Ornis résout le dilemme des patches de sécurité

) propose depuis plus de sept ans une gamme complète de solutions clés en main intégrant les composants les plus performants du marché, accessibles à la demande. De nombreuses entreprises ont ainsi confié à l’outsourcer leurs bases de données, leurs serveurs, leurs applications métiers ou leur messagerie. Plus de 2 500 contrats de service lient actuellement Ornis à des clients tels que les Laboratoires Marcel Mérieux ou les Taxi G7. Profitable, cet acteur majeur du monde ASP compte porter cette année son chiffre d’affaire de treize à quinze millions d’euros.

Pour Jean-Marie Labeyrie, son Directeur Général et Vice-Président, ce succès réside principalement dans la capacité de l’entreprise à répondre parfaitement aux demandes de ses clients : « L’un de nos différentiateurs forts, c’est notre capacité à industrialiser de nouveaux services informatiques et à les proposer à nos clients sous forme d’abonnement, en formule tout compris. Ainsi, notre portefeuille de services vient de s’enrichir d’une offre TOIP pour entreprise sur plateforme Netcentrex ».

Créé en 1990, Ornis dispose de plusieurs centres opérationnels, au sein desquels sont hébergés de façon hautement sécurisée plus de cinq cents serveurs. Une équipe technique, forte de plus de cinquante personnes, est chargée d’assurer la satisfaction des clients.

Un impératif : la sécurisation des services hébergés

Outre la performance et la disponibilité, la sécurité est l’une des préoccupations majeures d’Ornis : «Cette composante a été prise en compte dès la conception de nos infrastructures. À titre d’exemple, tous les moyens qui nous relient à nos clients sont totalement déconnectés d’Internet. De même, nous avons opté pour des plans d’adressage privés » précise Jean-Marie Labeyrie. Cette même exigence se retrouve dans les mots de Sylvain Mouly, Directeur Technique Adjoint, dont les équipes ont, parmi leurs nombreuses taches, la mise à jour des serveurs.

« C’est une tache cruciale – pour assurer la qualité de service à nos utilisateurs – mais également très lourde et qui présente quelquefois des risques, comme lors d’application des patches de sécurité » déclare ce spécialiste, qui ajoute « Jusqu’à ce que nous découvrions la solution Blue Lane, nous étions confrontés à un véritable dilemme : devions-nous, dès leur publication, appliquer les correctifs de sécurité sur les serveurs de nos clients – au risque de créer des dysfonctionnements –, ou devions-nous attendre une certaine stabilisation des patches avant de les installer ? Aucun de ces choix n’était pleinement satisfaisant, car nous ne pouvons faire aucun compromis, aussi bien concernant la sécurité que la disponibilité des applications que nous hébergeons pour nos clients ».

À juste titre, Sylvain Mouly craint les problèmes créés par certains patches de sécurité : « Nous ne pouvons nous permettre leurs effets de bord, qui pourraient venir – entre autres – dégrader notre disponibilité. Tenus par contrat au respect de taux élevés, nous devons absolument minimiser les interruptions, y compris celles nécessaires pour appliquer les patches de sécurité ». Le Directeur Technique Adjoint ajoute « Nous hébergeons des applications et des services qui ne peuvent s'arrêter ou subir de perturbations à cause d'un correctif inadapté ».

L’émulateur à la volée de patches de sécurité lui redonne aujourd’hui toute maîtrise sur ses planning, « La solution PatchPoint concoure à maintenir notre rang, devant tous nos concurrents : désormais, nous pouvons regrouper l’application de plusieurs correctifs, et les appliquer à l’occasion d’une interruption dûment planifiée ». La solution Blue Lane permet ainsi de réintégrer sereinement les correctifs de sécurité dans une stratégie de sécurité maîtrisée, y compris d’un point de vue charge de travail.

Il a également amélioré la productivité de son service par une meilleure utilisation des plateformes de pré-test sur lequel sont testés les correctifs proposés par les éditeurs, afin de vérifier la non-régression : « Le boîtier PatchPoint nous protège immédiatement. Désormais, nous prenons ensuite le temps qu’il faut pour analyser les patches proposés par les éditeurs, à tête reposée. Oubliés les nuits blanches et les congés annulés pour cause de déluge de patches à valider dans l’urgence ».

