Réponse à Appel d offres

Transcription

1 Réponse à Appel d offres Secure Web Gateway Sophos SARL River Ouest 80 Quai Voltaire Bezons Téléphone : Fax : info@sophos.fr 1

2 2

3 Table des matières 1. Contacts A propos de Sophos La société Plus de 100 millions d utilisateurs nous font confiance à travers le monde Notre vision Meilleurs ensemble Active Protection Cycle de vie complet de la sécurité Les SophosLabs Certifications and reconnaissance Vue d ensemble Facilité d administration Fonctionnalités principales et avantages Composants logiciels Composants matériels Fonctionnalités Filtrage sur réputation Détermination du risque d une page Filtrage d url Protection contre les menaces Autres options de filtrage Blocage du trafic privé «Call Home» Paramétrage Configuration Politique d utilisation acceptable Expérience utilisateur Web dans Endpoint Administration Administration d une appliance unique Console d administration et tableau de bord Délégation d administration Surveillance, alerte et notification Gestion des profils et authentification Administration de plusieurs appliances Edition de rapports Rapports du tableau de bord Résumé statistique du jour et trafic web Sites bloqués, virus et codes malveillants Profils de trafic La section rapports Rapports en utilisant les données de journal Support technique L appliance administrée Mises à jour automatiques Surveillance continue

4 8.4. Alertes Assistance à la demande Garantie Table des figures

5 1. Contacts Consultante Avant Vente Lise Delage Tel: +33 (0) Fax: +33 (0) Ingénieur Commercial David Batut Tel: +33 (0) Fax: +33 (0) Société SOPHOS SARL River Ouest 80 Quai Voltaire Bezons Téléphone: +33 (0) Fax: +33 (0)

6 2. A propos de Sophos 2.1. La société La mission de Sophos est de délivrer le meilleur niveau de sécurité informatique et de protection des données pour les entreprises. Nous développons des produits antivirus et de chiffrement depuis les années Aujourd'hui, nos solutions protègent plus de entreprises (soit plus de 100 millions d'utilisateurs) dans plus de 150 pays à travers le monde. Et parce que nous comprenons tous les enjeux liés à la sécurité de votre entreprise, nous sommes reconnus par nos clients et les spécialistes du marché comme leader dans ce que nous faisons. Les professionnels de l'informatique et les spécialistes de la sécurité choisissent Sophos car notre offre est unique sur le marché, reposant sur un engagement très simple : proposer «une sécurité complète, sans complexité». Nos produits protègent les entreprises partout et à tous les niveaux, de la passerelle réseau aux serveurs en passant par les systèmes d'extrémité, les données dans le Cloud et les mobiles personnels des utilisateurs. "Une sécurité complète, sans complexité" signifie une protection plus performante, une meilleure visibilité, des solutions innovantes faciles à déployer et mises au point par l'un des éditeurs les plus réputés qui consacre l'ensemble de ses ressources à un seul domaine : la sécurité. Tous nos produits bénéficient de l'intelligence de nos SophosLabs, notre réseau mondial d'experts qui surveillent les menaces, les attaques et les applications légitimes 24h/24, 7j/7 et qui sont connectés en permanence à votre entreprise via notre service de protection active. Figure 1 : Siège Social de Sophos en Angleterre 6

7 2.2. Plus de 100 millions d utilisateurs nous font confiance à travers le monde Notre mission est d'aider les organisations à protéger leurs données et à lutter contre le nombre croissant de menaces, de plus en plus complexes. Notre protection s'applique partout et assure une sécurité complète à tous les niveaux : systèmes d'extrémité, chiffrement, messagerie, Web, sécurité réseau et UTM. Notre mission est d'aider nos clients à protéger leur entreprise et à maintenir leur conformité. Tous nos clients bénéficient de l'expertise de nos analystes des menaces, répartis à travers le monde. Leurs centres de recherche sont au cœur de toutes nos activités. Ils détectent les menaces les plus récentes et mettent à jour la protection de nos clients automatiquement. De plus, nos équipes Support se composent d'ingénieurs connaissant parfaitement nos produits et disponibles 24h/24 pour vous assister. Nous attachons une importance primordiale à la simplicité d'installation et d'utilisation de nos produits pour vous faire gagner du temps dans la gestion de votre sécurité informatique. Grâce à Sophos, vous pouvez vous concentrer sur vos activités et les besoins de votre entreprise, en sachant que vous êtes parfaitement sécurisé Notre vision La sécurité informatique devient de plus en plus complexe et versatile : nouveaux défis générés par les smartphones, les tablettes ou le stockage dans le Cloud, nombre croissant de produits de sécurité à administrer, nouvelles applications à contrôler, et toujours plus de malwares et de pirates... Malheureusement, les équipes informatiques et les budgets de sécurité informatiques ne suivent pas cette cadence et ont du mal à s'adapter. Chez Sophos, nous pensons qu'il est temps d'adopter une approche différente. C'est pourquoi nous nous sommes engagés à garantir : «une sécurité complète sans complexité». Notre vision est de donner à nos clients : Un système de sécurité unique pour leur entreprise : la «couche sécurité» de leur département informatique Des solutions complémentaires : Endpoint (mobiles compris) + Gateway + Cloud fonctionnent conjointement pour offrir une meilleure protection. Une visibilité globale. Une vue d'ensemble de votre système de sécurité pour que vous puissiez voir en un instant ce qui ne va pas et y remédier. Un cycle de vie complet de la sécurité Un système qui permet de résoudre et d'apporter des améliorations rapidement lorsqu'un problème survient, plutôt que de prétendre qu'il bloque 100 % des menaces sans impact sur l'entreprise. Technologie "Active Protection" pour vous connecter directement à nos experts en menaces informatiques. Moins de complexité - simple à déployer et à administrer, elle évite d'avoir de multiples produits à gérer. 7

8 Un support assuré par des experts - un partenaire de sécurité informatique + un éditeur que vous pouvez appeler pour tous vos problèmes de sécurité, avec des experts qui analysent les menaces et qui sont à votre disposition quel que soit le produit ou la technologie en cause. Nous sommes convaincus que cette approche non seulement vous protège plus efficacement mais elle vous fait aussi gagner du temps et de l'argent Meilleurs ensemble Nous concevons nos produits de manière à ce qu'ils fonctionnent conjointement pour mieux vous protéger avec moins d'impact sur les performances, et vous permettre de : Appliquer votre politique d'utilisation du web non seulement dans l'entreprise mais aussi dans les lieux publics environnants. Chiffrer les données automatiquement tout au long de leur transfert : du serveur à la messagerie, à l'ordinateur portable, à DropBox, au smartphone Android personnel... sans que l'utilisateur ne s'aperçoive de rien. Améliorer votre protection contre les menaces sophistiquées et persistantes grâce au parefeu dernière génération qui communique avec votre protection des systèmes au fur et à mesure que le trafic s'effectue vers votre réseau et en dehors Active Protection Nos experts des SophosLabs surveillent bien plus que les malwares. Ils analysent tous les facteurs pouvant menacer votre sécurité, telles que les applications, les sites Web, le spam et autres vulnérabilités. Nous utilisons ensuite ces informations pour optimiser votre protection. Et notre connexion constante au Cloud nous permet d'ajuster cette intelligence dès que nécessaire. Nos produits simplifient les tâches qui vous prennent trop de temps aujourd'hui et aident à préserver la productivité de vos utilisateurs et de votre équipe informatique. Règles HIPS : Nous créons les règles pour vous, nous vérifions leur précision et nous les ajustons si nécessaire. Il vous suffit de cocher une case pour activer cette protection haute fiabilité. Contrôle des applications : Cette fonction est intégrée à notre antivirus. Vous choisissez les catégories que vous voulez contrôler et nous ajoutons les nouvelles applications pour maintenir votre politique à jour. Contrôle des données : Nous avons intégré une fonction de détection de données sensibles prédéfinies telles que les numéros de cartes bancaires ou les informations médicales. Vous pouvez bloquer ou avertir les utilisateurs qui exposent les données à des risques. Corriger les vulnérabilités : Nous accordons une importance primordiale aux correctifs pour les applications et les systèmes d'exploitation. Vous serez informé des menaces qu'ils arrêtent et pourrez donc facilement identifier les correctifs les plus importants à déployer. 8

