Le CNAM s'abrite derrière un IDS/IPS
Le CNAM a déployé de nouveaux dispositifs de filtrage du trafic afin d'accroître la sécurité et la disponibilité de son système d'information. Le CNAM (Conservatoire National des Arts & Métiers) est un établissement public de formation. Il affiche plus de 80.000 élèves, et un effectif de 2000 collaborateurs, professeurs et personnel administratif. Il est implanté dans l'hexagone, dans les Dom-Tom, ainsi qu'en Espagne et au Liban. A son arrivée en 2003, Denis Corée, son nouveau DSI, a procédé à la remise à plat de la stratégie de sécurité du réseau de l'institution. Déploiement d'un IDS/IPS en complément du pare-feu « Le réseau était découpé en Vlan selon la localisation géographique, mais non selon le type d'utilisateur. J'ai dû opter pour un réseau différent, avec un coeur redondé afin de limiter les risques d'impacts des attaques, explique Denis Corée. Le DSI a notamment mis en place un Vlan spécifique pour les accès wifi. Il a également renforcé le filtrage en déployant un système de détection et de prévention des intrusions, IDS/IPS (Intrusion Detection System/Intrusion Prevention System), le DefensePro de Radware, en complément du routeur filtrant, et du pare-feu. Une phase d'apprentissage « La démarche est de se protéger de tout ce qu'on ne connaît pas. Nous aurions pu tout bloquer, mais nous préférons observer ce qui se passe sur le réseau, sans une veille lourde, tout en disposant d'accès à notre base de connaissances et en bloquant le trafic illégal,décrit le DSI. Grâce à l'IDS/IPS, « Nous n'avons plus l'appréhension de bloquer un trafic légal, et d'empêcher les utilisateurs de travailler. Notre IDS/IPS présente l'avantage d'une phase d'apprentissage qui passe par l'avertissement et la validation. Cela permet d'identifier le trafic légal mais qui n'est pas conforme à la norme, détaille Denis Corée. L'usage de l'IDS/IPS aura permis de désengorger le réseau du trafic indésirable avant que ce dernier n'atteigne les applications. La disponibilité globale s'est améliorée. «Avant, l'indisponibilité était de l'ordre de dix jours par trimestre, conclut Denis Corée. Photo : un amphithéâtre du CNAM (D.R.)
