Sécurité des infrastructures : Comment choisir son firewall ?

Si on se limite qu’à certains critères, on pourrait facilement penser que tous les firewalls du marché se valent. Les règles de filtrage vont globalement se ressembler et permettre de réaliser sensiblement les mêmes filtrages. De plus, les fonctionnalités portées sont, au final, identiques.

On va pouvoir les différencier sur leur performance et l’interface d’administration. Les performances ne sont pas identiques d’un équipement à l’autre en fonction du matériel utilisé et du logiciel embarqué. Par ailleurs, les interfaces permettant d’administrer ces équipements sont plus ou moins facilement intégrables dans les solutions d’administration, propriétaires ou custom (vérifier notamment la disponibilité d’API pour gérer son SDN et d’interfaces avec l’outillage DevOps pour réaliser son déploiement continu).

Une tendance à la centralisation et à la simplification

La tendance globale est en effet à la centralisation (ou en tout cas à une capacité de management centralisée) et à la simplification portée pour les utilisateurs.

Cependant, les entreprises doivent être « prudentes » quant aux fonctionnalités annoncées et prioriser le support à long terme, avec l’acquisition de compétences. Un firewall Next-Gen peut avoir un impact et bloquer la connexion en raison d’une politique d’inspection du trafic au niveau applicatif. Cet incident, nécessite de faire des analyses de logs plus poussées et très souvent, l’origine du problème n’est pas diagnostiqué/diagnosticable par les équipes Infra.

L’IA au service de la sécurité

L’intelligence artificielle au service de la sécurité est une approche introduite dans les antivirus, puis dans les IDS/IPS (qui analysaient les données des flux pour prédire et empêcher une attaque) et dans les SIEM, mais aussi dans la gestion des accès et comptes à privilèges (PAM*1) ainsi que dans la surveillance des bases de données (DAM*2). L’IA doit-elle réellement être aussi incluse dans un firewall Next-Gen ? Rebadger le modèle statistique proposé par les IPS en IA n’est pas suffisant.

L’IA est reconnu comme nécessaire pour plusieurs raisons. Premièrement, nous sommes passés d’un modèle de données structurées à des modèles déstructurés. Deuxièmement, l’attaquant va opérer au niveau applicatif et va échapper à l’attention du firewall, Next-Gen ou pas, en se cachant derrière un flux chiffré grâce à la prévalence du HTTPS. Troisièmement, l’attaqueur est potentiellement déjà sur le réseau interne par le biais d’un appareil compromis. Et il existe maintenant des cas où les attaquants eux-mêmes utilisent l’IA.

L’IA au service de la sécurité doit prendre en compte plusieurs sources de données – flux réseau, logs des serveurs, postes et autres « endpoints », traces applicatives, logs associés à l’identité – afin de fournir une réelle aide à la décision.

À notre sens, il faut se poser la question de quelle est la manière la plus efficace d’incorporer l’intelligence artificielle dans la réponse aux besoins de sécurité de l’entreprise. Ainsi émerge le concept de SOAPA – Security Operations and Analytics Platform Architecture. Les entreprises disposent typiquement d’une pléthore d’outils de sécurité. L’architecture SOAPA a la vision de consolider l’outillage, de répondre aux besoins d’orchestration et d’automatisation de la sécurité (SOAR) et de fournir les capacités analytiques requises pour tirer une valeur significative des montagnes de logs disponibles et apporter une réelle aide à la décision. Les entreprises doivent être prudentes par rapport aux produits proposés par les éditeurs qui évoluent très rapidement.

*1 Exemple : Privileged Threat Analytics de CyberArk

*2 Exemple : Guardium Insights

Comment choisir un firewal ?

Les principaux critères de choix sont :

  • L’intégration avec les briques du SI existant
  • La qualification des administrateurs sur la solution : un produit mal administré peut obtenir des résultats moins bons qu’un produit intrinsèquement moins bon mais mieux administré
  • Les capacités d’évolution fonctionnelle de la solution via l’upgrade du firmware ou l’activation de fonctionnalités via l’achat de licence
  • Le coût de revient rapporté aux fonctionnalités utilisées

Certains sont plus adaptés à certains contextes que d’autres (industriel, PME, télétravail, etc.). Il y a une réalité économique, toutes les entreprises ne sont pas égales en matière de cybersécurité. La question du pricing et du licensing est importante pour répondre à cette question.

Autres articles susceptibles de vous intéresser