La Casden améliore sa visibilité réseau avec ForeScout
Cette entité du groupe BPCE bien connue des enseignants a misé sur les outils de contrôler d’accès au réseau de ForeScout pour gagner une visibilité complète sur les appareils et équipements connectés à son réseau.
Invité à témoigner lors d’un atelier organisé aux Assises de la Sécurité, début octobre dernier, Loïc Chagnat, RSSI de la Casden, met en exergue, sans ambages, son défi, partagé par beaucoup : disposer d’une visibilité complète sur les appareils connectés à son réseau, consolidée en un seul endroit, au lieu d’une information dispersée entre de multiples consoles d’administration.
En outre, son équipe chercher à pouvoir contrôler les accès au niveau des prises réseau : « nous avons eu tout de même deux ou trois incidents avec des utilisateurs qui ont branché leur ordinateur sur le réseau local et ont ramené ainsi le ver Blaster. Alors on fermait les ports, mais en termes d’administration, c’était très très lourd ».
Plus loin, la visibilité gagnée doit également permettre de détecter les comportements à risque et d’assurer l’audit et le reporting de conformité avec la politique de sécurité des systèmes d’information de l’ensemble du groupe BPCE.
CounterAct, simple et efficace
Loïc Chagnat s’est appuyé les travaux du cabinet Gartner pour entamer ses recherches, isolant ainsi Cisco ISE et ForeScout CounterAct. Et c’est ce dernier qui a été retenu notamment « pour la facilité d’intégration et de mise en œuvre ». Sans mâcher ses mots, le RSSI de la Casden lance : « c’est bluffant. Le plus dur, c’est de câbler le serveur dans la baie et de lui fournir une adresse IP ». Et si le raccourci se veut volontairement excessif, c’est pour souligner les capacités de détection automatique : « l’appareil a tout découvert tout seul ; en une demi-journée, tout était visible ».
CounterACT intègre des capacités de détection passive et active des équipements connectés. En mode passif, l’outil surveille le trafic d’authentification des utilisateurs et des terminaux, mais également les requêtes DHCP et ARP, ou encore les agents http. L’outil est également capable d’analyser les données de la couche transport sur chaque réseau pour déterminer système d’exploitation et services actifs.
En mode actif de découverte, CounterACT s’appuie sur les informations des équipements réseau – pare-feu, routeurs, commutateurs, serveurs VPN – mais également sur celles des annuaires. Pour l’inspection active, l’outil peut lancer une analyse Nmap sur chaque équipement connecté avec d’en apprendre plus à son sujet : constructeur, services, applications, et processus etc.
Loïc Chagnat ne cache pas sont enthousiasme : « l’outil n’est pas intrusif. Avec Cisco, il faut déployer des agents partout. Là, ce n’est pas impératif », pas même pour disposer d’une fiche signalétique complète de chaque appareil connecté, avec rattachement aux groupes de l’annuaire Active Directory.
Le recours à l’agent local peut toutefois s’avéré pertinent. La Casden l’a ainsi déployé sur ses postes sous Windows, notamment pour optimiser les performances et la consommation de bande passante, explique Loïc Chagnat. Et de souligner aussi que l’agent permet de détecter les utilisateurs se connectant en administrateur local : « normalement, personne n’est administrateur de son poste ». L’agent local est également essentiel pour contrôle l’utilisation des ports USB des postes de travail et, au passage, empêcher par exemple l’utilisation d’un modem 4G USB…
Ouverture et intuititivé
La souplesse et l’ouverture de la solution de ForeScout ont également séduit le RSSI de la Casden, avec ses multiples capacités d’intégration, jusqu’à « la console d’administration VMware » pour l’inventaire et la surveillance des machines virtuelles.
La console d’administration est accessible en mode client lourd, mais également en interface Web. Elle permet de définir des politiques de sécurité avec un niveau de granularité très élevé, mais également de conduire des recherches sur de nombreux critères. Jusqu’à permettre de contrôle le nombre de licences actives dans l’environnement sur un logiciel donné, par exemple.
Loïc Chagnat souligne surtout la facilité d’utilisation de l’interface d’administration : « je ne crois pas avoir jamais ouvert le manuel, ou peut-être pour quelque chose de très spécifique ». Enfin, « si l’appliance tombe, tout le monde peut continuer à travailler, alors qu’avec Cisco ISE, ce n’est pas possible ».
Et puis la tarification de ForeScout s’est également avérée « plus avantageuse » car dissociée du nombre d’adresses IP concernées.