Protocole de transfert de fichiers (FTP) et/ou solutions de transfert de fichiers sécurisé (MFT)

septembre 02, 2018 Sécurité et conformité, MOVEit

Vous avez probablement entendu dire que dans une économie de l'information, les données représentent le pouvoir. Et vous savez aussi que le vol de données est devenu un business mondialisé qui se chiffre en milliards de dollars. Vous en êtes certainement arrivé au stade où le transfert de fichiers et de documents entre un système interne et des partenaires externes est devenu un processus opérationnel central. Cette équation entraîne la question suivante : « Quelle est la différence entre un protocole de transfert de fichier (FTP - File Transfer Protocol) et une solution de transfert de fichiers sécurisé (Managed File Transfer - MFT) ? » 

Ai-je besoin d'une solution MFT ou simplement d'un serveur FTP ?

Le plus souvent, cette question est posée par des professionnels de l'informatique dont les entreprises ne se contentent plus de transferts de fichiers occasionnels et non essentiels. Il s'agit aujourd'hui d'une opération centrale et d'importance toute stratégique. 

Un certain nombre de questions assez simples détermineront donc la réponse. Devez-vous transférer des fichiers occasionnellement ? Si le transfert n'a pas lieu, cela posera-t-il problème à une partie prenante d'attendre jusqu'au lendemain ? Y a-t-il de fortes chances que les fichiers contiennent des données sensibles, propriétaires ou protégées ? En fonction des réponses apportées, un mauvais choix pourrait avoir de lourdes conséquences : payer trop cher une solution par exemple, ou être accusé de ne pas respecter une réglementation sur la protection des données.

Le protocole FTP existait bien avant que la plupart d'entre nous ne commencions à travailler avec des ordinateurs. À ses tout débuts, il s'agissait d'un simple mécanisme permettant de transférer des fichiers d'un ordinateur à un autre. Pour ceux qui connaissent les limites du FTP, il est clair que ses inventeurs n'ont jamais anticipé la croissance actuelle des menaces pour la sécurité. Même si le FTP de base a ensuite été amélioré avec les systèmes SSH et SSL, pour les entreprises qui transfèrent régulièrement des documents sensibles contenant des données propriétaires ou réglementées, les serveurs  FTP sont devenus un fardeau en matière de conformité.

Apparues plus récemment sur le marché, les solutions de transfert de fichiers sécurisé (MFT) visent à pallier de nombreuses insuffisances des systèmes FTP. Comme son nom l'indique, la solution Managed File Transfer intègre un grand nombre de fonctions qu'exigent des transferts de fichiers désormais stratégiques et impliquant de gros volumes de données. Ce que ne révèle pas leur nom en revanche, c'est que les solutions MFT fournissent de nombreuses fonctionnalités de sécurité et de conformité qui ne sont pas disponibles ou trop difficiles à intégrer au sein des logiciels FTP prêts à l'emploi.

 

L'avantage des solutions de transfert de fichiers sécurisé

Notre e-book intitulé « Pourquoi les équipes informatiques adoptent des solutions de transfert de fichiers sécurisé » sera utile aux professionnels de l'informatique ayant à choisir entre des solutions FTP et MFT. Cette ressource aborde en détail les facteurs que vous devez prendre en compte afin de prendre les bonnes décisions.

Par opposition au modèle de serveur FTP, un système transfert de fichiers sécurisé peut être comparé à un énorme système de transfert de fichiers centralisé qui apporte visibilité, reporting, logging, sécurité et suivi, intégrations à votre architecture de sécurité, fonctions de basculement et de déploiement assuré déjà intégrées dans la conception (contrairement aux modules complémentaires). Il s'agit de solutions de classe d'entreprise autour desquelles peuvent s'articuler des processus centraux, tels que les systèmes de facturation et de paiement des services médicaux d'un hôpital. Par exemple, une mise en œuvre unique peut inclure plusieurs serveurs de transfert, des systèmes d'automatisation des workflows et des services de transfert basés sur le cloud, le tout étant géré à partir d'une console centralisée.

Ces systèmes visent également à assurer la protection des données pour les entreprises dont les processus opérationnels centraux nécessitent des échanges de fichiers contenant des données sensibles avec des parties prenantes externes. Dans ce type de scénario, les inquiétudes portent également sur la conformité avec la législation sur la protection des données, notamment les normes ou réglementations PCI-DSS, HIPAA, ISO-27001, RGPD et autres mentionnées ci-dessus qui prévoient d'importantes amendes en cas d'exposition, de perte ou de violation de données. L'intégration à l'infrastructure de sécurité existante (anti-virus, prévention contre les pertes de données et systèmes de contrôle des accès) est l'une des caractéristiques les plus précieuses d'une solution MFT. Le logging centralisé et la génération de rapports de conformité représentent d'autres fonctions majeures de nombreux systèmes MFT.

