Il y a pléthore d’UTM. Comment le choisir?

Vérifier la «solidité» de la solution

Principal atout, la gestion centralisée des fonctions, qui en simplifie l’exploitation et procure une certaine maîtrise des coûts d’acquisition et de maintenance. En rassemblant dans un même équipement physique à la fois les fonctions de firewall, de VPN, d’antivirus, d’antispam et de filtrage de contenu, l’UTM (Unified Threat Management) suscite toujours plus d’intérêt.

Le choix est large. Voire pléthorique. La sélection se fera donc sur base de différents critères. La «solidité» de la solution est le premier. Il faut savoir que nombre d’UTM associent des composants de provenances diverses, en particulier pour ce qui concerne l’antivirus. Aussi veillera-t-on à la réputation des partenaires. Parfois, le seul nom de l’antivirus contenu dans le boîtier peut ainsi faire toute la différence. De même, on veillera à la périodicité des mises à jour. Et par conséquent aux conditions d’abonnements.

L’UTM est un couteau suisse. C’est son avantage... et sa principale lacune. De fait, si la multiplication de fonctionnalités permet de réduire le TCO, il ne faut pas que ce soit au détriment des performances, de la qualité de détection et de la cohérence de la politique de sécurité. Le facteur sécurité reste central et doit donc dicter l’intégration de technologies.

S’intéresser à chacun des composants

Fondamentalement, ces «multifonctions de la sécurité» peuvent être fort différents. Certains boîtiers n’acceptent que le mode actif/passif, qui permet la haute disponibilité et le test des nouvelles versions de logiciel sur la machine de secours; d’autres gèrent le mode actif/ actif, qui assure en plus du partage de charge.

Certains composants, de manière indépendante, peuvent être déjà actifs dans l’organisation. Par exemple l’anti-virus. Retrouver le même que celui qui équipe déjà les postes de travail n’est pas pertinent. Mieux vaut privilégier un deuxième niveau différencié de protection. La sécurité globale en sortira renforcée.

Cela dit, l’UTM n’est pas une «black box» au contenu interchangeable d’une marque à l’autre. Leurs promoteurs ont arrêté des choix. Par exemple au niveau du système d’exploitation. Aujourd’hui, l’Open Source emporte la majorité des suffrages. Mais l’appellation peut être trompeuse. Il se peut, en effet, que le système d’exploitation ait été «renforcé» en termes de sécurité. Un bon point, c’est évident, sauf que les éditeurs garderont jalousement leurs secrets. Ce qui peut poser des problème dès lors qu’il faut «entrer» dans le système pour régler l’un ou l’autre détail.

D’autres préconisent un système d’exploitation propriétaire; ils défendent le principe de l’intégration de chacune des fonctionnalités, développées en interne, contre des partenariats dont l’existence, il est vrai, ne tient qu’à un contrat…

Enfin, la compatibilité avec l’environnement informatique existant est elle aussi fondamentale, notamment pour la prise en compte des applications d’annuaires LDAP ou Active Directory. Prudence, là aussi.

Le juste équilibre entre fonctionnalités et performances

Pas plus que les aspects logiciels, les aspects purement matériels ne peuvent être négligés. Gare au sous-dimensionnement! En effet, les capacités de traitement sont étroitement liées à la puissance de calcul -sans quoi la latence impactera négativement l’ensemble du réseau informatique. La durée d’auscultation est particulièrement symptomatique de la performance des IPS (Intrusion Prevention System) et des IDS (Intrusion Detection System). Ceux-ci sont souvent complexes et gourmands en ressources, surtout si l’on définit des règles d’analyse en associant diverses méthodes de détection. Il faut aussi savoir que des analyses génériques ou comportementales trop strictes peuvent générer des faux positifs, en clair de «vrais» e-mails désignés comme spams…

Qui dit puissance dit processeurs. Les ASIC (Application Specific Integrated Circuit) ne suffisent pas toujours. Ces processeurs spécialisés ne sont performants que dans les fonctions pour lesquelles ils ont été programmés. Autrement dit, ils peuvent pénaliser les performances d’autres applications, comme la VoIP (Voice over IP). La combinaison d’un ASIC et d’un processeur généraliste est préférable, l’ASIC se contentant de prendre le relais pour les tâches dont il est l’expert, comme le chiffrement par exemple.

La question d'un stockage n’a toujours pas été tranchée. Disque dur ou mémoire flash? Sans disque dur, on limite la base antivirale, la base de filtrage URL et la traçabilité. Les spams ne sont pas conservés alors que, légalement, une entreprise ne peut empêcher un utilisateur de recevoir ses e-mails s’il en fait la demande, fussent-ils des spams.Préférence irait donc au disque dur. A l’opposé,la mémoire flash est plus fiable. Dilemme!

Compatibilité avec les systèmes en place

Un des principes même des UTM tient à sa «relative» simplicité d’administration. Si toutefois cette simplicité dépasse les compétences du personnel de la société, la centralisation de cette administration rend en général aisé le déport de cette administration vers un site central ou vers une société de service spécialisée.

D’emblée, on songe à la facilité de l’interface web -elle permet d’activer ou non les différentes fonctions de sécurité et de les configurer. En revanche, si le projet est plus important, incluant notamment plusieurs UTM d’un même fournisseur, une solution d’administration centralisée de l’ensemble des boîtiers s’imposera. Notons ici que les rapports permettent de garder un oeil sur l’activité du boîtier, par exemple sur les URL les plus souvent bloquées, les catégories de sites les plus consultés, les e-mails rejetés (spam ou virus), les tentatives d’attaques paralysées, les fluctuations du trafic, etc. Certains boîtiers permettent une consultation en temps réel de l’activité, d’autres ne génèrent que des rapports réguliers, parfois exportables au format CSV ou PDF.