences et souscriptions : hormis quelques exceptions, les équipementiers exigent licences et/ou souscriptions pour l’activation de certaines fonctionnalités, comme le contrôle applicatif, l’antivirus, l’administration en mode Cloud, etc. Dans certains cas, il est possible de configurer ces fonctionnalités, mais elles ne seront actives qu’avec la bonne licence. Ces licences et souscriptions sont proposées pour une durée limitée – un an, deux ans, ou 10 ans – et peuvent inclure – ou non – un support spécifique, comme une assistance 24/7 et le remplacement du matériel en cas de panne. C’est l’un des domaines d’examen qui demande leur plus recherche afin de trouver le meilleur package au meilleur prix. Les coûts de licences et de souscriptions peuvent aisément ajouter à la facture 50 % du prix de l’appliance, voire plus. Et il convient également de se pencher sur les coûts de mise à niveau, dans le cas où le nombre d’utilisateurs ou de terminaux évolue, voire si des fonctionnalités additionnelles sont nécessaires après l’achat initial.
  • En outre, il peut être difficile de comprendre si l’équipementier base ses licences sur le nimbre d’utilisateurs, d’appareils ou d’adresses IP.
  • Support : il convient enfin de vérifier ce que recouvre l’offre de support standard, et le prix des offres de support étendu si la première ne répond pas aux besoins. Attention : certains équipementiers intègrent le support dans leurs packages de licences, ce qui mérite d’être pris en compte lors de l’évaluation des coûts.

Autres considérations

Les équipementiers UTM veulent que leurs clients soient satisfaits de leurs produits. Et un client satisfait n’a pas besoin de beaucoup de support, n’est-ce pas ? Les équipementiers souvent permettent aux organisations de demander une unité de test afin qu’elles puissent l’éprouver dans leur environnement, en prenant le temps de tester pleinement performances et compatibilité. Certains équipementiers offrent même un support gratuit durant la période d’évaluation, ainsi que des démonstrations en ligne pour aider à l’utilisation de l’interface et à la configuration.

Durant l’étape d’évaluation, il convient de s’assurer d’évaluer la simplicité de déploiement, les interfaces de configuration – graphiques comme en ligne de commande – et l’utilisabilité de la console d’administration. Les équipes peuvent-elles naviguer aisément d’un écran à l’autre ? Les réglages sont-ils faciles à trouver ? La documentation est-elle suffisamment claire pour éviter d’appeler le support ? La facilité d’utilisation est particulièrement importante pour les petites organisations qui sont susceptibles de peiner à recruter des équipes dédiées à la sécurité.

Et, si l’organisation est soumise à un cadre réglementaire contraignant, il convient bien sûr de vérifier que l’appliance UTM propose les fonctionnalités et les outils de reporting requis pour les audits de conformité. C’est le cas de la plupart des appliances UTM, mais s’en assurer avant l’achat permet d’éviter de mauvaises surprises.

Conclusions

L’expérience d’achat d’appliances UTM s’est considérablement simplifiée, grâce à des points de comparaison relativement cohérents et un marché hautement concurrentiel où les équipementiers se disputent les clients. Mais de nombreux critères continuent de devoir être pris en compte avant de prendre une décision.

Et chaque décision devrait être précédée d’une analyse complète des besoins de l’organisation, dans son environnement spécifique.

Adapté de l’anglais.

Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)