9 Cycle de vie complet de la sécurité Notre protection complète va au-delà de la simple détection des menaces. Elle couvre tous les facteurs pouvant impacter la sécurité. Nous réduisons la surface d'attaque : Nous nous attaquons aux vecteurs de risque tels que les sites Web, les applications, les logiciels de partage de données et autres vulnérabilités. Nous protégeons en tous lieux et en toutes circonstances : Nous nous assurons que les utilisateurs sont protégés où qu'ils soient et quels que soient les systèmes et périphériques portables qu'ils utilisent. Nous bloquons les attaques et les violations de sécurité : Notre technologie va au-delà des signatures grâce à notre protection Live, qui permet d'arrêter les nouvelles menaces instantanément. Et le plus important, nous n'entravons pas la productivité des utilisateurs ni de l'équipe informatique. Nos produits sont conçus pour simplifier les tâches qui vous prennent trop de temps aujourd'hui Les SophosLabs Les SophosLabs, notre réseau international de chercheurs et d'experts hautement qualifiés répartis en Europe, Amérique du Nord et Asie-Pacifique, bénéficient de plus de vingt ans d'expérience dans la protection des entreprises contre les menaces connues et émergentes. Ils couvrent tous les domaines de la sécurité informatique avec un système intégré qui traque les malwares, les vulnérabilités, les intrusions, le spam, les applications légitimes, les sites Web infectés, les formats de données personnelles et tous les types de périphériques amovibles. Nos systèmes automatisés analysent des millions de courriels et des milliards de pages Web, mettant à jour des bases de données composées de téraoctets de code légitime et malveillant et identifiant chaque jour plus de URL infectés et plus de nouvelles variantes de code malveillant. Nos analystes surveillent en permanence la protection de nos clients et l'ajustent automatiquement via notre système "Active Protection" en temps réel. 9

10 Figure 2 : Présentation des SophosLabs 10

11 2.5. Certifications and reconnaissance Ingénierie de l'informatique. Physique. Mathématique. Chimie. Nos ingénieurs des SophosLabs sont issus d'horizons scientifiques très variés. Ce qui les réunit? Un désir insatiable, non seulement de résoudre vos problèmes, mais avant tout de les prévenir. Bien que hautement qualifiés, nous demandons à ce qu'ils suivent plusieurs mois de formation intensive et rigoureuse avant d'être prêts pour assurer la sécurité de nos clients. Les plus brillants candidats sont recrutés à l'international pour s'attaquer aux dizaines de milliers d'échantillons de malwares et aux millions de menaces Web et de spam relayés chaque jour. Grâce à nos systèmes d'analyse automatisée sophistiqués et étudiés en fonction des besoins de chaque client, les SophosLabs gardent une longueur d'avance sur les attaques et leurs auteurs. En surveillant et en actualisant la protection en permanence, les analystes des SophosLabs développent une sécurité proactive contre les menaces d'aujourd'hui et de demain. Ce haut niveau de protection a valu à Sophos de nombreuses certifications et reconnaissances. Plus de 50 VB100 prix, pour la protection de Windows Vista, Windows Server 2003, Windows Server 2008 et Windows XP Une note de A+ de AV-Comparatives dans deux tests comparatifs (Proactive/Retrospective test and the Performance test) Nos analystes experts se consacrent non seulement à leur mission aux SophosLabs mais aussi plus globalement à l'industrie de la sécurité informatique. Les SophosLabs sont souvent sollicités par les médias et invités à intervenir lors de conférences sur la sécurité, notamment par RSA, Virus Bulletin, Anti Phishing Working Group et Hacker Halted. Aux SophosLabs, nous effectuons une sélection très rigoureuse des candidats auxquels nous confions votre sécurité. Et les résultats sont là. 11

12 3. Vue d ensemble Les Appliances Web Sophos sont des solutions sécurisées assurant une protection intégrée contre les malwares et le contenu web indésirable. Elles s'articulent autour d'une plate-forme matérielle robuste qui assure une sécurité haute capacité, haute disponibilité avec une simplicité et un contrôle inégalé. Toujours en avance par rapport à l'évolution pourtant rapide des menaces, les Appliances Web permettent de débarrasser votre réseau des menaces web sans impact sur ses performances et sur la productivité des employés. Protection interactive d'avant-garde Les Appliances Web Sophos sécurisent et contrôlent complètement le web en analysant le trafic entrant et sortant du réseau de l'entreprise. Cette approche originale du filtrage, associée à la technologie d'analyse Genotype de Sophos assure une protection automatisée contre les attaques se développant rapidement et évoluant constamment sur le web. Elle utilise le contrôle avant exécution pour déterminer les fonctionnalités du code et le comportement qu'il est susceptible d'adopter, tout cela sans procéder à son exécution. Contrôle complet Pour contrôler le web, Sophos utilise une base de données comportant 54 catégories et couvrant 3,9 milliards de pages en 200 langues, permettant ainsi aux organisations d'utiliser internet de manière productive, efficace et sûre. Grâce aux contrôles d'application et de type de données, les administrateurs peuvent gérer l'exploitation intensive de la bande passante et interdire les applications indésirables et le contenu non approprié. Appliance administrée Grâce aux appliances administrée de Sophos, les administrateurs n'ont plus à passer du temps pour la configuration et la maintenance, et des commandes graphiques intuitives simplifient la supervision. Le bon fonctionnement et la disponibilité du système sont assurés par un réseau de 50 contrôleurs vérifiant continuellement les équipements, le logiciel et le trafic, et transmettant automatiquement les mises à jour d'état au service d'exploitation du réseau Sophos. Console d'administration "opérations en trois clics" Complétant l'utilisation de ces technologies puissantes, une console d'administration intuitive de type web simplifie les tâches administratives et offre une meilleure compréhension et un meilleur contrôle des accès web. La console d'administration donne accès instantanément aux informations pertinentes pour que les administrateurs soient informés des décisions concernant le niveau de trafic, les performances du système et l'exploration. Protection efficace de l accès web Les Sophos Web Appliances assurent la protection maximum de votre accès web avec une administration minimum. 12

