Christophe Auberger : Ce n’est pas un hasard si la plupart des constructeurs s’orientent maintenant vers des solutions de filtrage applicatif. Effectuer un contrôle de type stateful uniquement et même allant jusqu’au niveau 3/4 est très largement insuffisant. La mise en place d’une architecture de type cloud suppose néanmoins plusieurs contraintes :

– la concentration des ressources implique une augmentation importante des bandes passantes et nécessite la mise en place d’équipements très performants et dédiés ;

– la notion d’interne ou d’externe évolue de manière très ambigüe et une approche de type bastion devient un non–sens. Il est nécessaire d’avoir une approche de type segmentation impliquant un grand nombre d’interfaces physiques sur les équipements ;
– avec l’implantation de nombreux serveurs logiques (virtuels) au sein d’architecture multi-lames / multi-serveurs aux périmètres flous, la solution de l’appliance virtuelle semble séduisante et être la solution unique.

Malheureusement, si l’appliance virtuelle offre certains services intéressants, le fait qu’elle fonctionne sur un système d’exploitation ou un hyperviseur qui ne garantit ni sécurité, ni la robustesse face aux attaques, ni le niveau de performance recherché, elle ne permet pas d’être envisagée en tant que solution unique. En revanche, une architecture hybride utilisant à la fois des équipements physiques intégrant les fonctions de virtualisation et des équipements virtuels permet de couvrir le spectre.

GS MAG : Sur quelle partie du SI doit-on déployer ces firewalls ?

Christophe Auberger : Il faut oublier les notions de périmètre telles que comprises dans le passé, cela devient un non-sens. L’entreprise est ouverte sur le monde, et dans ce contexte, son système d’information n’est pas une entité isolée reliée à l’extérieur par des liens en faible nombre et clairement identifiés. Que dire alors des collaborateurs externes (consultants, personnel en régie, partenaires...), des télétravailleurs en nombre de plus en plus importants, des connexions dites sécurisées avec les autres entreprises des clients et fournisseurs (connexions VPN, MPLS...), des applicatifs externalisés (SaaS), sans compter les failles multiples ouvrant le réseau sur l’extérieur constitué par les différents Smartphones et leurs systèmes de synchronisation. C’est aussi oublier ce que l’on souhaite protéger : l’information. Et à ce titre, la protection ne doit pas concerner uniquement l’extérieur de l’entreprise mais bien permettre de n’autoriser l’accès à une ressource que pour les personnes dûment habilitées. Si la protection des connexions multiples du SI aux ressources externes reste de mise, le rôle principal de la sécurité se trouve clairement en cœur de réseau.

GS MAG : Comment faire pour administrer les firewalls sur le long terme ?

Christophe Auberger : Dans le contexte actuel, nous avons vu que les fonctions de sécurité étaient multiples et complexes : contrôle des contenus et protection des informations (antivirus, antispam, filtrage d’URL, authentification des utilisateurs, DLP...), contrôle de l’utilisation des ressources (contrôle applicatif, chiffrement...). Dans ces conditions, une approche consolidée intégrant ces fonctionnalités sur un seul équipement permet une administration simple et facile à maintenir. Un autre facteur de simplification est d’abandonner l’approche uniquement technique (telle adresse peut joindre telle autre adresse en utilisant tel port de tel protocole) pour aller vers une approche centrée sur les ressources : tel utilisateur peut accéder à telle ressource avec telle application.

GS MAG : A l’ère de l’encapsulation, à quoi peut servir un firewall ?

Christophe Auberger : C’est effectivement un problème pour les firewalls d’ancienne génération qui se concentrent uniquement sur le contenant (analyse protocolaire au mieux), et qui n’assurent à ce titre qu’une étanchéité au niveau réseau. La majorité des échanges se réalise maintenant sur un nombre de protocoles très réduit, principalement http et les protocoles de messagerie. Les technologies classiques permettent de se prémunir des attaques triviales et d’alléger le travail d’analyse indispensable. C’est pour cette raison que nos équipements intègrent l’analyse stateful, en revanche, ils ne s’arrêtent pas là. Grâce à nos différentes technologies d’analyse de contenu et de contrôle applicatif, ils permettent de s’assurer que seuls les flux identifiés et autorisés transitent.
GS MAG : A quoi ressembleront les firewalls de demain ?

Christophe Auberger : Nous avons déjà une bonne idée de ce à quoi il ressemblera : un équipement consolidant un nombre important de fonctions, centré sur les informations et les utilisateurs. Les tendances et les évolutions sont déjà connues : l’utilisation massives des technologies s’appuyant sur les services Web (Web 2.0), l’externalisation des ressources (réduction du nombre de datacenters voire SaaS), mutualisation des ressources (cloud). Cette centralisation des moyens des entreprises demandera toujours plus de performances aux équipements tout en augmentant la couverture fonctionnelle en termes de sécurité. De plus, IPv6 arrive et il sera nécessaire que les équipements offrent les mêmes fonctionnalités et le même niveau de performances dans les deux mondes.

GS MAG : Quel est votre message à nos lecteurs ?

Christophe Auberger : Le système d’information des entreprises évolue pour s’architecturer de manière hybride avec une répartition des ressources dans un nuage virtuel dont la localisation physique devient de plus en plus floue. Si la mise en place de pare-feux au niveau des portes d’entrée et de sortie reste indispensable, ils deviennent néanmoins de plus en plus insuffisants. Il est donc nécessaire que les individus perdent l’habitude de protéger leur réseau pour préserver leurs données.