L`ESSEC fait confiance aux pare-feu nouvelle génération de Palo

PA L O A LT O N E T W O R K S : C u s t o m e r P r o f i l e
L’ESSEC fait confiance aux pare-feu nouvelle génération
de Palo Alto Networks® pour sa sécurité
CONTEXTE
L’ESSEC, Ecole Supérieure des Sciences Economiques et Commerciales, fondée en
1907, est un acteur majeur de l’enseignement de la gestion sur la scène mondiale. Avec
4400 étudiants, une large gamme de programmes en management, des partenariats
avec les plus grandes universités dans le monde, un réseau de 40 000 diplômés, un
corps professoral composé de 141 professeurs permanents, reconnus pour la qualité
et l’influence de leurs recherches, l’ESSEC perpétue une tradition d’excellence
académique et cultive un esprit d’ouverture au service des activités économiques,
sociales et de l’innovation.
Le Groupe ESSEC bénéficie de 3 sites de formation : le campus de Cergy-Pontoise
(y compris 4 résidences de 1 200 chambres), le site de formation continue basé au
CNIT (La Défense) et le campus de Singapour qui accueille chaque année plus
de 200 étudiants de différents programmes pour une année ou un semestre. Afin
d’encadrer au mieux l’ensemble de ses élèves, le groupe s’appuie sur une équipe de
près de 600 collaborateurs incluant personnels administratif et enseignant.
L’ESSEC a depuis longtemps intégré le web à son fonctionnement, et propose des
accès à ses différents publics : les services administratifs bien sûr, mais également
les enseignants et les élèves dans le cadre pédagogique et pour les usages personnels
des étudiants hors campus. La connexion s’effectue au travers du réseau PACRRET
(Plate-forme de l’Agglomération de Cergy-Pontoise pour le Réseau de Recherche
de l’Enseignement et de la Technologie) qui est lui-même mutualisé avec la plaque
régionale du réseau RENATER (Réseau national de télécommunications pour la
technologie, l’enseignement et la recherche). Compte tenu d’usages de nature personnelle
et de la bande passante nécessaire, les étudiants des résidences sont orientés vers le
réseau LEVEL3.
Aujourd’hui, le réseau de l’ESSEC est divisé en 3 grandes briques. La première est
le réseau administratif câblé dont environ 20 % du trafic doit provenir d’internet,
le reste étant dédié à des applications internes. La seconde est le réseau câblé en
libre-service auquel est connecté le parc de machines équipées de logiciels pédagogiques
et pour lequel 60 à 70% du trafic provient d’internet. La dernière brique est constituée
d’un réseau accessible via des prises en libre-service ou par un accès WiFi. Sur ce
dernier, les étudiants ont accès à internet et accèdent notamment à leur messagerie
ESSEC. De fait la quasi-totalité du trafic est liée à internet.
ENTREPRISE:
ESSEC, Ecole Supérieure des Sciences
Economiques et Commerciales
SECTEUR:
Education
CHALLENGE
Mise en place d’une nouvelle stratégie
de sécurisation du réseau de l’ESSEC
afin de faire face à l’explosion de l’usage
des outils Internet au sein du réseau.
SOLUTION
Création d’un réseau ouvert mais
sécurisé avec filtrage des accès et
blocage des applications et sites
Internet selon l’utilisateur.
Configuration mise en place : Deux
pare-feu PA-4020 filtrant et auditant
tous les accès utilisateurs du campus,
et deux pare-feu PA-2050 au niveau des
résidences. Le système Panorama permet
l’administration centralisée des pare-feu,
via une interface web.
RÉSULTATS:
•Un réseau ouvert mais sécurisé.
•Administration des pare-feu centralisée
et simplifiée.
•Un seul produit Palo Alto Networks
remplace 3 solutions précédentes parmi
lesquelles un proxy, un anti-virus et une
solution de filtrage d’URL, soit une
économie de 30% par rapport aux
solutions précédentes.
PA L O A LT O N E T W O R K S : C u s t o m e r P r o f i l e
CHALLENGES
L’utilisation d’internet a fortement évolué et progressé au cours de ces dix dernières
années au sein de l’ESSEC, au point de devenir un outil indispensable à tous. Par
exemple, au niveau de la messagerie, on comptabilisait environ 1 million de messages
échangés en 2 000 contre près de 28 millions en 2011 soit un trafic d’environ 400 Mbps.
« Aujourd’hui, notamment du
fait de la « consumérisation
» - chacun vient avec ses outils
- et des pratiques réseaux,
la stratégie a évolué et est
totalement différente. Nous
permettons aux gens de faire
ce qu’ils ont envie de faire tout
en respectant une qualité de
service - nous laissons passer
tout ce qui est légal et nous
hiérarchisons les utilisations
en fonction des besoins.Nous
avons évolué d’un cloisonnement
à un décloisonnement du
réseau maîtrisé. »
Patrick Blum,
en charge de la Sécurité et de
la Conformité des SI de l’ESSEC
PAGE 2
La mise en place d’une stratégie de sécurité a été immédiatement nécessaire et celle
mise en œuvre dans les années 2 000 consistait en un cloisonnement fonctionnant
sur le principe suivant : tout ce qui n’est pas autorisé sur le réseau est interdit (jeux en
ligne, chat, vidéo, etc.).
« Aujourd’hui, notamment du fait de la « consumérisation » - chacun vient avec ses
outils - et des pratiques réseaux, la stratégie a évolué et est totalement différente »,
précise Patrick Blum, en charge de la Sécurité et de la Conformité des SI de l’ESSEC.
