Global Security Mag : A l’ère du Cloud Computing, à quoi peut servir un firewall ?

Jeremy D’Hoinne : Le Cloud Computing désigne plusieurs architectures informatique déjà présentes dans l’entreprise (Software as a Service, infrastructure hébergée, etc.). Son adoption massive change la répartition au sein des différents flux réseaux, comme l’a fait l’adoption de la voix sur IP. L’emplacement des données sensibles peut également évoluer dans une infrastructure « Cloud » pour passer d’un serveur interne à un serveur hébergé.

Cependant, cela fait des années que le périmètre physique de l’entreprise a cédé la place à de multiples barrières numériques. Le firewall moderne ne se limite donc pas au filtrage de paquets mais inspecte les flux en temps réel. L’arrivée du « cloud » a tout de même un impact direct sur ce que le firewall de l’entreprise doit analyser.

Aujourd’hui la majorité du trafic réseau est constitué d’échanges de données. Demain, la nature distribuée d’une infrastructure « Cloud », combinée à la maturité d’un web devenu applicatif imposera aux firewalls de décrypter des échanges applicatifs, au-delà de la transmission de données et des formats de fichiers.

Cette évolution va mettre à mal les firewalls qui s’appuient essentiellement sur la reconnaissance des attaques via des signatures, car cette méthode sera inefficace sur la majorité des flux applicatifs.

GS Mag : Dans ce contexte, quel type de firewall est-il pertinent de déployer en entreprise ?

Jeremy D’Hoinne : Répondre directement à cette question revient à occulter complètement l’analyse de risque, vitale pour trouver la bonne solution. La réalité du « Cloud » fait que les directions métiers peuvent se passer de l’aval de la DSI.

Dans ce contexte, la solution de sécurité doit soutenir la volonté d’évolution du SI. Par exemple, accompagner une démarche de virtualisation grâce à un firewall virtuel permet d’être impliqué dans le projet et de faire évoluer la protection « physique » de l’infrastructure vers un firewall de dernière génération.

Le débat entre les produits tout-en-un (UTM) et les produits dédiés reste lié à une forte problématique de budget. Il vaut mieux un bon firewall multifonctions qui propose des protections de pointe dans chaque domaine, plutôt qu’un projet de produit dédié laissé à l’abandon faute de formation et de budget conséquent.

GS Mag : Sur quelle partie du SI doit-on déployer ces firewalls ?

Jeremy D’Hoinne : Bien sûr, il faut déployer des firewalls sur toutes les parties du SI. La séparation des pouvoirs au sein de l’entreprise et la complexité de déploiement à l’ère des utilisateurs ultra-mobile font qu’il y a autant de réponses à cette question que d’entreprises.
Il est, par contre, impératif de mettre à l’épreuve la sécurité d’une offre « Cloud » avant de songer à modifier son architecture. Le fournisseur doit pouvoir justifier la présence de solutions efficaces, non seulement sur la disponibilité, mais également sur la confidentialité des données, ainsi que pour la lutte contre l’usurpation d’identité.

GS Mag : Comment faire pour administrer les firewalls sur le long terme ?

Jeremy D’Hoinne : Eviter le micro-management abusif. Une politique de sécurité n’est pas un « patchwork » de règle, mais reflète la vie de l’entreprise.
L’administration de cette politique doit également être facilité et autoriser un langage naturel, proche d’une description orale que ferait l’administrateur. Une politique basée sur les utilisateurs et les entités de l’entreprise est une bonne base. Cette fonction est d’ailleurs présente depuis plus de 8 ans sur les firewalls NETASQ.

Pour les grandes entreprises, il faut privilégier une solution qui permette une gestion collaborative, sans sacrifier la traçabilité.

GS Mag : A l’ère de l’encapsulation, à quoi peut servir un firewall ?

Jeremy D’Hoinne : Il sert à inspecter de plus en plus loin dans les flux. Le sens du mot firewall a évolué avec le temps. Un bon firewall est très éloigné du simple filtrage de paquet.

GS Mag : A quoi ressembleront les firewalls de demain ?
Jeremy D’Hoinne : Tous les firewalls ne sont pas égaux aujourd’hui. Les firewalls qui s’appuient uniquement sur la reconnaissance simple d’une attaque (« signature »), vont être rapidement distancé en termes de qualité de protection et de performance.

Pour les firewalls plus évolués, dont les produits NETASQ, l’enjeu des prochains mois sera de maintenir une qualité de protection optimale sans rendre la politique de sécurité plus complexe.

Il ne faut pas non plus oublier que les prochaines années vont être marquées
par l’arrivée d’IPv6 et d’autres changements d’infrastructure ou d’usage.
 ?