Tout comme les entrées et sorties dans les locaux d’une entreprise font l’objet d’un contrôle et de certaines règles, les entrées et sorties de données sur le Système d’Information d’une organisation doivent être contrôlées. C’est entre autres le rôle des pare-feux, gardiens et concierges des réseaux d’entreprise.
Qu’est-ce qu’un pare-feu ?
De la même manière que les locaux d’une entreprise ont des horaires d’ouverture adaptés à son activité (qu’il s’agisse d’une boutique, d’une usine, d’un entrepôt ou d’un centre de données, etc.), et d’un système d’accueil et de contrôle des visiteurs (hôtes, gardiens, vendeurs, etc.), le réseau informatique d’une entreprise doit se doter d’un tel système de contrôle
Historiquement, l’un des outils disponibles pour faire respecter ces règles de sécurité dans un Système d’Information est le pare-feu. Celui-ci va surveiller et contrôler le trafic entrant et sortant sur le réseau de l’entreprise, en y appliquant des règles prédéfinies. C’est le même principe qu’une muraille de château fort dotée d’une porte d’accès, avec une vigie qui note toutes les allées et venues.
Dans quelles situations ai-je besoin d’un pare-feu ?
En pratique, si vous installez un firewall, à chaque fois qu’un appareil essayera de se connecter à votre réseau (de l’intérieur ou de l’extérieur), le pare-feu pourra soit autoriser la connexion (et laisser l’information circuler), soit la refuser en notifiant l’émetteur de la demande, soit la refuser sans l’avertir.
Si un réseau domestique peut parfois se contenter d’un seul pare-feu (comme celui inclus avec la Box d’un fournisseur d’accès à Internet), cela n’est pas recommandé. Et encore moins pour un réseau informatique professionnel.
Le réseau d’une entreprise, même de petite taille, ne doit pas avoir qu’un seul pare-feu, mais plusieurs en fonction des infrastructures et services à protéger. Les règles d’entrée et de sortie peuvent varier d’un service à l’autre, d’un serveur à l’autre, ou même d’un utilisateur à l’autre. Une entreprise devrait avoir sur son réseau une multitude de pare-feux, en plus de ses autres outils de sécurité, agissant de concert.
Quels sont les différents types de pare-feu ?
Suivant la nature de la zone ou de l’appareil à protéger, vous n’utiliserez pas les mêmes types de pare-feux. D’autant plus que certaines techniques sont anciennes et, utilisées seules, se révèlent obsolètes pour un réseau professionnel. Il en existe quatre catégories principales : le pare-feu par filtrage de paquets, le pare-feu à états, le pare-feu proxy et le pare-feu de nouvelle génération.
Les pare-feux par filtrage de paquets (“stateless firewall”)
Historiquement, le pare-feu par filtrage de paquets (ou “stateless firewall” en anglais) est le plus vieux type de pare-feu. Il analyse les en-têtes de chaque paquet de données échangé entre une machine du réseau protégé et une machine extérieure, à savoir l’adresse IP de la machine émettrice, l’adresse IP de la machine réceptrice, le type de paquet (TCP, UDP, etc.) et le numéro de port concerné.
Il va comparer ces informations avec ses propres règles, et autoriser ou non chaque paquet. Ce système n’est pas efficace contre certaines attaques informatiques, car il ne parvient pas à distinguer si un paquet appartient ou non à une connexion active, et est donc vulnérable aux attaques par usurpation d’IP.
Les pare-feux à états (“stateful firewall”)
Le pare-feu à états (ou “stateful firewall”) va, en plus de la version précédente, vérifier que chaque paquet d’une connexion est bien la suite du précédent paquet, et la réponse à un paquet dans l’autre sens. Si elles sont plus précises que les pare-feux de filtrage de paquets, ces solutions sont néanmoins plus complexes à régler, et peuvent être victimes d’attaques DDoS spécifiques cherchant à saturer leur table d’état.