« Nous permettons aux gens de faire ce qu’ils ont envie de faire tout en respectant une
qualité de service - nous laissons passer tout ce qui est légal et nous hiérarchisons
les utilisations en fonction des besoins. Nous avons évolué d’un cloisonnement à un
décloisonnement du réseau maîtrisé. »
Le réseau interne est désormais ouvert mais l’ensemble des utilisateurs est considéré
comme externe à ce dernier ce qui contribue à protéger le réseau contre de possibles
infections.
Au départ, la DSI a rencontré quelques problèmes de gestion. Les services en streaming,
de visio (ex : skype), etc. imposaient d’ouvrir des flux mais cela contribuait également
à créer des brèches. A l’époque cette ouverture des flux était contraire à la politique
de l’ESSEC. Il a donc été décidé de créer une bulle de production entourée de pare-feu
et protégeant les applications critiques. Ainsi des pare-feu protègent la bulle de
production, d’autres prennent en charge la partie haute-disponibilité et les derniers
procèdent au filtrage des accès sur Internet. La DSI est ainsi en mesure d’augmenter
la capacité du réseau sans avoir à modifier l’infrastructure interne en termes
d’équipements pour gérer la charge des flux.
Concernant la configuration, on retrouve ainsi deux pare-feu PA-4020 filtrant et
auditant tous les accès utilisateurs du campus, et deux pare-feu PA-2050 au niveau
des résidences.
PA L O A LT O N E T W O R K S : C u s t o m e r P r o f i l e
« Afin d’optimiser notre
recherche, nous avons établi
un cahier des charges et
transmis ce dernier à nos
partenaires intégrateurs.
C’est l’un d’eux, Telindus,
qui nous a recommandé
Palo Alto Networks dont les
pare-feu répondaient à notre
problématique de filtrage
de trafic. Nous utilisons
également le système de
gestion centralisée de la
sécurité Panorama de Palo
Alto Networks qui nous permet
au travers d’une interface web
d’administrer nos pare-feu de
nouvelle génération. Panorama
agrège les informations
relatives aux applications, aux
utilisateurs et aux données. »
Patrick Blum,
en charge de la Sécurité et de
RÉSULTATS
En 2009, l’ESSEC était équipée d’un portail captif pour répondre à des problématiques
de sécurité mais également à des obligations légales. En effet, en tant que fournisseur
d’accès internet aux étudiants, la loi de lutte contre le terrorisme de 2002 impose de
conserver les identifiants de connexion ainsi qu’une obligation de traçabilité des
authentifications des utilisateurs à conserver durant un an. Pour répondre à cette
exigence, L’ESSEC avait choisi de s’appuyer sur la solution d’un constructeur qui a
disparu depuis au niveau européen. La DSI s’est donc retrouvée contrainte à rechercher
un nouvel acteur sur lequel s’appuyer. A cette époque, l’ESSEC n’avait pas trouvé de
réponse satisfaisante auprès des acteurs français.
« Afin d’optimiser notre recherche, nous avons établi un cahier des charges et transmis
ce dernier à nos partenaires intégrateurs », poursuit Patrick Blum. « C’est l’un d’eux,
Telindus, qui nous a recommandé Palo Alto Networks dont les pare-feu répondaient
à notre problématique de filtrage de trafic. Nous utilisons également le système de
gestion centralisée de la sécurité Panorama de Palo Alto Networks qui nous permet au
travers d’une interface web d’administrer nos pare-feu de nouvelle génération. Panorama
agrège les informations relatives aux applications, aux utilisateurs et aux données. »
Ainsi, les pare-feu nouvelle génération de Palo Alto Networks, ont permis via un seul
produit de remplacer 3 solutions parmi lesquelles un proxy, un anti-virus et une
solution de filtrage d’URL.
Grâce à Palo Alto Networks, l’ESSEC est désormais en mesure de créer des catégories
de population et d’y associer certains droits et d’autoriser l’utilisation des applications
en garantissant qu’elles ne serviront pas de vecteurs à des programmes malveillants.
Cela permet de prendre en compte certains élèves qui sont encore mineurs par exemple.
« Nous pouvons choisir parmi l’ensemble des applications référencées par les produits
Palo Alto Networks celles que nous souhaitons bloquer. Nous avons donc ciblé et
bloqué tout ce qui concerne les jeux d’argent, le piratage, la pornographie et tout ce
qui est considéré comme inconvenant dans un cadre éducatif » termine Patrick Blum.
L’installation des équipements de Palo Alto Networks a permis à la DSI de réaliser
une économie d’environ 30 % par rapport aux solutions et licences précédemment
en place. Aujourd’hui l’ESSEC envisage la mise en place d’un pare-feu Palo Alto
Networks à Singapour ainsi que la mise à jour des pare-feu en place.
la Conformité des SI de l’ESSEC
Copyright ©2013, Palo Alto Networks, Inc. All rights reserved. Palo Alto Networks,
the Palo Alto Networks Logo, PAN-OS, App-ID and Panorama are trademarks of
Palo Alto Networks, Inc. All specifications are subject to change without notice.
Main:+1.408.573.4000
Palo Alto Networks assumes no responsibility for any inaccuracies in this document
Sales:
+1.866.320.4788 or for any obligation to update information in this document. Palo Alto Networks
Support:+1.866.898.9087
reserves the right to change, modify, transfer, or otherwise revise this publication
without notice. PAN_CS_ESSEC_052413
www.paloaltonetworks.com
3300 Olcott Street
Santa Clara, CA 95054
PAGE 2