La société de gestion des transactions bancaires pour les cartes Visa a mis en place une architecture chaînée protégeant ses serveurs Web de manière uniforme. Une solution de type appliance a été retenue. (08/03/2007)
En savoir plus
Dossier Virus :
Carte Bleue est le représentant exclusif de Visa pour la France depuis 1973. Il se charge des produits de la marque Carte Bleue Visa, et gère aujourd'hui un volume de 120 millions de transactions internationales pour un volume d'affaires de 219 milliards d'euros.
Contrairement à Carte bancaire, qui s'occupe des transactions franco-françaises, la société Carte Bleue traite uniquement les transactions des cartes Visa passées de l'étranger par un compte français ou inversement. L'entreprise ne traite pas directement avec les utilisateurs finaux, mais uniquement avec des banques, sauf dans le cas précis de son site Internet.
"Notre site Web se charge de la promotion de tous les produits de l'entreprise, par exemple Visa Business, Visa Infinite, Visa Premier, Carte Cadeau… C'est le seul point d'entrée qui nous relie directement à nos utilisateurs. Il a été décidé dans les années 2000, de faire la promotion des différents sites et de revoir les architectures utilisées pour travailler notre image", indique Franck Winandy, responsable architecture et sécurité chez Carte Bleue.
Deux impératifs sont énoncés : une disponibilité du service maximum et une protection contre des tentatives d'atteintes à l'image. Comme la marque Carte Bleue repose sur la confiance et la sécurité des transactions, il est essentiel que le site Internet respecte cette image, même si l'information traitée n'est pas de nature financière ou privée.
Une solution de pare-feu, un IDS et un répartiteur de charge sur une même appliance
"Nos sites Internet n'étaient pas hébergés jusqu'alors chez le même prestataire. De même, les prestations étaient parfois différentes. Nous avons voulu regrouper les hébergements dans un premier temps. Ensuite, il a fallu consolider les architectures qui étaient également disparates selon le type de contrat. Nous avons voulu remettre un niveau de sécurité équivalent sur l'ensemble de nos sites", explique Franck Winandy.
Carte Bleue opte alors pour un même produit de sécurité en se fixant des objectifs en terme de contraintes budgétaires. Pour opérer sa nouvelle plate-forme, l'entreprise fait appel à l'exploitant Ace Services, puis passe à l'étude des solutions de pare-feu du marché fin 2004.
Plusieurs critères entrent en compte dans le choix de la solution. Tout d'abord, Carte Bleue recherche un boîtier (appliance) plutôt qu'une solution logicielle de manière à éviter une multiplication des serveurs. D'autre part, la direction informatique recherche un produit capable d'être à la fois un pare-feu et une solution d'équilibrage de charge de type actif / passif (redondance uniquement en cas d'incident).
Enfin, l'entreprise compose avec le savoir-faire des équipes de son sous-traitant, déjà formé sur les produits Stonesoft. "A l'époque, deux solutions se sont dégagées, celle de Radware et celle de Stonesoft. Au niveau des prix publics, le rapport était nettement en faveur de Stonesoft. De plus, Radware n'apportait pas de fonctionnalités supplémentaires. Nous avons contacté Stonesoft qui nous a fait une proposition commerciale très agressive, ce qui a fini de nous convaincre", ajoute Franck Winandy.
Pour protéger intégralement son site Web, Carte Bleue mise sur une architecture chaînée avec Stonesoft en protection de ses frontaux Web, et sur une deuxième solution, indépendante et placée au niveau de ses bases de données. Toujours dans l'optique d'une sécurité maximum, Carte Bleue active également la fonction de détection d'intrusion réseau des boîtiers Stonesoft (analyse protocolaire et détection de vulnérabilités).
Les boîtiers pare-feu sont eux-mêmes installés sous forme de clusters redondants. Depuis juin 2005, la nouvelle plate-forme a été mise en place dans un datacenter de Verizon à partir d'un site entièrement neuf.
"Nous avons laissé tourner les sites sur les anciennes plates-formes jusqu'au moment de la bascule, le temps de préparer notre nouveau site. Lors de la bascule, il a juste fallu changer les DNS ce qui a pris environ 15 minutes. Une des difficultés consistait à créer des scripts spécifiques sur les pare-feu pour réaliser cette redondance actif / passif", analyse a posteriori le responsable architecture et sécurité de Carte Bleue.
En savoir plus
Dossier Virus :
Pleinement satisfait du produit, le groupe indique qu'il pourrait envisager d'étendre son déploiement à des fonctions plus critiques de son système d'information. "Je m'inquiète aujourd'hui plus des failles applicatives possibles sur les serveurs Web frontaux que d'une attaque ciblée sur les boîtiers pare-feu", conclut Franck Winandy.
Le projet en bref
Entreprise Carte Bleue
Secteur d'activité Bancaire
Type de projet Pare-feu
Editeur retenu Stonesoft
Date de lancement du projet Fin 2004
En production depuis Juin 2005
Yves DROTHIER, JDN Solutions Sommaire Intranet-E
http://solutions.journaldunet.com/0703/070308-cas-stonesoft-cartebleue.shtml
Accueil 
Lun 26 Mar - 11:02