Guide de l'utm et des pare-feu de nouvelle génération

Transcription

1 Guide de l'utm et des pare-feu de nouvelle génération Raisons clés pour justifier l'évaluation de l'utm et du pare-feu de nouvelle génération De Udo Kerst, Directeur de la Gestion des produits, Sécurité des réseaux et Barbara Hudson, Responsable Marketing produits Les systèmes de gestion unifiée des menaces (UTM ou Unified Threat Management) sont actuellement les outils les plus couramment utilisés de l'arsenal de sécurité de l'information. Le concept de gestion unifiée des menaces (UTM ou Unified Threat Management) est à la mode. En effet, il propose de nombreuses technologies de sécurité intégrées sur une seule plate-forme et fournies par un seul éditeur. En revanche, l'évaluation des options proposées par l'utm n'est pas des plus simples. Vous vous demandez peut-être s'il serait judicieux que votre entreprise adopte une solution UTM? Quelles sont les fonctions de sécurité les plus importantes? Quelles autres questions doivent être prises en compte (par exemple, la simplicité de gestion et le support pour les utilisateurs distants)?

2 Ce guide a pour but d'aider les dirigeants et cadres d'entreprises à évaluer les systèmes UTM en répondant aux questions suivantes : Quels sont les avantages d'un investissement dans l'utm? Les PME victimes de fuites de données Quelle est la différence entre l'utm et le pare-feu de nouvelle génération (next-gen)? Quelles technologies de sécurité doivent être incluses? Pour quelles raisons la simplicité de gestion est-elle aussi importante? Comment les systèmes UTM assurent-ils la protection des employés dans les bureaux distants? Quels niveaux de flexibilité et de sécurité devez-vous envisager à l'avenir? Quels sont les avantages d'un investissement dans l'utm? Tous les spécialistes conviennent que les entreprises, quelle que soit leur taille, doivent adopter une solide stratégie de protection de leurs systèmes et données informatiques en utilisant différentes technologies de sécurité. En effet, les entreprises doivent aujourd'hui faire face à un nombre sans précédent de menaces. Les attaques sont lancées par différents types de cybercriminels dont les objectifs sont variés. Certains ont pour but de dérober des informations confidentielles sur les clients et les employés. Les pirates commandités visent la propriété intellectuelle tandis que les activistes politiques essayent de perturber l'activité commerciale des entreprises. Enfin, les employés corrompus sont motivés par l'appât du gain et ceux qui ont été licenciés peuvent chercher à prendre leur revanche. Quelle que soit leur motivation, ces individus malintentionnés utilisent les virus et les chevaux de Troie contenus dans les pièces jointes d' s, les téléchargements passifs des sites compromis, les injections SQL et autres attaques sur les applications Web ou encore les tactiques d'ingénierie sociale pour inciter les employés à révéler des données personnelles ou leurs identifiants de compte ou pour surveiller les communications sans fil. Aujourd'hui, un grand nombre utilisent les menaces persistantes avancées et les attaques mixtes qui combinent plusieurs de ces techniques. 55 % DES PME ONT ÉTÉ VICTIMES D'UNE SEULE FUITE DE DONNÉES 53% DES PME ONT ÉTÉ VICTIMES DE PLUSIEURS FUITES DE DONNÉES 31 % DES BRÈCHES DE DONNÉES TOUCHENT LES ENTREPRISES DE MOINS DE 100 EMPLOYÉS Source : Ponemon Institute Les PME ne sont pas à l'abri. Une enquête du Ponemon Institute auprès d'entreprises au chiffre d'affaires de moins de 10 millions de dollars a révélé que plus de la moitié d'entre elles (55 %) ont été touchées par la fuite de données - et pour 53 % d'entre elles, l'incident s'est répété plus d'une fois. 1 Une autre étude de Verizon a montré que 31 % des brèches de données concernent les entreprises de moins de 100 employés. 2 De plus, ces chiffres sont probablement minimisés car de nombreuses PME ne sont pas en mesure de détecter les brèches. 1 Communiqué de presse de HSB : L'enquête montre que les PME sont très exposées aux brèches de données (enquête menée par le Ponemon Institute) 2 Rapport d'enquête Verizon 2013 sur les compromissions de données Livre blanc Sophos Janvier