C’est la SSII Cortina, en la personne de l’un de ses spécialistes, Monsieur Régis Saporta, qui a porté à la connaissance d’Ornis cette approche innovante. Sylvain Mouly se souvient de sa première réaction : « Comme tous spécialiste de la sécurité, nous sommes en veille permanente, mais je dois avouer que, lors de la présentation du concept, nous avons été très sceptiques ! Ca semblait trop beau pour être vrai, voire miraculeux… la solution était sensée résoudre tous nos problèmes, et même au-delà. De plus, ajouter un nouvel équipement, en coupure qui plus est, n’était pas pour nous rassurer. Néanmoins, nous avons décidé de mener une campagne de validation exhaustive ».

L’insertion physique n’a pris que quelques minutes. Après avoir vérifié les fonctionnalités de by-pass, qui mettent à l’abri de toute interruption de service en cas d’incident, Sylvain Mouly a engagé l’étape d’auto-découverte, par laquelle l’unité prend connaissance de l’environnement qu’elle doit protéger. Il a ensuite, progressivement, enclenché la protection, serveur après serveur, en prenant soin de choisir un environnement très hétérogène, aussi bien en termes de système d’exploitation que d‘applications et de bases de données.

Cette phase a été couronnée de succès. En quelques minutes, deux unités qui constituent le haut de gamme Blue Lane ont été mises en place. Outre le relais by-pass, ces modèles voient tous leurs composants majeurs doublés ; processeurs, alimentations, ventilateurs. L’absence de toute modification sur les serveurs, de même que l’exploitation, très légère ont été appréciées à leur juste valeur.

« Les boitiers Blue Lane sont plus réactifs que nous »

Sylvain Mouly témoigne de l’efficacité du dispositif : « Depuis son installation, la solution proposée par Cortina nous a déjà protégés à plusieurs reprises, notamment d’une attaque spécifique, avec tentative de scan de toutes nos machines ». Car très rapidement, après avoir constaté l’absence d’effet de bord et l’efficacité de la protection, les spécialistes d’Ornis ont opté pour une application automatique des patches de sécurité au niveau des unités PatchPoint. « Les boitiers Blue Lane sont plus réactifs que nous » déclare Sylvain Mouly, « Les patches de sécurité sont désormais appliqués quelques jours, voire quelques heures à peine, après leur publication ».

Dans un premier temps, Ornis a protégé la totalité de ses serveurs accessibles de l’extérieur. Dans un second temps, la même qualité de protection bénéficiera aux serveurs, bases de données et applications qui ne sont accessibles qu’aux clients de l’outsourcer, au travers de réseaux privés. Si ceux-ci sont hautement sécurisés contre des menaces externes, ces ressources peuvent être attaquées au sein de cet environnement de confiance par un simple PC zombi, au sein du réseau même du client d’Ornis.

Le périmètre très large couvert par la solution Blue Lane est pour Sylvain Mouly un point important : « J’ai en tête des serveurs sous RedHat en version 7.3, qui nous posaient autrefois problème. De même, nos clients nous confient assez souvent des environnements difficiles, voire impossibles à patcher, comme des serveurs Windows NT4 ou des bases de données Oracle 7 et 8. Nous avons eu la bonne surprise d’apprendre que ces environnements « oubliés » par les éditeurs sont également pris en compte par la solution PatchPoint, et bénéficient donc du même degré de sécurisation » précise le spécialiste.

Si les unités PatchPoint libèrent les équipes d’Ornis de nombreuses contraintes – dont celle d’avoir à bloquer nos personnels en horaires décalés, voire le week-end –, Sylvain Mouly poursuit sa veille de sécurité. La base de connaissances embarquée dans les unités y participe.

Le spécialiste apprécie également la charge d’exploitation, très faible, l’interface graphique étant très intuitive. De plus, la solution PatchPoint lui fournit des informations très opérationnelles : « Nous notons un fort contraste avec nos sondes de détection d’intrusion, auxquelles nous reprochons nombre de faux-positifs. De plus, elle nous inondent d’un véritable déluge d’informations, ce qui aboutit à noyer les informations vitales ».

