L’intégration de multiples fonctions de sécurité dans un seul équipement répond à la demande de simplification des architectures de sécurité internet. Bien évidemment, sur ces arguments de simplification et surtout de coût réduit, cette intégration a suscité un intérêt fort chez les clients. De nombreux acteurs se sont alors lancés sur ce marché, faisant naitre un grand nombre de solutions dites UTM (la terminologie UTM définit un équipement matériel qui combine à minima des fonctions de Firewall, de VPN, d’IPS, et d’anti-virus, regroupant dans un seul équipement des fonctions autrefois dissociées).
Mais cette approche a un coût technologique : Faire tourner un grand nombre de technologies de sécurité sur un processeur unique (accompagné ou non d’un ou plusieurs ASICs) ne peut se faire qu’avec deux inconvénients majeurs :
- Les performances : Faire tourner de nombreuses fonctions sur un hardware unique fait s’effondrer l’appliance. Il est courant, lorsque l’on allume des fonctions gourmandes en CPU (demandant une analyse approfondie des paquets) telles que l’anti-virus, l’antispam (etc), les performances chutent de 90%…
- La qualité des fonctions : Pour obtenir un coût intéressant et des performances « correctes », il faut renier sur la qualité des fonctions. Bien souvent, les fonctions supportées sont basiques, héritées de l’open source et ne méritent pas l’appellation de la datasheet. D’ailleurs, les clients et les éditeurs d’UTM ne s’y trompent pas : A-t-on vu un jour Fortinet ou Netasq répondre à un projet purement prévention d’intrusions alors que la datasheet de leur équipement dit que c’est (aussi) un IPS ?
Petit à petit, sur le marché, l’UTM est devenu synonyme d’ « économique » et « peu performant (en vitesse et qualité) ».
Dans ce contexte, les UTMs sont-ils condamnés ? A évoluer, surement. Il faut sans doute redéfinir les services qui y sont intégrés, pour prendre en compte les besoins et les menaces. Nous y reviendrons…
Et vous, avez vous déployé des UTMs ? Avec succès ? Partagez votre expérience….