Le groupe SFA modernise la sécurité de son réseau avec Barracuda
A l’occasion d’un déménagement, le groupe SFA a remplacé ses équipements de sécurité réseau Arkoon par des matériels Barracuda. L’occasion de gains importants.
C’est en 2014 que le groupe SFA a été amené à déménager ses effectifs parisiens. Frédéric Carricaburu, DSI du groupe, se souvient de l’implication immédiate de ce changement : « on devait passer de 70 ou 80 personnes sur le même site à plus de 250. Nous avions besoin de pare-feu bien plus puissants ». A l’époque, l’infrastructure s’appuyait, pour sécuriser les accès à Internet et offrir des liens VPN, sur des équipements du français Arkoon, racheté début 2013 par celui qui s’appelait encore alors Cassidian Cybersecurity, désormais rebaptisé Airbus Defense & Space et associé à Netasq.
Et c’est bien cette opération qui a conduit SFA à remplacer ses équipements par des matériels signés Barracuda Networks. Le groupe avait noué une relation très étroite avec Arkoon, allant parfois jusqu’à utiliser des logiciels embarqués en pré-version pour valider certaines évolutions fonctionnelles. Mais avec la nouvelle offre d’Airbus Defense & Space, SFA aurait dû déployer des équipements Netasq pour répondre à ses besoins. Alors, quitte à changer, le groupe a décidé d’examiner de plus près ce qu’offrait le marché. L’évaluation des produits disponibles a permis de retenir une offre qui « correspondait le mieux à nos besoins » tout en affichant un intérêt économique certain : « si l’on paie la maintenance tous les ans, le matériel est renouvelé gratuitement au bout de quatre ans. Alors nous nous sommes engagés sur cinq ans », explique Frédéric Carricaburu.
Bien plus que la seule protection des accès
Aujourd’hui, SFA a donc déployé des pare-feu Barracuda F100 sur 17 sites, des F280 sur 7 sites de taille intermédiaire, une grappe F600 pour son siège parisien, et une appliance virtuelle.
Ceux-ci sont évidemment utilisés pour sécuriser les accès à Internet du groupe, mais également pour optimiser la bande passante sur les sites limités par des liaisons DSL longues : « dans l’Oise, notre site de fabrication ne dispose que de liens SDSL à 2 Mbps. Nous en agrégeons plusieurs pour améliorer la connectivité ».
Ce n’est pas tout. SFA profite également des équipements de Barracuda pour gérer la qualité de service et filtrer les accès à Internet, avec une granularité élevée : « on peut bloquer selon la réputation, mais également selon les origines géographiques, ce que l’on ne pouvait pas faire avant ». Les logiciels malveillants sont également filtrés.
Les fonctions de supervision de la bande passante s’avèrent particulièrement satisfaisante : « elles permettent de voir qui utilise quoi jusqu’au niveau applicatif et même au-delà. Dans Facebook, par exemple, on peut voir si c’est de la vidéo, du jeu, de la messagerie instantanée ». Pour obtenir un tel niveau d’information, SFA devait auparavant utiliser Splunk et interroger les équipements Arkoon pour récupérer les connexions ouvertes : « aujourd’hui, on obtient l’information en trois clics et l’on peut stopper un flux en temps réel si nécessaire ».
Des accès VPN plus fiables et plus rapides
Les accès VPN ont au passage été consolidés sur les équipements de Barracuda Networks. « Avant nous utilisions une solution SSL de SonicWall ». Mais certaines configurations, notamment sur points d’accès publics, pouvaient empêcher les connexions : « là, ça fonctionne dans toutes les conditions et c’est très rapide. Nous avons gagné en performances de manière incroyable », explique Frédéric Carricaburu.
Une bonne surprise alors, qu’initialement, le DSI avait plutôt un à priori négatif sur l’idée d’utiliser un client VPN spécifique aux équipements de Barracuda.
Mais c’est peut-être le déploiement qui a réservé à SFA les meilleures surprises… avec des économies inattendues. Compte tenu de son impératif de déménagement, la DSI n’a pas pu se permettre de prendre le temps d’une formation traditionnelle : « nous avons dû travailler en mode projet avec transfert de compétences. Un consultant nous a accompagné pendant 5 jours et nous avons commencé par migrer un petit équipement sur une architecture parallèle. Nous avons alors mis en place le centre de contrôle et connecté cet équipement afin de voir comment cela fonctionnait. Le lendemain, nous avons migré un nouveau site, industriel. Cela s’est également très bien passé. Alors nous avons ensuite migré une régie publicitaire ». Le déménagement effectif, ces deux premiers sites ont été raccordés au siège parisien avant le lancement du déploiement national et international.
Un déploiement simplifié
C’est là que sont apparus les gains inattendus : « avec les équipements Arkoon, il y avait systématiquement besoin d’envoyer quelqu’un sur place pour l’installation. Là, dès que l’on dispose des bons paramètres IP et que le routeur en face n’est pas ‘exotique’, on peut envoyer des boîtiers préconfigurés accompagné d’une petite procédure de câblage physique », explique Frédéric Carricaburu, soulignant là « un très important facteur de réduction des coûts que nous n’avions pas prévu ».
Et le DSI de reconnaître que « Barracuda nous avait prévenus… mais nous étions sceptiques. Nous nous étions donnés un an pour tout déployer ; au bout de trois mois, 80 % du parc était déjà en service ».
L’occasion aussi d’apprécier les avantages d’un service client d’une efficacité redoutable, plus qu’avec Arkoon à l’époque : « pouvoir avoir quelqu’un au téléphone 24/7 est très utile, notamment lorsque l’on est à l’autre bout du monde et que, du coup, la fenêtre de travail avec des interlocuteurs en France est considérablement réduite ».
Surtout, en cas d’incident sur un matériel, Barracuda assure un service rapide : « l’un des boîtiers F100 a été endommagé dans un transit vers la République Tchèque. Le support technique en Autriche en fait partir un nouveau le jour même ; nous l’avons reçu le lendemain matin, sur place. Il n’y avait plus qu’à changer le numéro de série dans la console et déployer la configuration à partir d’une clé USB ».
Une administration allégée
Au quotidien aussi, Frédéric Carricaburu mesure les bénéfices. « Si je vous disais que l’on n’y touche pas, ce serait presque vrai. Les incidents sont très rares », assure le DSI. De fait, l’essentiel de l’administration consiste à « s’assurer qu’il n’y a pas d’attaque, à optimiser les règles », ou encore à installer mises à jour et correctifs – une opération qu’il qualifie de « transparente » et dont il apprécie les récents apports en matière d’ergonomie d’interface.
Jusqu’à chiffrer ses gains : « en moyenne, le temps consacré à l’administration de nos pare-feu est réduit de 70 %. C’est considérable ».
Pour approfondir sur Administration de réseaux
-
Passerelles mail vulnérables de Barracuda : des portes dérobées pour échapper aux corrections
-
Un acteur étatique chinois à l’origine des attaques contre les ESG de Barracuda
-
Vulnérabilité : Barracuda demande à ses clients de remplacer l’un de ses équipements
-
DDN dope ses baies Exascaler aux disques NVMe et dévoile des appliances IA