13 3.1. Facilité d administration Les Appliances Web de Sophos offrent des avantages sécurisant et simplifiant l'exploration productive du web : Protéger un vecteur essentiel aujourd'hui : prévenir l'infection par des menaces se déplaçant et évoluant rapidement grâce à notre protection interactive prouvée. La technologie Genotype de Sophos assure 93 % de la détection globale de manière proactive, sans la nécessité d'une mise à jour. Contrôle de l'utilisation du web : assurer la productivité en contrôlant l'accès et l'utilisation du web par utilisateur, groupe, site web et contenu. Mieux comprendre la sécurité : utiliser en temps réel les renseignements sur la sécurité et les performances pour créer rapidement des politiques efficaces. Administration simplifiée : diminuer les coûts et le risque par des "opérations en trois clics" pour l'administration et l exploitation au quotidien. Assurer des performances élevées : notre plate-forme spécialisée assure un filtrage très performant et une disponibilité maximale Fonctionnalités principales et avantages Fonctionnalités Indépendance vis-à-vis de la plate-forme Visibilité inégalée sur les menaces web Détection de tous les codes malveillants Protection interactive Genotype et Behavioral Haute capacité Haute performance Respect de la réglementation et filtrage assurant la productivité Protection mondiale Appliance administrée Sophos Support exhaustif Avantages Parfaite adaptation à toute infrastructure réseau Les SophosLabs analysent des milliards de pages web par jour, recherchant les codes malveillants sur plus d'emplacement que les systèmes concurrents d'autres fournisseurs Bloque les spyware, les phishing, les virus, les chevaux de Troie, les vers, les adwares et les autres codes malveillants, y compris le trafic privé "call-home" provenant de machines infectées Bloque les variantes mutantes de code malveillant et les menaces inconnues avant qu'elles ne soient exécutées ou installées Traite facilement le trafic web de plusieurs centaines d utilisateurs simultanés sur une seule appliance L'analyse à un seul moteur détecte et bloque les menaces plus rapidement et plus efficacement que les solutions à plusieurs moteurs Bloque l'accès à un contenu agressif ou illégal, et assure le contrôle d'accès pour d'autres catégories variées Protège les multinationales contre les menaces sur le web sous forme de flux de messages en plusieurs langues Diminue les tâches administratives, automatise la sécurité et les mises à jour du logiciel, et contrôle à distance le bon fonctionnement du système pour assurer une protection fiable 24 heures sur 24 Support technique 24/7 pendant toute la durée de validité de la licence et possibilité de le contacter à tout moment pour une assistance individuelle 13

14 3.3. Composants logiciels Les Appliances Web Sophos sont élaborées sur un système d exploitation (OS) renforcé, optimisé pour les plateformes matérielles et pour les logiciels Sophos incorporés. Conçues autour d un système Linux durci elles vous offriront une stabilité et une fiabilité de haut niveau, ainsi qu une vitesse et des performances excellentes. Le noyau Linux a été optimisé pour assurer une sécurité maximale et pour prévenir le piratage Composants matériels Les Appliances Web de Sophos sont disponibles en plusieurs versions matérielles afin de répondre aux différents besoins des clients, de la WS100 à la WS5000. Deux appliances de supervisions, SM2000 et SM5000, sont également disponibles pour gérer de façon centralisée plusieurs appliances Web. Les appliances comportent les composants matériels suivants sur un serveur 1U dédié. Les appliances sont également disponible en mode virtuel pour être intégrées à votre infrastructure VMWare. 14

15 4. Fonctionnalités Les Appliances Web Sophos sont des passerelles web plug-and-protect assurant une sécurité et un contrôle total. Elles s adaptent aisément à toutes les configurations réseau. Dotée d un système d exploitation intégré, aucune connaissance d UNIX, Linux, Solaris ou de tout autre système d exploitation n est nécessaire. Les Appliances Web protègent contre tous les codes malveillants provenant des contenus web, et vous protège vos utilisateurs contre l ensemble des programmes malveillants, incluant mais se ne limitant pas aux virus, vers, chevaux de Troie, Adwares, et autres tentatives d exploitation de failles de sécurité (Exploit). Les Appliances Web vous permettent d élaborer des politiques d accès à Internet en fonction des catégories de sites, mais également de groupes d utilisateurs ou de machines. En contrôlant les éléments sortants et les données entrantes, les Appliances Web vous permettent d assurer la sécurité du réseau et de faire appliquer les politiques de navigation acceptables du web facilement avec un temps de mise en œuvre extrêmement rapide. Les Appliances Web dites proxy (WS100, WS500, WS1100 et WS5000) sont en charge du traitement de l information reçue et émise, tandis que les Appliances d Administration (SM2000 et SM5000) vous permettront si vous le souhaitez de gérer centralement l ensemble des Appliances de filtrage installées dans votre infrastructure locale et/ou distante, et vous fourniront l accès à l ensemble des rapports consolidés ou par machine individuelle Filtrage sur réputation Avec l évolution des communications par Internet et des applications web, la navigation Internet est reconnue comme un support essentiel de communication pour les sociétés de toute taille et de toute nature, mais aussi comme un maillon faible pour la sécurité et l image de marque de l organisation. Aujourd hui, la plupart des organisations ne peuvent plus effectuer les opérations régulières sans donner aux utilisateurs l accès au web. Malheureusement cette liberté est bien connue de ceux qui l exploitent dans un but malveillant car la plupart des organisations n ont pas encore mis en place des mesures de sécurité suffisantes sur le web. Au cours des dernières années, la croissance explosive des attaques par spyware, phishing ou encore «cross-scripting» prouve la vulnérabilité de l exploitation incontrôlée sur le web. Les Appliances Web Sophos s appuient sur plus de 30 ans d expérience de Sophos en tant que fournisseur de système de sécurité, et vous permettent de prévenir l infection par des codes malveillants comme les spywares, les chevaux de Troie, les vers, ainsi que les tentatives d exploitation de failles de sécurité. La protection est assurée en analysant tout le trafic http et https ainsi que ftp dans http entrant dans la société avant qu il n atteigne le navigateur de l utilisateur. Si un code malveillant est rencontré, il est supprimé, le contenu sain restant étant transmis au navigateur. Un contenu malveillant peut apparaitre sur pratiquement tous les sites web, mais il n est pas possible d analyser le contenu de tous les sites, car ceci entrainerait des retards préjudiciables à 15

16 l utilisateur. Pour relever ce défi impliquant normalement un compromis entre sécurité et performance, les Sophos Web Appliances utilisent une nouvelle technologie d analyse en fonction du risque, adaptant le degré d analyse au risque de la page web Détermination du risque d une page L analyse en fonction du risque s appuie sur la capacité de Sophos à déterminer le niveau de risque pour des milliards de pages web par jour. Le réseau sécurité SophosLabs scrute le web pour détecter les sources de code malveillant, ajoutant une nouvelle URL toutes les 4,5 secondes (plus de par semaine). Lorsque les domaines et les pages web sont visités, les niveaux de risque et les actions sont ainsi affectés. Niveau de risque Caractéristique du site Action Elevé Hébergeant actuellement un contenu malveillant Bloquer Moyen Historique des mauvaises pratiques concernant la vie privée et/ou la sécurité et pouvant compromettre la Bloquer ou analyser sécurité du réseau Faible Pas d'historique récent de contenu ou comportement malveillant, résultant d'examens périodiques par les SophosLabs Analyser Il est essentiel de pouvoir distinguer les sites à risque faible et à risque moyen pour que l utilisateur ne soit pas gêné et que la sécurité ne soit pas compromise. Avec l analyse en fonction du risque, l appliance Web analysera plus les sites à risque moyen que les sites à faible risque. Par exemple, les images sur les sites à risque moyen sont analysées, mais elles ne le sont pas sur les sites à faible risque, car les images contiennent rarement des codes malveillants. Figure 3 : filtrage sur réputation d un site web 16

