2 Ap­pliances Bar­ra­cu­da

au banc d’es­sai

L'Informaticien - - SOLUTIONS IT - Loïc Du­val

Au fil des an­nées, Bar­ra­cu­da s’est im­po­sé comme un ac­teur phare de la sé­cu­ri­té des en­tre­prises avec des ap­pliances simples à confi­gu­rer, ra­pides à mettre en oeuvre, et ef­fi­caces au quo­ti­dien. Nous avons tes­té les der­nières évo­lu­tions de deux pro­duits em­blé­ma­tiques : Mes­sage Ar­chi­ver et Web Fil­ter.

Bar­ra­cu­da Mes­sage Ar­chi­ver 350

On le sait l’e-mail est au­jourd’hui ad­mis comme une preuve sous ré­serve qu’il soit conser­vé dans des condi­tions de na­ture à en ga­ran­tir l’in­té­gri­té. Outre l’as­pect pro­ba­toire, nombre d’en­tre­prises et mé­tiers sont contraints de pra­ti­quer un ar­chi­vage ré­gle­men­taire afin de se mettre en confor­mi­té avec les lé­gis­la­tions na­tio­nales et in­ter­na­tio­nales. Au-de­là de ces purs as­pects mé­tiers et ju­ri­diques, l’ar­chi­vage des mails de­meurent aus­si une pro­blé­ma­tique tech­nique. La per­for­mance des so­lu­tions de mes­sa­ge­rie comme Ex­change et Notes dé­pend étroi­te­ment des per­for­mances du sto­ckage et de la vo­lu­mé­trie des boîtes. Conser­ver des mails pour ain­si jamais ex­ploi­tés sur de telles in­fra­struc­tures à haute per­for­mance est un gas­pillage de res­sources par­ti­cu­liè­re­ment oné­reux.

Pour quoi faire ?

C’est dans ce contexte à la fois lé­gal et tech­nique que s’ins­crit une so­lu­tion comme Bar­ra­cu­da Mes­sage Ar­chi­ver. Cette ap­pli­ca­tion se branche di­rec­te­ment à votre in­fra­struc­ture et vient alors ar­chi­ver au­to­ma­ti­que­ment tous vos courriels. Pour les ad­mi­nis­tra­teurs, ce­la per­met de conser­ver dans le temps, au­to­ma­ti­que­ment et sans ef­fort de main­te­nance par­ti­cu­lier, tous les mes­sages en­trants et sor­tants de l’en­tre­prise, en ga­ran­tis­sant leur in­té­gri­té. Pour les uti­li­sa­teurs, ce­la per­met de conser­ver des boîtes à lettres al­lé­gées tout en ayant la ga­ran­tie de pou­voir re­trou­ver à tout ins­tant un cour­riel, même après plu­sieurs an­nées, sim­ple­ment en se connec­tant à une in­ter­face web. L’ap­pli­ca­tion ex­pose en ef­fet un mo­teur de re­cherche lui per­met­tant de sim­ple­ment re­trou­ver un – ou l’in­té­gra­li­té – de ses e-mails ar­chi­vés et de le res­tau­rer, le sau­ver ou le trans­fé­rer en un clic. Outre cette in­ter­face web – éga­le­ment ac­ces­sible de l’ex­té­rieur de l’en­tre­prise pour peu que le pare-feu ait été confi­gu­ré à ces fins –, Bar­ra­cu­da pro­pose éga­le­ment un plu­gin pour Out­look (ver­sion 32 bits ou 64 bits) et même des clients An­droid et iOS. Leur dé­ploie­ment est des plus fa­ciles, puisque les liens d’ins­tal­la­tion sont di­rec­te­ment ac­ces­sibles de l’in­ter­face web uti­li­sa­teur.

