Les pare-feu "nouvelle" génération...

Les pare-feu traditionnels ne répondent plus à certaines contraintes. Ils évoluent donc en faveur de plates-formes offrant un panel de fonctionnalités pour aligner la politique de sécurité sur la gouvernance du système d'information : ADN applicatif, gestion de l'identité, DLP...

La sécurité périmétrique est un réel enjeu pour les entreprises, afin de répondre à l'évolution des nouvelles problématiques et des niveaux de sécurité souvent éphémères, une véritable révolution est en cours !

En effet, les pare-feu traditionnels ne répondent plus à certaines normes et contraintes, ils évoluent donc en faveur de plates-formes offrant un panel de fonctionnalités (ADN applicatif, gestion de l'identité, DLP...) permettant d'aligner la politique de sécurité sur la gouvernance du système d'information.

Les pare-feu tels que nous les connaissons historiquement sont en pleine évolution depuis ces dernières années, en effet, les analystes avaient prévu cette révolution depuis longtemps et la convergence des réseaux et l'apparition des nouvelles menaces n'a fait qu'accélérer les choses...

La sécurité périmétrique représente "uniquement" une partie des véritables enjeux stratégiques en matière de sécurité pour les entreprises. Cependant, elle leurs permet néanmoins de mettre en place des mécanismes plus ou moins sophistiqués de contrôle d'accès aux ressources et de filtrage. Les entreprises souhaitent par ce biais maintenir un niveau de sécurité périmétrique satisfaisant pour leurs infrastructures, ainsi que pour la confidentialité de leurs échanges et informations, sur lesquels sont généralement basés leurs business et/ou leurs savoir faire...

C'est pourquoi, tous les leaders du marché s'engagent dans une course aux performances et aux fonctionnalités concernant les pare-feu qui représentent un des centres névralgiques de la sécurité afin de proposer toujours plus à leurs clients.

Les constructeurs ont tous fait de réels progrès et mis l'accent sur des architectures physiques et logiques toujours plus complexes et évoluées afin de "booster" les performances (ordonnanceurs, Asic, coprocesseurs, mémoire flash...).

On peut aussi noter que le marché de la sécurité est florissant et en perpétuel mouvement, avec ces évolutions technologiques, mais aussi et surtout suite aux rachats successifs pour les leaders dans le but de rester à la pointe des dernières technologies... On compte aujourd'hui plus de 70 acteurs rien que pour les solutions de pare-feu professionnels qui se répartissent un marché de plusieurs centaines de millions d'euros !

Les réelles innovations majeures pour cette nouvelle génération se composent de trois grandes thématiques, dont la première réside dans la capacité à mettre en place une réelle gestion de l'identité permettant d'identifier clairement tous les utilisateurs dans le temps, (ex : 1 an après même en Dhcp), couplée avec un annuaire centralisé d'entreprise dans le cadre de la traçabilité des flux. Mais aussi à des profils utilisateurs convergents autorisant différents niveaux de sécurité, en fonction du terminal utilisé, des infrastructures, de la localisation de l'utilisateur et des ressources auxquelles il tente d'accéder...

La deuxième thématique concerne une évolution de la reconnaissance protocolaire, afin d'identifier non plus uniquement des protocoles réseau mais aussi et surtout de mettre en place une réelle cartographie des applications. Cet annuaire applicatif est de plus en plus évolué, allant maintenant de la couche 3 à 7 du modèle OSI permettant d'identifier plusieurs milliers d'applications à la volée uniquement par leurs empruntes et/ou datagrammes IP, en complément des règles de filtrage classiques par port, IP, subnet, groupe... On parle alors d'ADN applicatif.

De plus, c'est aussi l'occasion pour certains des acteurs qui ne l'assurent pas encore, de prendre en charge la virtualisation ainsi que la prévention contre la fuite d'information (DLP).

La dernière grande thématique de cette nouvelle génération, aussi appelée la 5° génération, se tourne de plus en plus vers l'utilisateur et son poste de travail afin d'être au plus proche de lui et même de pouvoir faire des analyses comportementales de l'usage de de l'outil de travail et des applications... Un client logiciel centralise à lui seul un ensemble de fonctionnalités (type contrôle d'accès du poste, des applications, identification de l'utilisateur mais aussi du poste de travail, chiffrement de celui-ci, identification analytique des comportements réseau afin de détecter des trojans, virus, et/ou malware en tous genres, application de politiques de sécurité locales, supervision, reporting, gestion support amovibles...), en plus des fonctionnalités offertes par le pare-feu (protection mail, Web, pare-feu, VPN, antivirus, IDS/IPS...)

Les objectifs sont multiples et dépendent des besoins exprimés et des différents environnements IT qui peuvent être très hétérogènes. Principalement dans le but de couvrir un plus large spectre (mail, Web, AV, IDS/IPS...) d'une sécurité actuellement éphémère car peut être trop périmétrique (FW et VPN principalement) . Pour cela, la gestion de la sécurité évolue pour répondre aux nouveaux usages et besoins de mobilité, mais aussi suite à de multiples exemples d'incidents de sécurité parus dans l'actualité informatique... Ou encore, la prise en compte de plus en plus forte de la criticité des informations, et ce, quel que soit le terminal utilisé !

Une des grandes raisons, exposée régulièrement aux assises de la sécurité et autres meeting sur le thème, est aussi due au fait que l'on demande aux services informatiques et en particulier aux RSSI de prendre en charge des risques bien plus vastes. Mais aussi, d'améliorer l'identification des flux, la traçabilité des échanges, dans le but d'être en conformité avec le cadre réglementaire et juridique et le tout, dans le respect de la vie privée de chacun, en fonction du pays où il se trouve...