17 Les Appliance Web utilisent deux autres catégories de risque : sites sécurisés et sites non classifiés. Les sites sécurisés sont des sites contrôlés par des sources de confiance, et pour lesquels on sait qu ils sont sûrs et n ont pas besoin d être analysés. La liste des sites sécurisés, pouvant inclure des sites intranet, des portails fournisseur et des sites administratifs, ou de grands noms de la sécurité, peut être administrée localement. Les sites non classifiés sont ceux qui n ont pas encore été analysés par les SophosLabs. L administrateur peut affecter ces sites à l une des trois grandes catégories de risque Elevé, Moyen ou Faible et prendre des mesures en conséquence Filtrage d url Pour diverses raisons, de nombreuses organisations ne veulent pas autoriser leurs employés à naviguer sur Internet sans limite. Certains contenus peuvent être jugés indésirables sur le lieu de travail pour les raisons suivantes : Soucis concernant la productivité et l utilisation personnelle du temps et des ressources de la société Soucis concernant la responsabilité civile suite à l affichage et/ou la diffusion de contenu agressif et/ou illégal Le moyen le plus efficace pour empêcher le personnel d accéder à ces contenus indésirables ou dangereux, tout en leur donnant accès aux autres contenus, consiste à bloquer l accès aux sites en fonction de leur catégorie (e-commerce, loisir, jeux, banques, pornographie, etc.) Les Appliances Web disposent d une base de données de 54 catégories de contenu couvrant plus de 24 millions de sites et trois milliards de pages web. Adulte/ Sexuellement Alimentaire Véhicule motorisés Shopping explicite Publicités et pop-up Jeux de hasards Actualités Société et culture Alcool et tabac Jeux Peer-to-peer Url de spam Arts Gouvernement Petites annonces et Sports rencontres Blogs et forums Piratage Organisations Spywares philanthropiques et professionnelles Business Santé et Médecine Phishing et fraude Streaming Chat Loisirs et récréation Recherches de photos Mauvais gout et offensant Informatique et Sites d hébergement Politique Voyages internet Activité criminelle Drogues illicites Services proxy et Violence traducteurs Téléchargements Infrastructures Immobilier Armes Education Lingerie et vêtements Référence Messagerie web de bain Divertissement Intolérance et haine Téléchargements de sonneries/téléphones Personnalisé pour intranet et autres sites 17

18 Mode et beauté Finances et investissements Recherche d emploi et développement de carrière Sites pour enfants mobiles Moteur de recherche Education sexuelle clients L administrateur peut fixer une politique d accès (Autoriser/Interdire/Alerter) pour chacune des catégories. Les administrateurs peuvent avertir les utilisateurs qu ils visitent un site d une catégorie spécifiée, les informer que cette action est en contradiction avec la politique de filtrage, et leur transférer ainsi la responsabilité de l accès à ce contenu. Si une page demandée est refusée en raison d une politique établie, l Appliance permet d indiquer à la personne demandant la page pourquoi sa demande est refusée. La section 6.2 détaille les pages de notifications à l utilisateur Protection contre les menaces Les Appliances Web embarquent le moteur unifié de Sophos qui protège plus de 100 millions d utilisateurs dans le monde. Cette technologie sécurise plus vite et plus efficacement en vérifiant simultanément toutes les menaces en un seul passage. Cette approche rend inutile des moteurs séparés pour les spywares, virus, et diminue le temps d attente des pages pour l utilisateur. Il en résulte une réduction importante des tâches administratives associées à la gestion et création de politiques lorsqu il y a plusieurs moteurs. L Appliance Web assure une combinaison idéale d automatisation et de contrôle pour assurer la sécurité de l entreprise en ce qui concerne la navigation sur le web. Elles forment une association entre la mise à jour des définitions de menaces automatisées, les capacités administratives simples et rapides et les alertes par exception. Cette combinaison de fonctions réduit la charge administrative quotidienne et fournit la sécurité et la surveillance dont vous avez besoin. Les Appliances Web bénéficient de l expérience des SophosLabs concernant les menaces, et assure une protection interactive par analyse plus rapide des nouvelles menaces, par plusieurs techniques de détection/mise à jour, et par une gestion sur le cycle de vie de la menace. Les organisations qui utilisent les Appliances Web Sophos bénéficient des avantages suivants : Protection fiable contre les menaces émergentes et les menaces inconnues Gain de productivité des utilisateurs Réduction de la charge administrative Tranquillité d esprit grâce à la protection de l infrastructure de navigation 18

19 4.4. Autres options de filtrage Les Appliances Web offrent d autres options incluant : Options Paramétrage du cache Accès par l adresse IP publique SophosLabs Mode de journalisation Rétention des données de rapports YouTube pour les écoles Google Applications Autres options Description Taille minimale et maximale des objets pouvant être mis en cache Possibilité d accéder à l appliance par son adresse IP publique si celle-ci est en DMZ Partage de données aves les laboratoires Sophos (données non identifiables ni par l adresse IP ni par le nom d utilisateur) Incluant le nom d utilisateur et l adresse IP pour afficher les rapports, résultats de recherche et journaux Possibilité de paramétrer la durée de rétention des données de reporting en mois Possibilité d autoriser uniquement l accès à des vidéos éducatives dans un environnement contrôlé en renseignant l identifiant de la chaine de l école Restreindre la connexion à certains domaines pour Google Applications Autoriser/Refuser les fichiers non analysables et chiffrés, autoriser/refuser les fichiers de taille importante pour lesquels l analyse ne sera pas possible, autoriser certaines applications potentiellement indésirables (PUAs) 4.5. Blocage du trafic privé «Call Home» En s appuyant sur la capacité de Sophos à détecter et analyser les codes malveillants provenant de sources variées, les Appliances Web peuvent ainsi empêcher les ordinateurs clients infectés par des botnets de renvoyer les données aux serveurs en attente («calling home»). Lorsque les SophosLabs identifient une URL servant de dépôt à des informations volées à des ordinateurs infectés, celle-ci est ajoutée à la liste des sites à haut risque, et empêche les ordinateurs de les atteindre. En cas d infection avant l installation de l appliance Web, ou d infection par d autres voies, l administrateur pourra identifier les ordinateurs compromis simplement en affichant le rapport sur les machines suspectes sur l appliance de filtrage ou sur l appliance de supervision. 19

20 5. Paramétrage En tant que proxy, l Appliance Web Sophos est généralement installée sur le réseau local (LAN) ou dans la DMZ, derrière le pare-feu réseau et en amont des postes clients. Le mode recommandé de mise en œuvre de la Sophos Web Appliance est le mode proxy explicite. Ce mode maximise la sécurité et les fonctionnalités, facilite l utilisation car le navigateur client communique directement avec l Appliance. Ce mode permet de valider le certificat HTTPS d un site web et d utiliser l Active Directory ou edirectory pour l authentification de l utilisateur, la création de rapports et de politiques. Le mode explicite implique la configuration du navigateur client, pouvant être automatisée dans l environnement Active Directory. Figure 4 : appliance web déployée en mode proxy explicite 1 : Utilisateurs 2. Web Appliance 3 : Pare feu 4 : Internet D autres modes d installations sont également envisageables comme le mode proxy transparent ou le mode bridge (nécessite une carte de bypass) Configuration La configuration de l Appliance Web Sophos est simple. Une fois installé et lancé, l assistant de paramétrage permet d effectuer la configuration, ramenant la durée d installation à moins de 30 minutes. L Assistant détecte automatiquement les paramétrages de l Active Directory et défini une politique par Défaut afin de sécuriser le trafic web rapidement et efficacement. La configuration peut être modifiée à tout moment en utilisant la console d administration «en trois clics». 20

21 Figure 5 : modification de la configuration Le tableau ci-dessous indique les composants configurables de l appliance web présents dans l onglet de configuration. Catégorie Section Description Comptes Administrateurs Options des pages de Notification Gestion de la délégation d administration Personnalisation simple (ajout d une image, affichage de l url ) ou avancée avec Politique groupe Politique globale Système Politique par défaut Groupes par défaut Heures spéciales Politiques additionnelles Liste des sites locaux Test de politique Filtre de sécurité Catégorisation dynamique Prévention des fuites d informations Analyse HTTPS Validation de certificats Options de téléchargement Options générales Mises à jour Alerte et monitoring Sauvegarde Restauration Active Directory modification de templates Configuration de la politique par défaut Définition des groupes par défaut Définition des créneaux horaires spécifiques Configuration de politiques spécifiques Gestion de la classification locale des urls Vérification de l accès internet d un utilisateur par rapport à une politique Gestion des niveaux de risque d une url Gestion automatique des proxies anonymes Blocage du webmail et/ou des blogs & forums Gestion du trafic https Configuration de la validation de certificats Autorise/bloque des fichiers non scannables Gestion d options telles que le cache ou l envoi d information aux SophosLabs Configuration des mises à jour des définitions et du firmware Configuration des alertes et gestion du syslog Sauvegarde de la configuration et des logs Restauration de la configuration 21