Des stra­té­gies à dé­fi­nir

Mais ce Mes­sage Ar­chi­ver va bien au-de­là. Les ad­mi­nis­tra­teurs peuvent dé­fi­nir des règles et stra­té­gies de confor­mi­té à la fois à la lé­gis­la­tion et aux po­li­tiques in­ternes : des alertes peuvent au­to­ma­ti­que­ment être émises chaque fois qu’un cour­rier viole une des règles dé­fi­nis ou contient un vi­rus – l’ap­pli­ca­tion in­cor­po­rant son propre an­ti­vi­rus. Trois règles sont dé­fi­nies par dé­faut : lan­gage in­ap­pro­prié, emails per­son­nels, in­for­ma­tions per­son­nelles. Or, ces règles pré­dé­fi­nies ne nous ont pas convain­cu, no­tam­ment celle sur le lan­gage in­ap­pro­prié qui ne rem­plit clai­re­ment pas sa fonc­tion, lais­sant pas­ser les mes­sages les plus in­ju­rieux tout en pro­dui­sant nombre de faux positifs. Mieux vaut, dès lors, prendre le temps de dé­fi­nir ses propres règles, ce qui s’ef­fec­tue de fa­çon très simple à l’aide de l’ou­til de re­cherche avan­cée aux mul­tiples cri­tères.

C’est du gâ­teau

La grande force de Mes­sage Ar­chi­ver est sa sim­pli­ci­té de mise en oeuvre. Certes, il faut com­men­cer par lui connec­ter un cla­vier et un écran, le temps de lui dé­fi­nir son adresse IP. En­suite, tout se fait par l’in­ter­face web d’ad­mi­nis­tra­tion. Le sys­tème est con­çu pour se gref­fer di­rec­te­ment aux mé­ca­nismes de jour­na­li­sa­tion d’Ex­change et de la plu­part des ser­veurs mails. Mais une TPE/ PME pour­ra aus­si uti­li­ser des mé­ca­nismes plus clas­siques via de simples ac­cès SMTP, POP3 ou IMAP. Par ailleurs, nous n’avons ren­con­tré au­cune

dif­fi­cul­té à l’in­té­grer à Of­fice 365, ce qui per­met à l’en­tre­prise de dis­po­ser lo­ca­le­ment d’un ar­chi­vage de sa so­lu­tion cloud ! Bien évi­dem­ment, cette Ap­pliance Bar­ra­cu­da s’in­ter­face avec votre Ac­tive Di­rec­to­ry ou n’im­porte quel autre an­nuaire LDAP pour dé­fi­nir droits d’ac­cès et rôles. Ré­sul­tat des courses, la so­lu­tion est opé­ra­tion­nelle en moins d’une heure et pa­ra­mé­trable par n’im­porte quel ad­mi­nis­tra­teur même s’il n’a pas d’ex­per­tise par­ti­cu­lière en la ma­tière – il pa­raît co­hé­rent de confier l’ad­mi­nis­tra­tion de cet ar­chi­veur à l’ad­mi­nis­tra­teur Ex­change à moins que, pour des rai­sons de sé­cu­ri­té in­terne, on ne sou­haite jus­te­ment sé­pa­rer les rôles.