Les pare-feux proxy
Le pare-feu proxy, ou pare-feu applicatif, permet de filtrer les communications, application par application. Il suppose donc une bonne connaissance des applications présentes sur le réseau, et notamment de la manière dont elles structurent les données échangées (ports, etc.). Le pare-feu proxy sert de passerelle filtrante entre deux réseaux (vos serveurs et postes de travail d’un côté, et Internet de l’autre, dans les cas les plus courants) en “s’interposant”, et en effectuant une validation fine du contenu des paquets échangés, subissant les attaques à la place des appareils qu’il protège. Bien qu’il augmente le niveau de sécurité, en pratique, il est spécifique à chaque application, et il constitue un goulet d’étranglement pour les performances du réseau. Il existe également des pare-feux à identifiants qui laissent passer les connexions en fonction de l’utilisateur qui en fait la demande, et des portails captifs où les utilisateurs doivent s’authentifier avant de sortir du réseau de l’entreprise.
Les pare-feux de nouvelle génération
Enfin, les pare-feux de nouvelle génération incluent un ou plusieurs des types de pare-feux décrits précédemment. Pour le cabinet d’étude Gartner(1), pour être qualifié de « nouvelle génération », un pare-feu new generation doit se comporter comme un pare-feu classique, mais aussi protéger contre les intrusions, reconnaître et contrôler les applications pour détecter et bloquer celles qui présentent un risque (y compris celles précédemment autorisées, mais non mises à jour, par exemple), inclure de nouveaux flux d’informations (avec l’Internet des objets, les connexions 5G et la future 6G par exemple) et s’adapter aux nouvelles cybermenaces, notamment en identifiant en temps réel quelle partie du Système d’Information de la société est la plus à risques.
Comment installer un pare-feu dans mon entreprise ?
Concrètement, les pare-feux peuvent prendre plusieurs aspects : ils peuvent être matériels (intégrés aux routeurs ou déportés) et installés site par site, ou logiciels (au cœur du serveur, du poste de travail, de la machine virtuelle, etc.), en fonction de ce que l’entreprise souhaite protéger et de la façon dont elle veut s’y prendre. Comme ce sont des instruments-clés de la sécurité informatique, la première étape consiste à protéger ces pare-feux, en limitant le nombre d’utilisateurs privilégiés qui peuvent y accéder et les manipuler, en s’assurant qu’ils sont bien à jour, en changeant les mots de passe et identifiants fournis par défaut par le prestataire, etc.
Ensuite, il faut savoir quoi protéger, donc bien connaître son Système d’Information et savoir qui fait quoi et où, afin de placer le plus judicieusement possible les pare-feux. Classiquement, les zones dites “DMZ” (démilitarisées) vont comprendre les services ayant absolument besoin d’utiliser Internet (la messagerie et les outils collaboratifs, le VPN, le site web de la société, etc.), le reste devant être dans des zones non-accessibles directement par Internet et mieux protégées.
Il faudra ensuite définir les politiques de sécurité : quel utilisateur peut accéder à quelle information et à quel service de la société, quelle application peut se connecter à quelle ressource, etc. Ces politiques de sécurité devront être traduites pour chaque pare-feu en fonction de son modèle et de son positionnement sur le réseau, et constamment mises à jour. Par exemple, un comptable qui quitte une entreprise ne devrait plus avoir accès à la base de données des ressources humaines ou des fournisseurs.
Les solutions et l’accompagnement de Bouygues Telecom Entreprises
L’évolution des usages Internet dans le cadre professionnel – accès distants, services hébergés dans le cloud, etc. – oblige les entreprises à accroître leur vigilance en termes de sécurité informatique. C’est la raison pour laquelle Bouygues Telecom Entreprises propose une solution de Sécurité tout-en-un maîtrisée en cœur de réseau, afin de permettre à chaque entreprise de se prémunir des attaques virales et autres menaces liées à Internet (ransomwares, attaques DDoS, etc.). Cette solution propose notamment le filtrage des usages des collaborateurs à l’aide de cinq profils de sécurité définis selon les catégories de sites, d’applications et de canaux multimédias autorisés.
Si votre réseau est équipé d’un VPN MPLS, privilégiez plutôt la solution Gateway Sécurité. Notre offre SD-WAN, elle, adaptée à des réseaux d’entreprise plus vastes et plus complexes, dispose directement de pare-feux intégrés.
La cybersécurité est un des enjeux majeurs de demain pour les professionnels ! Depuis l’explosion du télétravail et le développement des usages cloud en entreprise, avez-vous amélioré la sécurité de votre SI ?
keyboard_arrow_down Mentions légales (1) Source : https://www.gartner.com/en/information-technology/glossary/next-generation-firewalls-ngfws