3 En réponse à toutes ces menaces, les entreprises doivent être capables d'implémenter et de gérer plusieurs technologies de sécurité, un défi difficile à relever. Une solution est de déployer plusieurs produits de différents éditeurs. Toutefois, cette approche nécessite non seulement d'installer et d'intégrer plusieurs solutions, mais aussi de se familiariser avec plusieurs consoles d'administration et d'avoir à gérer des mises à jour et des mises à niveau de plusieurs éditeurs. Une autre solution est de déployer un système de gestion unifiée des menaces, c'est-àdire un ensemble de technologies de sécurité intégrées et implémentées sur une seule plate-forme physique (ou dans le Cloud), avec une seule interface d'administration. Les principaux avantages techniques des systèmes UTM - par rapport à une approche non unifiée - sont : Un déploiement simplifié, avec beaucoup moins d'étapes au niveau de l'installation et de la configuration ; Une administration facilitée car il n'y a qu'une seule console d'administration et un seul processus de mise à jour ; Une résolution plus rapide des problèmes car il y a moins de possibilités de conflits entre les modules et le support est assuré par un seul et même éditeur ; Des rapports intégrés qui regroupent toutes les données des différentes technologies à un seul endroit, dans un format homogène, avec des corrélations utiles entre les différents types de données. Tous ces avantages techniques présentent des bénéfices concrets pour l'entreprise : Des coûts d'implémentation réduits Moins de pression sur le personnel informatique Moins de vulnérabilités de sécurité Des réactions aux attaques plus rapides Des coûts administratifs réduits, du fait que les licences, la facturation et le support proviennent de la même source Tous ces bénéfices expliquent la demande croissante pour les systèmes UTM. Selon le cabinet de conseils Frost & Sullivan, le marché mondial de l'utm croît à un taux annuel de 17 % et en 2014 il devrait atteindre plus de 1,5 million d'unités vendues, représentant 2,1 milliards de dollars de chiffre d'affaires. 3 3 Analyse du marché mondial de l'utm (Unified Threat Management), Frost & Sullivan, 28 novembre Quelle est la différence entre l'utm et le pare-feu de nouvelle génération (nextgen)? La plupart des analystes de l'industrie définissent les parefeu de nouvelle génération ou next gen (NGFW) comme des pare-feu améliorés avec prévention des intrusions et contrôle des applications, et les systèmes de gestion des menaces unifiée (UTM) comme incluant ces fonctions plus d'autres technologies telles que la sécurité de la messagerie, le filtrage des URL, la sécurité sans fil, les pare-feu d'applications Web et les réseaux privés virtuels (VPN). Selon cette définition, le pare-feu de nouvelle génération est donc un composant du système UTM. (Vous pourrez voir par exemple les définitions des pare-feu next-gen et UTM dans le glossaire IT de Gartner). Cependant, de nombreux individus utilisent ces termes indifféremment et certains éditeurs UTM commercialisent leurs produits haut de gamme comme des pare-feu next-gen. Mais ne nous arrêtons pas à une question de pure terminologie. Si vous utilisez des pare-feu next-gen dans le sens large du terme, alors les points abordés dans ce livre blanc s'appliquent aussi bien à ces pare-feu qu'aux systèmes UTM. Livre blanc Sophos Janvier

4 Quelles technologies de sécurité doivent être incluses? Chaque entreprise doit déterminer les technologies de sécurité qui seront pour elle les plus importantes, en fonction d'un certain nombre de facteurs. Les auteurs des attaques dont elle est le plus susceptible de faire l'objet : cybercriminels, pirates commandités, hacktivistes, employés en interne, etc. Le type de techniques que ces auteurs sont le plus susceptibles d'utiliser : virus et chevaux de Troie, attaques ciblées basées sur les méthodes d'ingénierie sociale, les dénis de service, les injections SQL, le cross-site scripting (XSS) et autres attaques sur les applications Web, l'interception des s et des communications sans fil, l'abus de privilèges par les utilisateurs de l'entreprise, etc. Les données et les équipements qu'elle a besoin de protéger : par exemple les données bancaires et financières, les dossiers médicaux, la propriété intellectuelle ou encore les mots de passe système - sur les serveurs, les ordinateurs portables, les tablettes et les smartphones. Les conséquences de ces attaques et de ces fuites, comprenant notamment les pertes de revenu et la baisse de productivité, les sanctions imposées par la loi ou encore les frais liés à l'obligation de notifier toute fuite de données. Le personnel informatique devra également considérer la propension des employés à ouvrir la porte à certaines de ces attaques en s'adonnant à des comportements à risque tels que le fait de cliquer sur des liens dans les s de sources inconnues, consulter des sites suspects ou encore utiliser des points d'accès sans fil publics non sécurisés. Avec des menaces aussi variées, et les comportements complices des employés, beaucoup d'entreprises doivent inclure une gamme importante de technologies de sécurité dans leur système UTM. Vous trouverez ci-dessous la liste des technologies de sécurité à considérer. Elle vous semblera peut être longue, mais aujourd'hui tous les éléments sont disponibles dans les systèmes UTM avancés. Vous n'avez pas besoin de déployer toutes les technologies d'un seul coup. Avec la plupart des systèmes UTM, l'entreprise peut choisir d'implémenter les défenses dont elle a besoin maintenant et d'en activer d'autres plus lorsqu'elles deviennent nécessaires. De plus, comme nous le verrons dans la prochaine section, l'un des grands avantages de l'approche UTM est qu'il est possible d'installer, de configurer et d'administrer plusieurs technologies toutes ensemble avec beaucoup moins d'efforts que si elles étaient déployées séparément. Livre blanc Sophos Janvier