Li­mites in­trin­sèques

Deux freins peuvent ce­pen­dant s’op­po­ser à l’ac­qui­si­tion d’une telle so­lu­tion. D’abord son coût – ce­la reste une so­lu­tion ma­té­rielle – qui im­pose de bien dé­fi­nir préa­la­ble­ment sa vo­lu­mé­trie, même si l’ap­pliance peut aus­si ex­ploi­ter du sto­ckage ex­terne, afin d’op­ter pour le mo­dèle le mieux adap­té. No­tez que s’il faut payer un abon­ne­ment an­nuel, il n’y a pas de sur­coûts par uti­li­sa­teur, port ou fonc­tion­na­li­té ; c’est un plus. En­suite, la re­prise de l’exis­tant est un pro­blème in­hé­rent à toutes ces so­lu­tions. Bar­ra­cu­da a bien fait les choses avec des mé­ca­nismes au­to­ma­ti­sés de ré­cu­pé­ra­tion des fi­chiers PST, par exemple, hy­per simples à mettre en oeuvre : il suf­fit de glis­ser/dé­po­ser les PST dans un dos­sier par­ta­gé. La contrainte est tem­po­relle, chaque e-mail de­vant pas­ser par un pro­ces­sus d’in­dexa­tion et de dé­du­pli­ca­tion re­la­ti­ve­ment lent. Se­lon nos tests, l’ap­pli­ca­tion traite ap­proxi­ma­ti­ve­ment deux cents mails par mi­nute. À ce rythme, il lui faut donc ap­proxi­ma­ti­ve­ment quatre jours pour ab­sor­ber un mil­lion de cour­riers pré­exis­tants et une an­née pour en in­gur­gi­ter 100 mil­lions. Un élé­ment à prendre en compte dans la pla­ni­fi­ca­tion. Der­nier dé­faut, l’in­ter­face d’ad­mi­nis­tra­tion est as­sez im­pra­ti­cable en fran­çais, la tra­duc­tion étant par­fois ha­sar­deuse. Au­tant que pos­sible, on pré­fé­re­ra, comme sou­vent, conser­ver la ver­sion an­glaise. Le pro­blème est heu­reu­se­ment moins criant sur l’in­ter­face des uti­li­sa­teurs, même si cer­tains me­nus ou op­tions ne sont pas tra­duits ou mal tra­duits.

Bar­ra­cu­da Web Fil­ter 610

Bar­ra­cu­da Web Fil­ter est une sorte de pare-feu ap­pli­ca­tif con­çu pour fil­trer le tra­fic in­ter­net de l’en­tre­prise en fonc­tion de règles dé­fi­nies par l’ad­mi­nis­tra­teur. L’ob­jec­tif nu­mé­ro de ce type de so­lu­tions est d’ajou­ter un bou­clier de sé­cu­ri­té sup­plé­men­taire ca­pable d’ana­ly­ser pré­ci­sé­ment le conte­nu des pa­quets et d’en­ri­chir les dé­fenses en pro­fon­deur dé­jà en place. Mais, bien évi­dem­ment, ce type d’équi­pe­ment per­met aus­si de ré­gu­ler les usages du Web et des ré­seaux so­ciaux au sein de l’en­tre­prise et d’ob­te­nir des sta­tis­tiques avan­cées sur l’usage de la bande pas­sante et de votre connexion au plus grand des ré­seaux.

Im­mé­dia­te­ment opé­ra­tion­nel

Comme pour la so­lu­tion Mes­sage Ar­chi­ver, ce Web Fil­ter se pré­sente sous la forme d’une ap­pliance ra­ckable – il oc­cupe un slot 1U. Son ins­tal­la­tion se fait en trois phases. Il faut com­men­cer par y re­lier un cla­vier et un écran pour pa­ra­mé­trer son adresse IP. Ces pé­ri­phé­riques ne sont plus utiles après, puisque l’in­ter­face d’ad­mi­nis­tra­tion se pi­lote à dis­tance à par­tir d’un na­vi­ga­teur web. La deuxième phase consiste es­sen­tiel­le­ment à dé­fi­nir le mot de passe ad­mi­nis­tra­teur, mettre à jour le lo­gi­ciel et re­lier l’ap­pli­ca­tion à votre Ac­tive Di­rec­to­ry (ou an­nuaire LDAP). Vous êtes alors prêt pour la der­nière phase qui consiste tout sim­ple­ment à in­sé­rer l’ap­pliance entre la box de connexion WAN et votre Switch prin­ci­pal. La ma­chine dis­pose de deux ports Ether­net en fa­çade, donc fa­ci­le­ment ac­ces­sibles, éti­que­tés WAN et LAN. L’ap­pa­reil est alors opé­ra­tion­nel. Il ne faut guère plus d’une heure à un ad­mi­nis­tra­teur non for­mé pour le maî­tri­ser et le mettre en oeuvre. On re­gret­te­ra, là en­core, que la tra­duc­tion fran­çaise de l’in­ter­face d’ad­mi­nis­tra­tion n’ait pas été plus soi­gnée et on pré­fé­re­ra, au­tant que faire se peut, op­ter pour l’af­fi­chage en an­glais.

