SÉCURITÉ Mieux comprendre les pare-feu

Le pare-feu (firewall) est un composant indispensable de la sécurité informatique en entreprise. Avec l’antivirus, c’est la protection la plus déployée. Souvent considéré comme un poste de douane entre le réseau et Internet, le pare-feu tient aussi un rôle plus étendu, et ses fonctionnalités ne sont pas figées. Éclaircissements sur cet outil crucial, afin de ne plus le sous-estimer ni le surestimer. Le pare-feu n’est pas la panacée en sécurité. S’il est nécessaire, il ne prémunit pas contre tous les risques. Un virus ou un mail de phishing parvenant dans la messagerie d’un utilisateur risque d’échapper à la vigilance du firewall. « Si vous êtes protégé d’Internet, comme il agit au niveau réseau, il va laisser passer des protocoles autorisés à l’intérieur desquels pourrait se dissimuler un virus. Il faut par conséquent une sécurité plus en profondeur, avec notamment des antivirus. La tendance est plus vers le combo de fonctionnalités que vers leur soustraction », souligne Sylvain Roger, consultant en sécurité. De même, qu’il s’agisse d’une station de travail ou d’un PC portable, le firewall ne protégera pas contre la connexion d’une clef USB non autorisée, potentiellement porteuse d’un programme malveillant. L’antivirus reste donc indispensable. Le pare-feu est accessoire sur les postes Un firewall personnel est au contraire une nécessité, tout particulièrement concernant les postes nomades. Dans bien des cas, ces derniers sont vecteurs de contamination du réseau local. Une politique de sécurité pourra ainsi interdire le surf direct sur Internet, et n’autoriser que la connexion à la passerelle de nomadisme de l’entreprise. « Pour les postes de travail classiques et les serveurs, il n’y a pas de nécessité d’un pare-feu personnel. Les entreprises vont plus par exemple vers l’intégration de sondes IPS plus globale devant permettre de limiter l’exposition des postes », estime en revanche un autre expert, Sylvain Roger. En dépit d’améliorations fonctionnelles, le pare-feu embarqué de Windows, qu’il s’agisse de la version XP ou Vista, souffre cependant de carences par rapport aux produits des éditeurs spécialisés. Des lacunes en termes de performances et d’administration qui ne permettent pas son exploitation dans les grandes entreprises. Petites entreprises et particuliers peuvent toutefois y trouver leur compte. Un niveau de firewall unique est-il suffisant ? Les entreprises doivent de plus en plus s’interconnecter, que ce soit par exemple avec leurs clients ou leurs partenaires. Cette interconnexion accrue pousse à une plus grande ouverture. Mais celle-ci se trouve alors compensée par une stratégie de défense en profondeur comprenant un découpage en zones de confiance protégées par des pare-feu distincts. « Les architectures sont encore bien souvent à un seul niveau de firewall. Mais pour se prémunir des failles, il est justifié de migrer vers un système à deux niveaux, avec des produits d’éditeurs différents. Les grands groupes sont sur cette architecture. Pour les PME, c’est déjà plus rare », témoigne le consultant de Solucom. Le pare-feu matériel dépasse les versions logicielles À matériel équivalent, il n’y aurait pas de différence notable pour l’expert de Solucom. Les faiblesses peuvent provenir en revanche d’un système d’exploitation insuffisamment durci. Le marché semble en effet tendre vers des solutions « tout en un ». Le boîtier simple cédera progressivement la place aux équipements multifonctions. Compte tenu du ratio coût/performance, même les grandes entreprises s’y intéressent de plus en plus, notamment pour équiper leurs filiales. Reste les composants complexes à paramétrer. Cela peut être vrai. Il y a des disparités entre les éditeurs et certains firewalls s’avèrent plus complexes à paramétrer, moins « conviviaux ». Dans tous les cas, la configuration demande une bonne connaissance de son réseau afin de pouvoir lister les flux autorisés, prévient Sylvain Roger. En outre, certains filtrages complexent le paramétrage. Ils réclament en effet une connaissance plus fine à l’intérieur même des protocoles pour identifier les messages licites. Une contrainte qui peut rebuter et freiner l’adoption des pare-feu applicatifs. (Source : JDN)