5 Technologies de sécurité à considérer pour les systèmes UTM, par catégorie Protection réseau Pare-feu dynamique Traduction d'adresses réseau Système de prévention des intrusions Protection contre les inondations (blocage portscan, DoS, DDoS) Authentification à deux facteurs Accès à distance et VPN de site à site Pare-feu de nouvelle génération (next-gen) Visibilité et contrôle des applications Protection avancée contre les menaces Qualité de service et contrôle de la bande passante Protection des serveurs Web Pare-feu d'applications Web et reverse proxy Contrôle antivirus pour les téléchargements du Web Durcissement au niveau des formulaires Durcissement au niveau des URL Utilisation des cookies Protection WiFi Contrôle du trafic câblé et du trafic sans fil Chiffrement WPA et WPA2 Zones sans fil séparé pour les accès invités Options d'authentification hotspot Protection du Web Filtrage des URL Protection contre les logiciels espions Contrôle antivirus du trafic Web Contrôle HTTPS Protection de la messagerie Détection antispam Mise en quarantaine des messages suspects Contrôle antivirus des pièces jointes dans les s Chiffrement des s et prévention des pertes de données (DLP) Protection des systèmes d'extrémité Analyse antivirus sur les systèmes d'extrémité Contrôle des périphériques pour prévenir le branchement de périphériques à risque (tels que les clés USB) et les connexions réseau (par exemple le Bluetooth) Prévention des fuites de données (DLP) Protection Web pour les utilisateurs itinérants Vous trouverez plus d'informations sur ces technologies et leur utilisation dans notre Guide d'achat UTM et Protection réseau. Livre blanc Sophos Janvier

6 Pour quelles raisons la simplicité de gestion estelle aussi importante? Le manque de ressources en personnel informatique est un problème majeur au sein des entreprises. On demande à chacun de faire plus avec moins. De plus, trouver des personnes avec des qualifications avancées est un défi. Les PME en particulier n'ont pas les moyens d'employer une équipe entière de spécialistes de la sécurité. Les pressions sur le personnel sont une des raisons majeures qui explique le succès des systèmes UTM. Par rapport à une approche non unifiée, les systèmes UTM réduisent considérablement le temps nécessaire à évaluer, installer, administrer et mettre à jour de multiples technologies de sécurité. Dans la plupart des cas, ils réduisent également la courbe d'apprentissage, les qualifications requises et les besoins en formation. En fait, en diminuant la charge globale de travail, les systèmes UTM permettent souvent de mettre en place des défenses de sécurité supplémentaires qui n'auraient pas été possibles autrement. Toutefois, les entreprises ne devraient pas prendre la simplicité d'administration pour acquise ou supposer que tous les systèmes UTM sont efficaces dans ce domaine. En effet, certains UTM ont été développés spécifiquement en vue d'intégrer l'administration, alors que d'autres ne sont que le résultat d'éditeurs ayant assemblé plusieurs produits avec différents processus de configuration et différentes consoles d'administration. D'autres encore ont commencé comme des pare-feu complexes et entièrement paramétrables pour les grandes entreprises et ont ensuite été simplifiés pour les plus petites entreprises. Ces systèmes UTM peuvent certes avoir des fonctionnalités puissantes, mais ils requièrent plus de connaissances et d'efforts pour fonctionner. Lorsque vous évaluez la simplicité d'administration, voici les principaux facteurs à prendre en compte : 1. Simplicité de déploiement Les facteurs qui simplifient le déploiement incluent : Les fonctions créées pour être opérationnelles immédiatement Des processus de configuration simples avec peu d'étapes Des règles de configuration et des fonctions identiques sur tous les systèmes quelles que soient leur facteur de forme ou leur taille (appliance physique ou virtuelle, logiciel sur serveur ou hébergement dans le Cloud) Les unités offrant une connexion "plug-and-play pour les bureaux distants sans besoin de personnel informatique Les paramètres de configuration pouvant être reconnus par de multiples technologies ou modules de sécurité Un exemple de déploiement intégré et simplifié serait d'activer un filtre de contenu Web et d'avoir ce changement immédiatement reconnu par le pare-feu. Sans cette intégration, l'administrateur aurait besoin de d'abord activer le filtre de contenu Web, puis de changer les règles de filtrage des paquets sur le pare-feu et enfin de permettre explicitement le retrait de mises à jour sur les menaces pour le filtrage de contenu. Livre blanc Sophos Janvier

