Varonis : une solution pour les gouverner tous

Mise à jour du 18/11/2015 : j’ai dit une petite bêtise concernant le nombre de clients Français, ce n’est pas 60 mais plus de 500 aujourd’hui. Toutes mes excuses pour cette méprise et merci à Hugues pour la correction.

Nous avons beaucoup progressé depuis 2 ans en matière de classification de nos données structurées, en partie grâce à notre schéma directeur stockage de 2014 et à la restructuration de nos baies et systèmes de stockage qui en a découlé. Pour autant, il nous reste une énorme épine dans le pied, que l’on traine depuis plus de 10 ans maintenant : le service fichier. Ces fameux “partages bureautiques”, tels que conçus il y a bien longtemps, sont toujours des nids à données non structurées. Surtout, la nature ayant horreur du vide, ces volumes très facilement accessibles hébergent aujourd’hui des types de données qui n’ont plus grand chose à voir avec les triptyques historiques “word/excel/powerpoint”.

Images, Vidéos, données issues d’automates biomédicaux, données patients … tout y passe aujourd’hui. Les conséquences sont très dures pour nous : des volumétries en forte croissante, des millions de fichiers sur lesquels aucune politique de stockage hiérarchique ne peut réellement être appliquée systématiquement sans y aller à la pince à épiler. Au final, pardon d’utiliser un terme un peu familier, un joyaux bordel qu’il faut protéger, sauvegarder, sécuriser et qui coûte donc très cher.

Pour résoudre ce problème, une étape cruciale est nécessaire avant toute opération de grande envergure : reprendre la main sur le contenu réel de ces volumes partagés, savoir ce qui y est réellement stocké et avoir une vision précise de l’activité utilisateur. Pour cela, la société Varonis propose une suite logicielle qui semble parfaitement répondre à ces questions. Petit compte rendu d’une présentation à laquelle j’ai pu assister récemment autour de ces produits.

Varonis, société fondée en 2004 par des anciens de Netapp, propose une suite logicielle basée sur un moteur d’analyse de méta-datas, collectées via des agents connectés sur les différents serveurs et têtes NAS hébergeant les données cibles. Elle dispose aujourd’hui d’environ 4000 clients dans le monde, dont environ 500 en France aujourd’hui.

L’offre technique consiste en une partie serveur/base de données contenant le moteur d’analyse (basé sur une BDD SQL Server) et un système d’agents supportant un nombre important de connecteurs :
– les shares CIFS Windows, bien entendu
– Exchange 2013/2016
– Office 365
– Active Directory (pour la partie annuaire utilisateurs et groupes)
– (…)
Elle propose également des connecteurs spécifiques permettant de travailler avec des systèmes embarqués sur des baies de stockage “file”, notamment :
– Netapp
– EMC Celerra

Le noyau de l’application “DatAdvantage” est avant tout basé sur un système de gestion des évennements : qui fait quoi, comment, où, quand etc. … Une fois ce système implanté et les agents connectés aux sources de données, vous disposez d’une interface, qui ressemble fortement à l’explorateur windows (voir les photos de la présentation en fin d’article) avec une hiérarchie serveurs/répertoires/fichiers ou serveurs/conteneurs/objets (pour Exchange par exemple) à gauche et le contenu courant de l’endroit où vous pointez à droite.

La ressemblance “visuelle” s’arrête la, bien entendu, car toute la force du logiciel consiste à proposer des tonnes d’options et de navigation à partir de ces objets et fichiers présentés. De plus, certaines “alertes” ou notifications particulières (utilisateurs inactifs ou dossiers avec comportement anormal par exemple) apparaissent directement à coté des listings de l’interface.

Directement depuis cette interface de gestion, on est capable d’extraire en quelques clics, des données contextuelles sur chaque objet. Pour un utilisateur donné ou un groupe par exemple : quels sont ses droits d’accès actuels, quels ont été ses dernières opérations sur un dossier (création de fichier, suppression etc. …). On peut également “simuler” la modification d’un droit d’accès spécifique et voir son impact sur l’ensemble des données gérées par la solution, y compris sur des données de type exchange ou sharepoint ! Exemple : vous supprimez un utilisateur d’un groupe donné, vous pouvez directement constater l’impact global de cette opération avant de l’engager effectivement. En terme d’administration au quotidien, c’est une petite révolution pour qui doit gérer un gros annuaire de plusieurs milliers de groupes et utilisateurs.

Un autre aspect concerne plus spécifiquement la donnée elle-même : on est capable de retracer l’historique de l’activité sur un fichier/répertoire/objet en y extrayant, par exemple la liste des utilisateurs par “activité” ; on a potentiellement la capacité de savoir quels sont les personnes (ou groupes) qui sont les plus impliqués dans le cycle de vie d’une hiérarchie donnée. De facto, on peut donc par extrapolation, trouver des “animateurs/responsables” sans même solliciter une hiérarchie avec les lourdeurs associées !

Il existe également des tonnes d’options de filtrage diverses et variées pour affiner sa recherche et plonger dans les méandres des fichiers stockés (par type, par extension, par nom, etc. …). Les possibilités sont tout bonnement infinies.

La partie reporting n’est pas en reste avec plus d’une centaine de rapports de tout type disponibles en standard, orientés droits d’accès, utilisateurs, fichiers, activité, événements etc. … par exemple et dans le désordre :
– Compte-rendu des permissions diverses par entité
– Délégations Exchange
– Qui a accédé à quoi et quand
– Historique des modifications de droit
– Rapports spécifiques Active Directory (SID non résolus, groupes de sécurité vides, groupes de sécurités qui bouclent)
– Ressources inactives : répertoires, utilisateurs

Vous disposez aussi d’un système d’alertes différées (et temps réel, via une licence complémentaire) sur événement anormal que vous spécifié via encore une fois des filtres très riches. Voici quelques exemples qui illustrent très bien les bénéfices de ce type de fonction :
– un utilisateur fait des centaines de lectures de fichier en l’espace de quelques minutes/heures, sans doiute le signe d’une “aspiration” d’un répertoire donné. Tiens, il se trouve que cette personne vient d’être licenciée …
– un utilisateur fait des séries de lectures/écritures dans tous les fichiers d’un répertoire à une vitesse “non humaine” : peut-être le signe d’un cryptolocker ?
– Alerte sur reset de mot de passe multiples
– Alerte sur des accès interdits sur un répertoire ou un fichier donné

Pour conclure, Varonis Datadvantage est extrêmement prometteur et semble vraiment répondre à toutes les questions potentielles qui prévalent quand on souhaite s’attaquer de front à l’urbanisation de données non-structurées. Si vous ajoutez à cela une politique de licensing qui semble très souple commercialement (d’après les discussions avec l’ingénieur d’affaire présent lors de la présentation en tout cas ;) ) et des clients déjà équipés qui en font une promotion dingue, vous avez ici un produit à essayer sans hésiter, au moins pour se faire une idée concrète de son potentiel sur VOS données. D’ailleurs, Varonis propose naturellement de réaliser cet exercice très rapidement une fois le contact pris, preuve de leur confiance dans la suite logicielle à “impressionner et convaincre” les futurs clients.

Evidemment (vous me connaissez) j’ai décidé de lancer ce test dans les semaines qui viennent. Je vous ferai un retour “pratique” de la solution une fois le PoC réalisé (sans doute d’ici fin Décembre, début Janvier).