Les cinémas UGC renforcent la protection de leur infrastructure avec Palo Alto Networks
Le renouvellement du cœur de réseau a été l’occasion de moderniser la sécurité de toute l’infrastructure. De quoi lui permettre de supporter de nouveaux services.
Jusqu’en 2012, UGC s’appuyait, en son cœur de réseau, sur un serveur Linux sous Debian pour assurer l’interconnexion et, en partie, la sécurité. Les cinémas, raccordés directement au siège via des liens MPLS, ne disposaient pas d’équipements spécifiques. Il faut dire que l’infrastructure n’était pas directement connectée à Internet. Comme l’explique Olivier Friedman, directeur technique infrastructure d’UGC, la connexion se faisait via un fournisseur d’accès qui lui faisait profiter d’une première couche de protection mutualisée et d’une seconde, dédiée.
Las, la couche de pare-feu du serveur assurant l’interconnexion avait développée en 2007 par une petite SSII ayant disparu : « nous ne disposions plus de personne en interne pour le gérer et nous avons voulu mettre à niveau avec une solution standard du marché ». L’étude de marché a permis de faire émerger un trio : Fortinet, Juniper et Palo Alto Networks. Les fonctionnalités de nouvelle génération des équipements de ce dernier lui ont permis de l’emporter, à commencer par « la possibilité de définir des règles par utilisateur et pas seulement par adresse IP », explique de directeur technique, soulignant au passage « la possibilité de descendre très finement dans les couches réseau, y compris sur la couche applicative et dans les services Web ».
Une activité hyperconnectée
Les équipes Palo Alto ne servent évidemment pas uniquement à assurer l’interconnexion des infrastructures d’UGC. « L’entreprise ne pourrait pas fonctionner sans informatique et sans réseau. Si elle n’est pas leur de cœur de l’entreprise, elle en est au moins le poumon ».
En particulier, dans les cinémas, ces équipements servent à assurer l’isolation des différents réseaux locaux virtuels les uns des autres : réseau vente, billetterie, projection numérique, affichage dynamique. « Ces réseaux n’étant pas tous opérés par UGC, il faut que j’en assure l’étanchéité d’un réseau par rapport à l’autre ; c’est le principal aujourd’hui ».
Un enjeu d’autant plus important que certaines activités, comme la billetterie « sont extrêmement normées, par le ministère des Finances et celui de la Culture ». L’équipes informatiques internes assurent d’ailleurs l’édition des logiciels de gestion des ventes, du planning, du budget, etc. Le recours aux logiciels sur étagère est limité à la bureautique et à la comptabilité. Et en 2016, l’infrastructure est appelée à porter d’autres services : un système Wi-Fi Aerohive est ainsi en cours de déploiement dans les salles.
Le service Global Protect des équipements Palo Alto Networks a déjà été déployé pour les itinérants. La solution de MDM maison de l’équipementier devait être également mise à contribution, mais « Palo Alto l’arrête. On cherche une solution avec eux ». Le service de renseignement sur les menaces Wildfire doit également être mis en œuvre : « ce concept de faire du pair à pair sur les menaces pour être protégé plus rapidement, c’est extrêmement séduisant ».
UGC avait également été séduit par le module TRAPS de protection préventive des postes de travail mais ne le déploiera pas, la faute à un tarif trop élevé pour ses moyens.
Vers l’intégration d’un SIEM
Si le déploiement des équipements Palo Alto n’est encore complètement terminé dans les cinémas – 37 en France et 3 en Belgique –, il a déjà commencé à faire ses preuves. Des anomalies de trafic réseau ont ainsi pu être détectées et ont motivé la mise en œuvre des mécanismes de gestion de la qualité de service sur les LAN. Mais aucune activité malicieuse n’a pour autant été identifiée.
En 2016, Olivier Friedman prévoit toutefois de déployer un système de gestion des informations et des événements de sécurité. Ce sera LogPoint. Certes, comme beaucoup, il s’est penché sur Splunk, mais le rapport de prix – de l’ordre de 1 à 10, explique-t-il – l’a refroidi.
Reste à savoir qui assurera la gestion des alertes. « Nous sommes ouverts à toutes les options ». De fait, les équipements Palo Alto sont supervisés par la SSII qui en a assuré le déploiement, Novidy’s. Alors pourquoi pas lui confier la surveillance des alertes remontées par le SIEM, en fonction du coût.
Mais le besoin apparaît évident : l’équipe d’Olivier Friedman compte 15 personnes, « dont moi, mon assistante, et neuf au helpdesk ». Le reste est en charge de l‘exploitation et de l’administration au quotidien… « On gère beaucoup de chose et il est difficile de trouver le temps de tout gérer en profondeur. Nous sommes dimensionnés pour répondre en mode pompier aux problèmes qui se présentent. C’est 80 % de notre activité. Le reste du temps, on déploie de nouvelles solutions, on assure la mise en production ». Ce qui laisse peu place à l’anticipation. Une réalité partagée par un grand nombre de PME comparables.