22 Réseau edirectory Authentification Profils de connexion Fuseaux horaires Gestion centralisée Autorité de certification Contrôle web dans Endpoint Interface réseau Hostname WCCP Connectivité réseau Outils de diagnostic Configuration de la synchronisation Active Directory Configuration des paramètres de synchronisation edirectory Permet de bypasser l authentification si nécessaire ou encore d activer un portail captif Définir des profils de connexion par type de téléphone ou d applications Configuration de l autorité de certification pour le scan https Configuration du fuseau et du serveur de temps Intégration avec les appliances de supervision Gestion de la communication avec les postes équipés de la solution Endpoint Protection Paramétrage de l adressage IP Configuration du fqdn, chainage de proxy, serveur SMTP Intégration et configuration de l appliance en mode WCCP Test de connectivité Outils tels que traceroute, requête DNS, ping Politique d utilisation acceptable Le contrôle de la navigation est un moyen efficace d augmenter la productivité, de diminuer le risque concernant la responsabilité civile et d éviter la perte de données confidentielles. Il faut naturellement trouver un équilibre entre les contrôles nécessaires et les besoins des utilisateurs. La section Group Policy des Appliances Web permet de créer aisément des politiques grâce auxquelles les organisations peuvent exercer le contrôle nécessaire sans gêner l utilisation légitime du web. La section Group Policy est un ensemble de politiques incluant la politique par défaut (Default Policy) et plusieurs autres politiques en fonction des besoins de la société. Chaque politique comprend trois éléments : Une liste des utilisateurs, ordinateurs et/ou autres groupes concernés par la politique, Une liste des catégories URL et des règles de filtrage d application, D autres options affectant la navigation de l utilisateur. Pendant l installation, l administrateur choisit un ensemble de politiques de référence qui deviendra la politique par défaut pour cette Appliance, pouvant être plus tard affichée et modifiée sur l écran Default Policy. La politique par défaut donne une règle pour chaque catégorie d URL et type d application. 22

23 La plupart des sociétés auront des utilisateurs ou des groupes devant avoir accès à des sites soumis à restriction et exigeant des contrôles plus stricts. Par exemple une école peut imposer des restrictions différentes pour les professeurs, le personnel de l Université, et pour les étudiants. Les Appliances Web le permettent en créant d autres politiques spécifiant d autres règles pour des utilisateurs, ordinateurs ou groupes particuliers. Les politiques additionnelles ne spécifieront généralement des règles que pour un sous ensemble de catégories d URL ou types d application. La création des politiques additionnelles est guidée par un assistant en trois étapes permettant de spécifier les membres concernés par la politique, les règles concernant les contenus, et un nom mémorisable pour la politique. Vous pouvez également créer des politiques avec une date prédéterminée d expiration si elles sont temporaires, par exemple une politique donnant un accès à une ressource donnée à un sous-traitant pour la semaine. Chaque accès ou téléchargement sur un site web est évalué en fonction de chaque politique dans l ordre de priorité. Si l utilisateur ou adresse IP correspond à une politique et si le contenu correspond à une règle concernant la catégorie ou le type de fichier, la mesure appropriée sera prise. Si aucune règle de politique concordante n existe, la règle de la politique par défaut est appliquée. La section Special Hours permet de créer une politique alternative pendant certaines heures de la journée. Cette politique peut être appliquée au maximum pendant deux créneaux horaires chaque jour, par exemple pour le déjeuner et en dehors des heures de travail. Figure 6 : Utilisation du web à certaines heures de la journée Les Appliances Web disposent d une fonctionnalité de test des politiques permettant de vérifier quelle politique est appliquée à quel utilisateur ou adresse IP et pour quelle URL. Ceci peut s avérer très utile pour déterminer rapidement l élément bloquant dans une politique lorsqu un utilisateur se voit refuser l accès à un site web. 23

24 Afin de prévenir le risque d erreur, même si un site est autorisé par la Politique Groupe, les capacités de filtrage sécurité de l Appliance ne peuvent pas être surpassées. Tous les sites sont analysés pour détecter les contenus malveillants et sont bloqués s ils présentent un risque élevé pour la sécurité. Figure 7 : Le test de politique identifie la politique bloquant une demande 5.3. Expérience utilisateur Lorsqu ils naviguent sur le web, les utilisateurs veulent avoir accès instantanément (ou presque) au contenu voulu. Bien qu il puisse y avoir plusieurs raisons empêchant le chargement d une page (bande passante insuffisante, avarie chez le fournisseur d accès, surcharge du serveur, etc.) les utilisateurs sont impatients lorsqu ils n obtiennent pas l information cherchée. La sécurité est le plus souvent blâmée car on pense que l analyse des menaces ralentit la transmission du contenu. Bien que l analyse des fichiers explique en grande partie le retard avec les systèmes traditionnels de sécurité, ce n est pas le cas avec l Appliance Web Sophos. L Appliance Web Sophos est conçue pour éviter les retards et répondre à l attente de l utilisateur, ajoutant moins de 1 seconde de latence à la demande de l utilisateur. Les technologies d analyse de l Appliance minimisent la durée de l analyse et réduit le temps d attente ; le ressenti utilisateur est très positif. Afin de satisfaire des utilisateurs de plus en plus exigeants, il est impératif de mettre en place une solution ne perturbant pas leurs habitudes et les informera au mieux d un éventuel retard induit par le filtrage. A cet effet, la plupart des téléchargements sont effectués à la volée, utilisant le gestionnaire de téléchargements du navigateur utilisé comme s il n y avait pas de proxy. Parfois, cette analyse à la volée est impossible. Les Appliances Web informent les utilisateurs des actions entreprises si ces dernières demandent un délai. A cet effet, le téléchargement d un élément volumineux devant être intégralement reçu par l Appliance Web pour pouvoir être analysé pourra être visible de l utilisateur grâce à une barre de progression l informant de l état du téléchargement demandé : 24

25 Figure 8 : Page de patience Lorsqu un utilisateur enfreint la politique de sécurité mise en place, il est important de lui fournir une information claire. Chaque opération entraînant le blocage sera clairement notifiée à l utilisateur, lui permettant éventuellement (si paramétré) de passer outre cette protection en prenant la responsabilité de cette opération à sa charge. Le lien «Signaler toute mauvaise catégorisation à l administrateur» permet aux utilisateurs en un simple clic de signaler la mauvaise classification de la ressource, et permettra à l administrateur de corriger le problème ou d informer l utilisateur sur la politique de sécurité en vigueur dans l organisation. Figure 9 : Notification utilisateur : blocage et avertissement Les pages de Notification sont affichées dans les cas suivants : Code malveillant détecté Site soumis à restrictions Violation de politique Application bloquée Type de fichier bloqué Patience (téléchargement ralenti par le serveur) Certificat invalide (HTTPS) Avertissement avec option de continuer 25