Le constat positif du responsable de la sécurité d’Ornis est confirmé par Jean-Marie Labeyrie : « Très attachés à assurer à nos clients des niveaux élevés de sécurité, de disponibilité et de qualité, nous sommes à nouveau précurseurs dans ce domaine très critique de l’applications des patches de sécurité. Et quand on constate le nombre croissant de failles de sécurité, de correctifs associés, d’incidents causés par ces correctifs et la réduction des fenêtres de vulnérabilité, nous ne pouvons que nous féliciter d’avoir pris action immédiatement, pour le plus grand bénéfices de nos clients et partenaires »

Cortina, le partenaire d'Ornis pour ce déploiement, salue cette approche stratégique. « Nos clients se battent contre deux ennemis : les menaces et le temps. L'un des intérêts majeurs de la solution PatchPoint, c'est de redonner aux équipes d'exploitation la maîtrise du temps qui leur fait défaut dans leur lutte contre les menaces », conclue Pascal Orset, co-fondateur et responsable du développement stratégique de Cortina.

Pour sa part, Norman Girard, responsable Europe pour Blue Lane, déclare : « Nous sommes honorés d’avoir été sélectionné par Ornis pour protéger l’ensemble de son infrastructure serveur », et ajoute «Nous saluons également l’expertise de Cortina, premier partenaire à avoir introduit notre solution en France, et qui possède une forte expérience dans ce domaine très pointu qu’est la gestion des correctifs de sécurité ».

Cortina et la gestion des patches de sécurité

SSII spécialisée dans la protection et la sécurisation des données stratégiques, confidentielles ou sensibles, la société Cortina (www.cortina.fr

) s’est penchée très tôt sur la problématique de la gestion des patches de sécurité, corolaires des vulnérabilités.

Comme le déclare Bruno Rasle, responsable des offres de Cortina, « Ce sujet a l’apparence de la simplicité. En première approche, on imagine un processus dépouillé à l’extrême : un éditeur publie un correctif de sécurité, l’entreprise l’applique immédiatement… et passe à autre chose. La réalité est toute autre, que ce soit au niveau des postes de travail qu’au niveau des serveurs et des applications centralisées». Le centre d’expertise de la SSII a d’ailleurs récemment publié sur son site Web une rétrospective des CPU Oracle (Critical Patch Update) qui fait froid dans le dos… On y découvre que nombre de failles (critiques et remote) ne sont pas traitées avec la célérité et l’efficacité souhaitées, et que nombres d’incidents ont donné – et donnent encore – quelques sueurs froides aux DBA et aux RSSI.

Pour aider les entreprises à réduire leur exposition aux risques et à industrialiser la gestion des patches de sécurité, Cortina a introduit en France ces dernières années sur le marché français deux offres leader dans ce domaine très pointu: Patchlink Update™, de la société Patchlink http://www.cortina.fr/_gestion-de-patch.php

(gestion de patches de sécurité, multi-plateformes, multi-OS) et PatchPoint™ http://www.cortina.fr/_bluelane-emulation-de-patch.php

, de la société Blue Lane (Emulation à la volée de patches de sécurité serveurs).

«Nous proposons et déployons en France des solutions de gestion de patches de sécurité depuis plusieurs années, principalement auprès de grands comptes dans des secteurs sensibles, tels que la défense ou le monde bancaire. Ces offres se complètent et répondent à un véritable besoin : disposer enfin de plus de temps pour gérer cette problématique complexe, tout en bénéficiant d’une protection optimum» déclare Pascal Orset.

A propos de Cortina
Cortina est une société dédiée à la protection de l'information des moyennes et grandes entreprises. Les services et les solutions soigneusement sélectionnées aident les entreprises à mieux protéger leur propriété intellectuelle, leurs communications stratégiques et l'intégrité de leur marque. Grâce à Cortina, elles bénéficient d’une maîtrise accrue de leurs ressources et de leurs moyens, elles disposent d’une mesure des vulnérabilités, elles réduisent leurs risques, elles adaptent leur système d'information aux nouveaux besoins et exigences de leurs clients et utilisateurs. www.cortina.fr

A propos d’Ornis
Ornis, Infrastructure and Software as a Service, offre aux entreprises des solutions d’infogérance informatiques et réseaux en mode ASP. Avec plus de 1000 entreprises clientes sur plus de 4000 sites, Ornis est l’acteur ASP de référence en France. www.ornis.com