Une description complète des avantages du MFT par rapport au FTP, ainsi que des cas d'utilisation permettant aux entreprises de choisir une solution au détriment de l'autre pourraient alimenter les publications d'un blog pendant un bon moment. Nous espérons que cette publication vous éclaire sur les recherches à mener pour identifier la solution répondant le mieux aux besoins de votre entreprise. 

Dans quelle mesure puis-je étendre l'utilisation de FTP, SFTP et FTPS ?

Il y a une différence entre les systèmes FTP et FTP sécurisé. FTP, qui désigne couramment les deux options, est en fait un protocole minimaliste qui permet le chargement et le téléchargement de fichiers sur un serveur avec un contrôle rudimentaire des accès. Vous connaissez peut-être ces concepts si vous avez déjà mis en place un site Web. Bien souvent, le serveur FTP sur le site Web de l'hébergeur est accessible en mode « Anonymous » (c'est-à-dire sans mot de passe). C'est acceptable si votre site est réservé à votre temps de loisirs. En revanche, s'il sert votre activité professionnelle, vous avez besoin d'une protection renforcée et vous devez vous intéresser aux serveurs SFTP. FTPS est une autre option, moins courante. Ces systèmes utilisent des protocoles sécurisés, SSH ou SSL, pour chiffrer vos fichiers pendant leur transfert.

Les serveurs SFTP proposent également des fonctionnalités de base et une version complète. La version de base correspond aux solutions open source gratuites telles que FileZilla. Gardez à l'esprit toutefois que les solutions gratuites ont des fonctions et des performances limitées... Mais si vos transferts sont occasionnels et que l'impact sur l'activité est nul en cas d'indisponibilité ou de non téléchargement d'un fichier, elles peuvent suffire à vos besoins. Sur le segment des solutions haut de gamme, on trouve notre WS_FTP Server

Tout comme il est possible de transformer la voiture que vous venez d'acheter en bolide hautes performances et assoiffé de carburant, vous pouvez adapter votre serveur SFTP à des cas d'utilisation très spécifiques. Mais fondamentalement, les serveurs SFTP sont conçus pour jouer simplement leur rôle : serveur. Ce ne sont pas intrinsèquement des solutions de classe d'entreprise. Si votre entreprise comprend plusieurs départements ayant des besoins différents, vous devrez probablement recourir à différents serveurs. Et c'est là que le bât blesse : le risque de prolifération de serveurs FTP devient notoire.

Très souvent, les départements informatiques qui choisissent d'adopter une solution MFT se plaignent d'avoir à gérer trop de serveurs FTP. Chaque serveur a besoin de sa propre administration. Des serveurs peuvent être actifs sur plusieurs plateformes avec différents types de script, systèmes d'exploitation, mises à jour de sécurité, coûts de maintenance, etc. Si la conformité avec les réglementations ou normes de protection des données telles que PCI-DSS, HIPAA, ISO-27001 ou le RGPD pose problème, sachez que de nombreux responsables d'audit considèrent l'utilisation de serveurs FTP comme un signal d'alarme indiquant probablement une situation de non-conformité. 

Autres ressources utiles

Nous proposons également un outil utile intitulé «  Guide de l'acheteur sur les solutions de transfert de fichiers sécurisé. » Nous avons conçu cette liste de contrôle pour aider les responsables informatiques à choisir la solution de transfert de fichiers qui leur convient le mieux.

Il n'est donc pas étonnant que Progress vende des solutions de transfert de fichiers sécuriséMOVEit vous permet de gérer, de visualiser, de sécuriser et de contrôler toutes les tâches de transfert de fichiers depuis un système unique. MOVEit réduit les besoins en intervention des équipes informatiques et favorise le libre-service pour les utilisateurs en fonction de leurs besoins. Cette solution est idéale pour sécuriser vos transferts de fichiers et assurer à la fois sécurité et conformité, quels que soient votre secteur d'activités et la taille de l'entreprise, tout en réduisant les délais et les coûts administratifs. Nous sommes très heureux de vous proposer une version d'évaluation gratuite qui vous permettra de tester la solution dans des conditions réelles.

Nous vendons aussi des clients et serveurs FTP, ainsi que des solutions de transfert de fichiers sécuriséWS_FTP Server et WS_FTP Professional Client sont reconnus en tant que solutions de transfert de fichiers fiables et sécurisées qui prennent en charge les derniers protocoles de transfert sécurisés. Prêt(e) à l'essayer ? Si la réponse est oui, nous vous proposons une version d'évaluation gratuite.

Kevin Conklin

Kevin joined Ipswitch in 2015 and leads the company’s product and content marketing practices. He is widely recognized for his product marketing accomplishments in information technologies. He is a serial startup executive having played instrumental roles in the success of such companies as for Prelert, VKernel, Mazu Networks and Smarts, Inc. and has been instrumental to the success of these IT management technology companies. Kevin is also the co-host of the PICNIC Podcast live show (https://picnic-podcast.com/), sharing experiences and best practices, providing a voice of expertise, and educating IT professionals with the latest technology challenges.