26 Au choix de l administrateur, la page Notification peut contenir les informations suivantes : URL demandée Raison du refus d accès Logo de la société L administrateur peut modifier le titre de la page et ajouter des remarques sur chaque page de notification. Les utilisateurs dont les navigateurs fonctionnent avec une autre langue supportée (français, espagnol, allemand ou italien) verront le texte affiché dans leur langue. Tous les autres utilisateurs verront la version anglaise. Les administrateurs peuvent modifier le texte affiché dans chaque langue indépendamment. Figure 10 : Configuration des pages de notification Les notifications des Appliances Sophos Web maintiennent la transparence de la politique de sécurité de l organisation et prouvent l efficacité de l Appliance pour écarter du réseau les codes malveillants et les contenus indésirables ou dangereux Web dans Endpoint En ajoutant une licence Sophos Endpoint Protection, vous avez la possibilité de synchroniser les fonctions suivantes avec l'ensemble de vos systèmes d'extrémité, quelque soit leur emplacement : politiques de productivité par utilisateur pour 54 catégories de sites prédéfinies, politiques d'utilisation personnalisées et rapports d'activités. Au travers de l échange d une clé d authentification entre une appliance web (physique ou virtuelle) et les postes d extrémité, grâce au processus «Sophos LiveConnect», les deux composants peuvent communiquer au travers d un tunnel chiffré pour échanger : d une part les nouvelles politiques définies de manière centrale sur l appliance et qui peuvent être définies en fonction de l utilisateur connecté et/ou de plages horaires, 26

27 d autre part les remontées d activités auprès de l appliance interne à l entreprise des événements de navigation survenus ainsi que les demandes d exception ponctuelles effectuées par les utilisateurs. Figure 11 : Processus Sophos Live Connect Toutes ces fonctions s'effectuent de manière instantanée et automatique via le Cloud depuis la console de l'appliance Web de Sophos pour les utilisateurs itinérants. Pour les sédentaires le deuxième avantage est le fait que ce filtrage d accès à internet est réalisé depuis le poste. Du coup lorsqu une requête est effectuée depuis un poste fixe, elle est validée ou non localement et lorsque la requête de navigation web se présente auprès de l appliance web, elle est reconnue comme ayant déjà été traitée et n est donc pas évaluée une seconde fois ce qui soulage la charge de l appliance et donc améliore les performances et la longévité de cet équipement. La console de l appliance Web vous permet aussi de visualiser depuis un point unique les utilisateurs connectés à sa politique de sécurité et de répondre à leur demande d autorisation d accès de manière quasi immédiate. Figure 12 : Stratégie de gestion du web par catégorie 27

28 Ne cherchez pas plus loin. Vous ne trouverez pas une offre plus innovante et différenciatrice pour protéger efficacement vos utilisateurs sur Internet, quelque soit le type de connexion réseau. Avec ces deux options vous assurerez : Une protection pour tous vos utilisateurs. Partout. Les fonctions d'application des politiques d'utilisation d'internet et de détection des malwares ont été directement intégrées à notre agent Endpoint, qui suit vos utilisateurs partout où ils vont Une administration simple et centralisée des politiques Sophos Enterprise Console vous permet de créer vos politiques en toute simplicité. Et mieux encore, si vous disposez de l'une de nos Appliances Web (physique ou virtuelle), la politique se synchronise immédiatement avec les systèmes d'extrémité via le Cloud Toutes les connexions web de vos utilisateurs sont enregistrées, ce qui vous permet de connaître leurs activités quelque soit l'endroit où ils se trouvent Grâce aux nouvelles fonctions intégrées à vos systèmes d'extrémité, vous pouvez éliminer le «backhauling» et gérer plus facilement chaque utilisateur. Et vous n'avez plus besoin de vous inquiéter des points d'échec individuels Vous éliminez la complexité et les coûts 28

29 6. Administration Les Appliances Web Sophos maximisent la sécurité et minimisent la charge administrative. En s appuyant sur l expérience de Sophos concernant la détection des virus, du spam et d autres codes malveillants, elles utilisent un paramétrage efficace de Politique par Défaut, écartant tout aléa dans la configuration du système Administration d une appliance unique Console d administration et tableau de bord La console d administration est une interface graphique sécurisée de type web qui permet les actions suivantes : Configuration des paramètres du système et du réseau Configuration de la sécurité et des filtres de contenu Contrôle de l état du système et diagnostic des interruptions Gestion des retours d information utilisateur Etude des catégories et des niveaux de risque d un site via la fonction de Test Affichage de sécurité pour les virus, PUA, sites à haut risque et violation des politiques Rapports en temps réel sur des problèmes tels que les accès aux sites, activités de l utilisateur, rencontre de menaces, etc. Figure 13 : Tableau de bord 29

30 Le tableau de bord est la page d accueil de la console, résumant instantanément la performance globale du système. A partir du tableau de bord, l administrateur peut contrôler le trafic web, l état de protection, mesurer les performances du système, vérifier la catégorie et le niveau de risque d une URL, et vérifier la disponibilité du système. Reposant sur une exigence stricte de navigation minimale, chaque fonction de la console d administration s exécute en moins de trois clics et l accès en ligne de commande n est plus nécessaire Délégation d administration L assistant de configuration permet à l administrateur de créer et de gérer facilement les comptes d administration délégué. Définir un nouveau compte d administration, lui assigner un rôle et limiter la vue des rapports ne prend que quelques étapes. Cinq rôles essentiels sont prédéfinis : Helpdesk : approuve les demandes de soumissions, teste les politiques et vérifie la connectivité réseau Policy : configure et teste toutes les politiques de navigation internet Reporting : visualise et planifie les rapports User activity : accède à l activité détaillée de l utilisateur Full access : accès complet à toute la configuration et capacité de reporting Figure 14 : Assistant de création d un nouveau compte Surveillance, alerte et notification Les Appliances Web diminuent la charge administrative en contrôlant de près l état du système via un réseau complet comprenant plus de 50 capteurs. Lorsqu un capteur se déclenche, une alerte du tableau de bord et/ou une alerte par courriel sont alors envoyées à l administrateur. Le bouton System Status du tableau de bord permet d avoir un aperçu rapide de la situation ainsi que les démarches recommandées pour résoudre le problème. 30

31 En cas de condition critique pour la résolution nécessitant une assistance externe (panne d un disque dur par exemple), une alerte est envoyée à Sophos pour corriger le problème. Sophos peut souvent résoudre le problème avant que l administrateur en ait connaissance. Ainsi, si aucune alerte ou notification de l Appliance (ou de Sophos) le système est considéré comme fonctionnant correctement et qu aucune interaction ou intervention n est nécessaire. Les administrateurs ne sont notifiés que si quelque chose doit attirer leur attention, sinon ils peuvent se concentrer sur d autres priorités en étant sûr que l Appliance Web n est pas menacée et fonctionne efficacement. Figure 15 : Etat du système Vérification du statut Il est possible de déterminer instantanément l état général de l appliance en se connectant à la console d administration et en vérifiant l indicateur System Status, qui figure en haut à droite de chaque page. Vert : tous les systèmes sont normaux Jaune : une perturbation temporaire ou de peu d importance Rouge : une perturbation critique. Dans le cas d une perturbation critique, il est possible d envoyer une alerte par au contact chargé du supporte technique, de même qu à Sophos. En cliquant sur l indicateur Etat du Système, on obtient tous les détails sur l environnement de la l Appliance Web : Trafic : pointes de virus, fichiers et applications indésirables, retard de page, longueur des files à analyser, durée d analyse Matériel : performance des composants matériels, température, utilisation de la mémoire, etc. Logiciel : santé du processus, état de la protection, connexion à Sophos, redémarrage du système, mises à jour du système Licence : validité de la licence 31