7 2. Administration en continu Les fonctions qui réduisent les efforts pour bénéficier d'une administration en continu incluent : Une seule console permet de gérer et de suivre toutes les technologies sur tous les systèmes UTM dans l'entreprise Une seule méthode pour appliquer toutes les signatures contre les menaces et les malwares à tous les emplacements Des mises à jour automatiques et en un clic des firmware et des modèles d'attaques Parmi les fonctions d'administration avancées, citons le clustering système, le partage de charge et le basculement de charge, et la tolérance de panne. Ces fonctions améliorent les performances et protègent la continuité des opérations en cas de panne matérielles ou logicielles. 3. Administration par les administrateurs systèmes au lieu de spécialistes de sécurité Les fonctions qui permettent aux systèmes UTM d'être administrés par les administrateurs systèmes et réseau incluent : Les consoles d'administration et les interfaces utilisateurs intuitives Les configurations intelligentes par défaut Une étroite intégration entre les technologies de sécurité, ainsi les changements de configuration à un endroit n'entrent pas en conflit avec les paramètres à un autre endroit. Les produits qui nécessitent une syntaxe par ligne de commande pour la configuration ou qui recourent à un jargon de sécurité compliqué ont souvent besoin d'être administrés par des spécialistes de la sécurité. Les écrans d'administration avec des designs ou des processus différents pour administrer les différents modules du système sont la preuve d'un assemblage et non d'une administration ayant été conçue dès le départ pour être intégrée. 4. Rapports détaillés avec stockage en local Les systèmes UTM sont plus faciles à gérer (et l'analyse détaillée plus facile à effectuer) lorsqu'ils incluent une grande variété de rapports standards et lorsque les journaux et les rapports sont stockés en local sur chaque système. Certains systèmes UTM ont peu de rapports standards ou facturent en plus pour les fournir. D'autres gammes de produits UTM incluent des appliances bas de gamme sans disque dur et par conséquent sans stockage en local pour les journaux et les données des rapports. Livre blanc Sophos Janvier

8 5. Des utilisateurs plus autonomes Certains systèmes UTM accroissent l'autonomie des utilisateurs pour les tâches de configuration et de support grâce par exemple à des appliances "plug-and-play" pour les sites distants ou encore à des portails en libre-service qui leur permettent de voir et d'administrer leurs propres s en quarantaine. Les systèmes Sophos UTM (et leurs anciennes versions Astaro) sont réputés pour leur exceptionnelle simplicité d'administration. Par exemple, une évaluation indépendante a récemment conclu que l'installation et la configuration de base pouvaient s'effectuer en 10 à 15 minutes et a donné au modèle Sophos UTM 220 cinq étoiles pour sa facilité d'utilisation. 4 Comment les systèmes UTM assurent-ils la protection des employés dans les bureaux distants? L'un des défis majeurs auxquels sont confrontés les départements informatiques aujourd'hui est la protection des employés et des données sur les sites distants. Les fonctionnalités qui aident à répondre à cette problématique tout en minimisant les efforts d'administration incluent : Les systèmes UTM pour les sites distants qui ne requièrent pas de configuration initiale et qui peuvent être gérés de manière centralisée sans besoin d'impliquer les employés distants Les systèmes UTM pour les sites distants qui dirigent tout leur trafic réseau sans fil et câblé via le processus complet de contrôle UTM pour garantir que tous les s et le trafic Web sont contrôlés pour détecter les menaces potentielles Les clients VPN pour les employés itinérants ou travaillant de la maison qui protègent le trafic réseau sans action de la part de l'utilisateur Un exemple d'une fonction avancée pour protéger les données sur les sites distants est le contrôle de l'accès WiFi pour les invités et les contractants qui limite l'accès à des segments réseau et à des délais prédéfinis. 5 Quels niveaux de flexibilité et de sécurité devez-vous envisager à l'avenir? Les entreprises ont besoin de systèmes UTM qui répondent à leurs besoins immédiats. Mais les menaces évoluant très rapidement - et les entreprises aussi - elles doivent également rechercher des systèmes pérennes, c'est-à-dire qui offrent des fonctions pouvant être requises dans le futur. Le moyen le plus sûr de garantir que ces technologies de sécurité et ces outils d'administration seront disponibles ultérieurement est de choisir un système UTM qui les intègrent déjà aujourd'hui. Même si l'on pourrait croire que les éditeurs peuvent toujours ajouter de nouvelles technologies à leur gamme de produits, souvent elles ne le font pas pour des raisons techniques et commerciales. 4 Évaluation indépendante de Sophos UTM 220, SC Magazine, 1er mars conseils pour sécuriser votre réseau sans fil, Sophos Livre blanc Sophos Janvier