Tout fil­trer… sim­ple­ment

Ce Web Fil­ter per­met le fil­trage des conte­nus, le contrôle ap­pli­ca­tif, la pro­tec­tion contre les at­taques, la dé­tec­tion et sup­pres­sion au vol des mal­wares et spy­wares, et la mise en place d’un fil­trage as­so­cié à des po­li­tiques – en dé­fi­nis­sant des règles et des ex­cep­tions ba­sées sur les groupes d’uti­li­sa­teur, les heures et les usages. Ty­pi­que­ment, il de­vient très fa­cile de contrô­ler l’ac­cès à Fa­ce­book et le li­mi­ter à cer­taines heures de la jour­née pour cer­tains uti­li­sa­teurs, d’em­pê­cher l’ac­cès à des sites de jeux ou por­no­gra­phiques, mais aus­si de blo­quer les lo­gi­ciels de mes­sa­ge­rie ins­tan­ta­née, de P2P, etc. De nom­breuses ca­té­go­ries sont pré­dé­fi­nies, mais vous pou­vez bien évi­dem­ment ajou­ter des ca­té­go­ries propres. L’autre in­té­rêt phare de cette so­lu­tion, c’est la sur­veillance qu’elle per­met quant à l’usage du Net et de la bande pas­sante. D’un coup d’oeil, on ob­tient la liste des do­maines les plus fré­quen­tés, la liste des do­maines les plus fré­quem­ment blo­qués, la consom­ma­tion de bande pas­sante par do­maine, etc. Les in­for­ma­tions et les sta­tis­tiques dé­li­vrées sont éton­nam­ment ins­truc­tives, ré­vé­la­trices, et utiles. Elles sont aus­si es­sen­tielles pour vous ai­der à dé­fi­nir les règles de fil­trage après une pre­mière pé­riode d’ob­ser­va­tion.

Bien dé­fi­nir ses be­soins

Fi­na­le­ment, le prin­ci­pal frein à l’adop­tion de cette so­lu­tion reste son prix qui com­porte une par­tie fixe – ac­qui­si­tion du ma­té­riel – et une main­te­nance an­nuelle. Les prix va­rient se­lon les mo­dèles. Tou­te­fois, il n’y a pas de li­cences par uti­li­sa­teur et, compte te­nu de la tran­quilli­té confé­rée, le ROI est vite at­teint. Le plus dur, c’est fi­na­le­ment de choi­sir le mo­dèle idéal… On mange vite la bande pas­sante et on sa­ture ra­pi­de­ment l’uni­té si elle est sous-di­men­sion­née. Pour bien dé­fi­nir ses be­soins, et donc le mo­dèle à adop­ter, on ne peut guère au­jourd’hui se fier au nombre d’uti­li­sa­teurs. Mieux vaut bien connaître sa bande pas­sante opé­ra­tion­nelle et plus en­core le nombre de connexions TCP si­mul­ta­né­ment ac­tives – ce qui n’est jus­te­ment pas si ai­sé à éva­luer lors­qu’on n’a pas un pro­duit comme Web Fil­ter à dis­po­si­tion. Une fois cette étude de be­soins réa­li­sée, il fau­dra aus­si se po­ser la ques­tion de la per­ti­nence d’une ap­pliance lo­cale dans un monde où les uti­li­sa­teurs sont de plus en plus no­mades et où l’offre de fil­trage web en mode SaaS gagne en ma­tu­ri­té – Bar­ra­cu­da dis­pose même d’une so­lu­tion en la ma­tière).<

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.