Voici à titre indicatif, une synthèse non exhaustive de quelques fonctionnalités importantes intégrant cette nouvelle génération de pare-feu :

Fonctions de base :
- FW, SPI, VPN (chiffrement et accélération) IPSEC / SSL / L2TP / PPPoE / PPPoA / GRE..., Xauth, PKI (...), IDS/IPS, routage, VRRP, Multicast, Filtrage Web, Mail Security, Antivirus, NAT, VoIP "Hybrid networking", Proxy, load sharing, cache, teleprovisionning, streaming, Client logiciel basique, connecteurs Tacacs, LDAP, Radius...

Fonctions avancées :
- Reconnaissance applicative, gestion de l'identité, Data Loss Prevention (DLP), routage avancé et QoS, Corrélation d'information dynamique et consolidation de rapports automatiques et personnalisables pour plusieurs milliers de pare-feu simultanément... (couplé avec des fonctions de monitoring, supervision et alerting évolué), Chiffrement intégrale des postes de travail, client logiciel évolué de plus en plus multifonctions, virtualisation...

En aparté, l'état se dote de cette nouvelle génération de pare-feu pour ses infrastructures incluant certains de ces mécanismes pour un potentiel d'un million de personnes simultanément connectées sur leurs infrastructures. Ce qui illustre bien la tendance ainsi que la montée en puissance de ces besoins, des débits ainsi que des équipements d'infrastructure...

Un thème non-négligeable concerne aussi l'interopérabilité et/ou la cohabitation des systèmes, qui sont des pré-requis forts pour la mise en place de telles solutions, c'est pourquoi les constructeurs s'appliquent à concevoir et appliquer des standards communs dans la mesure du possible...

Dans le cadre de la simplification et l'amélioration de la gestion de la sécurité opérationnelle (GOS), il s'agit d'intégrer et d'exploiter ces nouveaux équipements au sein des infrastructures existantes et complémentaires (Wi-fi, contrôle d'accès, VoIP, Lan, Wan, portail d'accès, intranet et extranet, publication d'application, etc...) dans l'optique d'une future prise en charge par le support, les administrateurs, les exploitants ainsi que les mainteneurs. En effet, cela est maintenant nettement plus simple qu'il y a 3 ou 5 ans. Ce qui s'explique en majeur partie par une utilisation croissantes des interfaces graphiques intuitives et performantes et des outils prenant en charge avec un minimum de contraintes les contextes multisites et de plusieurs milliers d'utilisateurs. .

D'autre part, la corrélation d'informations ainsi que la mise en place d'indicateurs spécifiques s'en trouvent d'autant plus efficaces puisque plus complets, plus précis, plus proches de la réalité... Facilité par le biais de la mise en place d'outils d'analyse et de reporting unifiés et centralisés pour vos infrastructures, intégrant des tableaux de bord, mesurant les tendances et les indicateurs, exposant les risques inhérents à ses nouveaux usages, dans le but de prévenir la fuite d'information, l'espionnage, les risques de failles de sécurité et d'améliorer l'organisation et les usages autour du système d'information...

En ce qui concerne les équipements, on peut aussi noter une évolution de la demande vers des boitiers UTM ou multifonctions en forte croissance en termes de parts de marché en mode logiciel ou matériel, offrant un panel de choix très granulaire et à la carte (croissance à deux chiffres pouvant dépasser les 20% pour certains des acteurs). Bien sûr pour des performances accrues, les boitiers dédiés ou châssis sont toujours privilégiés mais on note aussi le développement de pare-feu basés sur des instances virtuelles, très fiables et efficaces sur ce type d'équipements (comme le concept des VRF chez les opérateurs). Cependant, certains rencontrent encore des problématiques de sécurité dues à la virtualisation lorsqu'ils sont 100% virtualisés...

En complément et à titre de retour d'expérience au sein de grands groupes et/ou d'infrastructures opérateurs, la prise en compte de certifications de sécurité est une notion de plus en plus importante et un gage de confiance qui peut représenter un aspect décisif, voir bloquant en l'absence de celles-ci. Elles montrent entre autres les moyens humains, techniques et financiers engagés par le constructeur.

De prime abord, il est difficile de s'y retrouver parmi une multitude de certifications telles que, ICSA, CESG, BITS, NSS, ISO, Common Criteria EAL2+ et 4+... FIPS value, SPI... Mais, celles-ci s'avèrent indispensables dans le cadre de la conception de solutions hautement sécurisées, et nécessitent une réelle approche de la sécurité puisque ces certifications sont complexes et délivrées par des acteurs spécialisés et indépendants. De plus, une dizaine d'organismes "officiels" et/ou les états des pays concernés sont directement chargés de les contrôler. Exemple pour la France : la DCRI, Agence nationale de la sécurité des systèmes d'information (ANSSI), la DGSSI, la DCSSI...

En conclusion, il n'existe plus un pare-feu pour protéger votre entreprise mais un ensemble d'éléments de sécurité permettant de garantir un niveau de sécurité admissible en fonction de votre profil, des infrastructures, des terminaux que vous utilisez, des ressources auxquelles vous souhaitez accéder... Et pour bientôt, les pare-feu pour vos mobiles, un marché de masse en pleine explosion au regard du nombre impressionnant d'équipements à sécuriser...

N'hésitez pas à réagir face à cet article, le partage est une véritable valeur !