9 Autre facteur à prendre en compte : le choix offert en termes de plate-formes de déploiement. Cela permet à l'entreprise de choisir la meilleure plate-forme pour chaque site et chaque type de bureau et d'évoluer d'une plate-forme à une autre au fur et à mesure que l'entreprise et ses besoins évoluent. Les plates-formes incluent : Les logiciels qui peuvent être installés sur les serveurs du centre de données Les logiciels disponibles sur les serveurs basés dans le Cloud tels que ceux hébergés par Amazon Les appliances UTM classiques avec matériel et logiciels pré-intégrés Les appliances virtuelles (suites logicielles intégrées pouvent être déployées dans les environnements virtuels fournis par VMware, Microsoft, Citrix et KVM) Enfin, pour garantir une grande flexibilité, les entreprises devraient rechercher une ligne de produits allant des petits boîtiers économiques pour les petits bureaux aux systèmes pour les grands sites pouvant gérer des millions de connexions simultanées et des gibabits de trafic par seconde. Pour simplifier l'administration, ces solutions doivent fournir un ensemble homogène de fonctionnalités et doivent être gérées depuis la même console centralisée. Résumé : ce qu'il vous faut pour bénéficier de tous les avantages de la gestion unifiée des menaces En intégrant de multiples technologies de sécurité, les systèmes UTM peuvent simplifier le déploiement et l'administration, réduire les besoins en personnel spécialisé et offrir une résolution des problèmes plus rapide par rapport à l'approche non unifiée de la sécurité réseau. Ce qui à son tour aboutit à des avantages incontestables pour l'entreprise : Réduction des coûts Moins de vulnérabilités de sécurité Des réactions plus rapides aux attaques Moins de travail pour le personnel informatique Livre blanc Sophos Janvier

10 Le tableau ci-dessous résume les facteurs-clés les plus importants que nous avons abordés. Les dix recommandations 1. Inclure toutes les technologies-clés requises par l'entreprise, à savoir la protection réseau, la protection pare-feu next-gen, la protection Web, la protection de la messagerie, la protection des serveurs Web, la protection sans fil et la protection Endpoint. 2. Fournir des fonctions de sécurité spécifiques dont l'entreprise a besoin (avec possibilité d'évaluations gratuites). 3. Être simple à déployer et à configurer. 4. Être facile à administrer. 5. Être administrable par les administrateurs réseau ou système plutôt que par les spécialistes en sécurité. Un système de gestion unifiée des menaces devrait : 6. Protéger les employés et les données sur les sites distants de manière économique. 7. Être facile à installer et à adminsitrer sur les sites distants sans support local. 8. Fonctionner sur un large choix de platesformes, dont les appliances physiques et virtuelles, les logiciels sur les serveurs de l'entreprise et hébergés dans le Cloud. 9. Être évolutif, c'est-à-dire pouvoir évoluer des boîtiers économiques pour les petits bureaux aux systèmes à hautes performances pour les plus grands sites. 10. Fournir des fonctions identiques sur toutes les tailles de système et de facteurs de forme pour simplifier l'administration et l'évolutivité. Nos ressources sur Sophos UTM : Demandez une évaluation gratuite Découvrez-en plus sur Sophos UTM Comparez les différents éditeurs de systèmes UTM Équipe commerciale France : Tél. : info@sophos.fr Oxford (Royaume-Uni) Boston (États-Unis) Copyright Sophos Ltd. Tous droits réservés. Immatriculée en Angleterre et au Pays de Galles No , The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Royaume-Uni Tous les autres noms de produits et de sociétés mentionnés sont des marques ou des marques déposées appartenant à leurs propriétaires respectifs. 11/13 NP.wpfr.simple