32 La page System Status affiche un indicateur pour chaque élément de surveillance, de même qu un message indiquant l état actuel du système, fournissant des solutions permettant de résoudre le problème et donnant des détails sur la dernière exception survenue (date et heure). Si une exception se produit, un clic suffit pour consulter des détails supplémentaires sur l incident et savoir si des actions ont eu lieu. Chaque opération critique de l Appliance est visualisable à partir de cette page unique de la console d administration. L écran System Status facilite l analyse spontanée et complète des performances générales et de l état de la protection et permet d obtenir des instructions sur la manière de corriger les interruptions du système Mises à jour Les Appliances Web se connectent à Sophos toutes les 5 minutes pour vérifier et le cas échéant télécharger les dernières mises à jour de définition des menaces, la liste Sophos des sites malveillants, ainsi que le logiciel d exploitation. Par défaut, ces mises à jour sont téléchargées et appliquées automatiquement. L administrateur peut télécharger et appliquer des mises à jour logicielles non vitales selon un calendrier prédéfini ou effectuer des mises à jour simples, à la demande. Les mises à jour non critiques peuvent être différées jusqu à sept jours, et seront automatiquement appliquées dans la fenêtre de mise à jour par l administrateur. L application des mises à jour logicielles majeures comme les patches contre la vulnérabilité, est instantanée. Figure 16 : Planification des mises à jour 32

33 Sauvegarde et restauration de configuration L administrateur peut programmer l appliance pour qu elle procède au lancement de sauvegardes FTP automatiques des données de configuration et des journaux système. Si validée, cette sauvegarde sera effectuée automatiquement, conformément à la planification. Les données de configuration peuvent également être sauvegardées manuellement et très simplement dans la section System Backup de la console d administration. Les appliances utilisent un archivage automatique, afin de maintenir des performances optimales et d assurer une capacité de stockage embarqué adéquate. Si le volume de données stockées sur le disque dur atteint une capacité de 70%, les données seront archivées automatiquement afin qu un minimum de 40% soit disponible. Figure 17 : Sauvegarde de la configuration et des logs Les administrateurs peuvent établir la configuration système et la liste locale de sites à partir d une sauvegarde antérieure, facilement par une simple interface Gestion des retours utilisateurs Comme indiqué plus haut, les administrateurs peuvent autoriser les utilisateurs à retourner des informations sur les catégories de sites. Ceci est géré par la politique par défaut et les autres Politiques. Lorsque ces utilisateurs rencontrent une page de notification concernant une violation de politique, ils peuvent demander un changement de catégorie afin d ajuster la politique. Par exemple, si des utilisateurs tentent d atteindre une page web bloquée à cause d une classification incorrecte, ils peuvent demander un changement de catégorie et/ou un déblocage à l administrateur. 33

34 Tous les retours utilisateur apparaissent dans la fonction Rechercher sur la console d administration, divisées en 3 catégories sous Rapports d Utilisateurs : Sites Applications (par exemple : plug-in, barres d outil, lecteur média, etc.) Types de fichiers (par exemple : archives, documents, exécutables) L administrateur peut approuver ou refuser les demandes en cliquant sur les deux boutons de la colonne Actions à droite de l écran. Les modifications approuvées d urls apparaitront automatiquement dans la liste locale des sites. Figure 18 : Demandes utilisateurs Capacités supplémentaires de recherche Les Appliances Web peuvent effectuer des recherches dans l activité récente de navigation. La console d administration vous permet la recherche via une interface graphique intuitive les données enregistrées sur l Appliance. Sites visités par un utilisateur donné ou une adresse IP (selon l utilisation ou non de l Active Directory) Noms d utilisateurs ou adresses IP ayant visité un nom de domaine donné Cette information vous permet le suivi des comportements des utilisateurs ou pour connaître les visiteurs de sites non conformes à la politique d utilisation de l organisation. 34

35 Figure 19 : Recherche par nom d utilisateurs / adresses IP Figure 20 : Recherche par domaine 35

36 Intégration avec un annuaire Les Appliances Web permettent de paramétrer rapidement des utilisateurs et groupes d utilisateurs par intégration dans un Active Directory (AD) ou edirectory, permettant d authentifier les accès et appliquer selon le groupe les politiques correspondantes. Figure 21 : Configuration Active Directory Figure 22 : Configuration edirectory 36

37 Gestion des profils et authentification Il est maintenant possible avec les appliances web de pouvoir gérer de façon plus granulaire l authentification des équipements. En effet, il est ainsi possible de bypasser complètement l authentification ou de forcer le SSO. Si jamais celui-ci échoue, un portail captif permet de définir une durée de navigation pour un utilisateur invité. Figure 23 : Paramètres d authentification Les profils de connexion permettent d aller encore plus loin, comme définir un mode d authentification particulier en fonction du type d applications ou de téléphones. Figure 24 : Exemple de profil de connexion 37

38 Figure 25 : Connexion au portail captif 6.2. Administration de plusieurs appliances En complément des appliances de filtrage WS100/WS500/WS1100/WS5000, il peut vous être proposé une Appliance d administration et de supervision de type SM2000 ou SM5000 afin de : - Consolider les rapports et les logs de toutes les Appliances de Filtrage Web - Gérer centralement les configurations de vos différentes Appliances de Filtrage - Conserver l historique de la navigation en un point central jusqu à 3 ans - Pouvoir générer des rapports sur une période allant jusqu à 3 ans Les Appliances d Administration de Sophos ont été conçues pour agréger les informations de 50 Appliances de Filtrage, soit utilisateurs simultanés, aussi simplement que s il s agissait d une seule Appliance. Figure 26 : Tableau de bord de l appliance de supervision L ajout d une Appliance de Filtrage Web s effectue en un seul clic de souris. La machine étant ainsi gérée centralement sera dédiée au filtrage ainsi qu aux actions communément utilisées par le Helpdesk, comme par exemple tester une URL afin de connaître la raison du blocage. 38

39 Lorsqu une Appliance de filtrage est gérée centralement, les éléments de configuration locaux de la machine ne sont plus disponibles, à l exception des éléments uniques à la machine (adresse ip, nom, mises à jour, outils de diagnostics, etc.). Figure 27 : Rattachement de l appliance de filtrage à une appliance de management 39

40 7. Edition de rapports Afin de conserver le contrôle et la visibilité de l appliance, l administrateur doit avoir une parfaite compréhension du fonctionnement du trafic web. Savoir que le réseau possède une protection à jour contre les virus et les sites web à risque n est pas suffisant. La direction demande souvent à l administrateur de fournir une analyse du trafic. Ce type de demande exige une analyse en profondeur de facteurs tels que les éléments visités et les performances matérielles et logicielles. Les fonctions d édition de rapports des appliances en temps réel facilitent l acquisition de ce niveau de compréhension, qui permet une meilleure gestion et une administration plus rapide du système. Il est possible d accéder aux rapports à partir de deux emplacements sur la console d administration. Les principales statistiques comme le transfert des données et le comportement des menaces sont résumés sur le tableau de bord Rapports du tableau de bord Le tableau de bord affiche un récapitulatif rapide des performances du système en direct, avec des données mises à jour automatiquement toutes les 5 minutes. Le tableau de bord regroupe des données en trois sections : résumé statistique du jour, trafic web et profil de trafic, donnant facilement accès aux statistiques les plus courantes Résumé statistique du jour et trafic web Ces statistiques situées en haut à gauche du tableau de bord, donnent le nombre d utilisateurs sur la journée, d utilisateurs concurrents, et des données globales sur la bande passante et le transfert des données. Ces statistiques donnent rapidement les principales caractéristiques de votre trafic web depuis minuit. Dans la moitié inférieure, deux cadrans mesurent le débit (en kbps) et temps de latence (en ms) de l appliance de filtrage web pour analyser et délivrer une page demandée. Ces cadrans donnent une image instantanée de la vitesse du trafic web passant par l Appliance de filtrage et le temps de traitement de la page demandée. Si le cadran de gauche (débit) dépasse le maximum, ceci indique un nombre trop élevé de téléchargements. Si le cadran de latence dépasse le maximum, il se peut qu il y ait un problème de connexion réseau. 40

41 Sites bloqués, virus et codes malveillants En haut à droite, des statistiques résument les nombre de virus, PUA, sites à haut risque et violation de politiques de sécurité. Les administrateurs peuvent avoir des rapports détaillés permettant de mieux les analyser en cliquant dessus Profils de trafic En bas à droite du tableau de bord, 3 graphiques linéaires mesurent le trafic journalier, les niveaux de virus, et les tentatives de visite de sites à haut risque. Cette information est utile pour comparer le trafic d aujourd hui à celui des 7 jours précédents. La zone blanche représente le flux quotidien jusqu à une heure donnée et la ligne rouge le flux moyen sur une période de 7 jours. S il existe une différence visible entre les deux structures, cela peut indiquer un pic dans le volume de trafic ou une épidémie virale (zone blanche à un niveau plus élevée que la ligne rouge) ou un problème de connexion ou de relais (ligne rouge à un niveau plus élevé que la zone blanche) La section rapports En cliquant sur l onglet Rapports de la barre de navigation, on révèle des rapports plus développés et approfondis. Depuis cette section, les administrateurs peuvent détailler les habitudes de navigation et les performances système, permettant de savoir comment les utilisateurs naviguent sur le web et les dangers de leur comportement sur le réseau. Le menu de navigation situé à gauche vous dirige vers une vaste gamme de rapports personnalisables et générés dynamiquement. Ces rapports sont groupés en trois grandes categories: Catégorie Trafic et performances Utilisateurs Nom du rapport Volume Latence Bande passante Utilisateurs téléchargeant des virus Utilisateurs téléchargeant des PUA Visiteurs de site à haut risque Infraction aux stratégies Utilisateurs principaux de la bande passante Utilisateurs principaux par temps de 41

42 Politiques et contenu navigation Temps de navigation par utilisateur Utilisateurs principaux par catégorie Catégories visitées par utilisateur Sites visités par utilisateur Sites autorisés Sites en mode alerte Sites bloqués Catégories Téléchargement Machines suspectes (Call Home) Ces rapports sont établis en temps réel et peuvent être personnalisés par l administrateur pour refléter un intervalle de temps particulier. Chaque rapport peut être exporté au format CSV pour une analyse hors ligne. Par exemple, un rapport exporté peut être inclus dans une présentation destinée à l équipe de management ou à la personne chargée de la conformité pour démontrer l efficacité de l appliance en matière de protection web. Par ailleurs, afin de ne pas avoir à générer les rapports manuellement et les transmettre à diverses personnes selon leur besoin, vous avez la possibilité de planifier l envoi de rapports automatiquement pour les périodes dont vous aurez besoin. Par exemple, vous pourrez planifier l envoi d un rapport sur l utilisation de bande passante la veille de la réunion quotidienne avec les équipes réseau, tandis que vous aurez besoin de disposer des dernières informations à jour avant la réunion avec le responsable de la sécurité de l organisation le lundi après-midi. Figure 28 : Planification de l envoi de rapports périodiques 42

43 7.3. Rapports en utilisant les données de journal Parfois les administrateurs doivent remonter dans le temps pour étudier la navigation d un utilisateur soupçonné de violer la politique d utilisation acceptable. Dans ce cas, les administrateurs peuvent examiner les données de journaux exportés. Les administrateurs peuvent exporter les fichiers de logs dans le format «sophos» ou dans un format standard «squid». Les données sous le format de Sophos donnent des informations détaillées sur le trafic pouvant être traitées et analysées avec plusieurs outils commerciaux d édition de rapport comme Webspy. Le format Squid est moins détaillé, mais est compatible avec plusieurs outils de reporting. 43

44 8. Support technique 8.1. L appliance administrée Les Sophos Web Appliances introduisent un nouveau concept en matière de sécurité des réseaux : l appliance administrée. Une appliance administrée combine les avantages d une solution d appliance (facilité d utilisation, indépendance des plateformes et protection robuste) aux points forts d un service administré (sécurité externalisée, haute disponibilité et haute capacité). L appliance administrée, en revanche, fait partie de votre réseau, et vous conservez ainsi le contrôle et la visibilité auquel vous devez renoncer lors de l utilisation d un service administré. Grâce à la fusion de ces deux facteurs, vous jouissez d une tranquillité et d une assurance inégalée. Le concept de gestion par l exception est à la base de l appliance administrée Sophos. L Appliance prendra contact avec l administrateur uniquement si une mesure s impose sans contact de la l Appliance, tout va bien et l administrateur peut s occuper d autre chose Mises à jour automatiques La plupart des appliances des fournisseurs ne consultent les données que toutes les 30 à 60 minutes pour maintenir la protection contre les menaces à jour. Avec le rythme et l évolution de plus en plus rapides des menaces, les retards peuvent créer des failles considérables dans la protection du proxy. Les Sophos Web Appliances éliminent les retards prolongés et améliorent la sécurité en procédant au téléchargement automatique de nouvelles définitions de menaces délivrées par les SophosLabs toutes les cinq minutes. Cette fréquence de mises à jour permet à Sophos de réduire le laps de temps entre la découverte d une nouvelle menace et l élaboration d une protection pour la combattre. La consommation de bande passante est également réduite, puisque des fichiers de taille moins importante sont téléchargés, ce qui représente un facteur important pour la capacité de réaction et l efficacité de la protection. Les nouvelles mises à jour critiques de logiciels et de définitions de menaces sont appliquées automatiquement lors du téléchargement. Les mises à jour logicielles non critiques peuvent être appliquées instantanément selon un calendrier déterminé par l administrateur. 44

45 Figure 29 : Mises à jour du système 8.3. Surveillance continue Grâce aux fréquents téléchargements, vous êtes assuré de bénéficier de la meilleure protection disponible. Sophos améliore d avantage ce concept en vérifiant à distance que chaque appliance possède les définitions de menaces les plus récentes. Plutôt que de se contenter d effectuer les mises à jour planifiées, les appliances Sophos vont chercher les mises à jour auprès d une banque de données centralisée, qui procède à des contrôles actifs pour s assurer que chaque appliance installée se manifeste régulièrement et télécharge les mises à jour. Si une appliance n a pas contacté la base de données depuis plus de deux heures, cette dernière alerte l équipe de support technique de Sophos qui avertira à son tour l administrateur et examinera la situation. Ce système de surveillance continue unique, véritable filet de sécurité supplémentaire, rassure les administrateurs et leur redonne confiance. En effet, ils ne doivent plus se préoccuper de savoir si la protection de leur appliance est bien à jour Alertes Les appliances utilisent plus de 50 capteurs différents pour effectuer des contrôles complets, allant de la synchronisation avec Active Directory aux pics de virus. La plupart de ces capteurs apparaissent sur l écran System Status (Etat du système) de la console d administration. Si un capteur détecte un comportement anormal des paramètres de fonctionnement de l appliance, il génère une alerte qui apparait sur la page System Status, accompagnée d une action recommandée pour résoudre le problème. La couleur du bouton System Status sur la barre de navigation change et donne ainsi une indication visuelle : vert pour signaler que tout est normal, jaune pour un avertissement et rouge pour une alerte vitale. Cliquez sur ce bouton et vous serez dirigé vers la page System Status, où vous obtenez plus de détails et apprenez si une action corrective a été mise en place, le cas échéant. 45