ebook TECHNOLOGIE PARE-FEU L INTELLIGENCE DE LA NOUVELLE GÉNÉRATION Application Intelligence and Control, ou la sécurité réseau à l heure du Web 2.0, du cloud computing et de la mobilité. Custom Solutions Group SOMMAIRE +INTRODUCTION+ +NOUVELLES TECHNOLOGIES, NOUVELLES MENACES+ +LES LIMITES DE LA TRADITION+ +L INTELLIGENCE DES NOUVEAUX PARE-FEU+ +CONCLUSION+
2 RÉSUMÉ Ce document analyse en quoi des innovations telles que la mobilité, le Web 2.0, les médias sociaux et le cloud computing ont radicalement transformé le paysage informatique et ouvert la porte à de nouvelles menaces pour les réseaux des entreprises privées et publiques. La classification des protocoles et des numéros de ports étant entre-temps inefficace dans le blocage des menaces, les pare-feu traditionnels ne sont plus à la hauteur. Soucieux de reprendre les choses en main, les responsables informatiques se tournent donc vers les pare-feu nouvelle génération dotés d une intelligence au niveau applicatif capable de tenir tête aux menaces modernes. Une protection renforcée pour que les organisations puissent à l avenir profiter pleinement de ces innovations. INTRODUCTION Les pare-feu font depuis longtemps partie intégrante des réseaux où ils servent à limiter les accès non autorisés au domaine des entreprises. Conçus à l origine pour bloquer les menaces au niveau de la couche réseau, ils se sont vus par la suite enrichis d autres fonctionnalités de sécurité (protection antivirus ou détection des intrusions, par ex.). Aujourd hui toutefois, ils se révèlent ineffi caces face aux menaces modernes. De nouvelles vulnérabilités sévissent, dues entre autres au changement radical dans les manières de travailler, et notamment de communiquer entre employés, clients et autres. Les modes de contact traditionnels ont systéma-
3 Aujourd hui, les attaques visent la couche applicative. Dans cette brève vidéo, Dmitriy explique aux administrateurs comment contrôler et hiérarchiser le trafic réseau. IL Y A 223 MILLIONS D UTI- LISATEURS DE PORTABLES DE PLUS DE 13 ANS AUX ÉTATS-UNIS SEULEMENT, ET 25 % DES APPAREILS MOBILES VENDUS AU 3 ÈME TRIMESTRE 2009 ÉTAIENT DES SMARTPHONES. SOURCE : NIELSEN tiquement laissé place à des formes de communication et de collaboration plus innovantes, issues de l ère du numérique. Bien sûr, l étendue et le volume de ces interactions électroniques n ont rien à voir avec ce qu on connaissait aux premières heures du pare-feu. Les entreprises ont lourdement investi dans les communications unifi ées. Les applications de messagerie électronique, MI et VoIP (comme Skype) ont éclipsé les téléphones et fax classiques, faisant d Internet une ressource de tous les instants pour les employés et un point d intégration essentiel pour les services informatiques. De plus, les médias sociaux se répandent dans les bureaux. Facebook compte plus de 400 millions d utilisateurs. 70 millions sont sur LinkedIn et 16 millions sur Tagged. Sur YouTube, les internautes visionnent deux milliards de vidéos par jour. Tandis que les médias sociaux font déjà partie du quotidien des employés, les entreprises adoptent peu à peu les applications Web 2.0 pour des tâches commerciales : engager des actionnaires via Facebook, contacter les consommateurs sur Twitter ou collaborer avec des partenaires par BitTorrent. La mobilité des terminaux, en forte progression, apporte son lot de confusion. De fait, selon Nielsen, il y a 223 millions d utilisateurs de portables de plus de 13 ans aux Etats-Unis seulement, et 25 % des appareils mobiles vendus au 3 ème trimestre 2009 étaient des smartphones. Avec toute cette technologie (ordinateurs portables, Android, BlackBerry, ipad...) entre les mains du plus grand nombre, la consumérisation des TI bat son plein. Les employés font de plus en plus pression sur leurs employeurs pour adopter ces outils et pénètrent avec leurs équipements personnels sur le réseau de l entreprise. Le cloud computing a lui aussi investi les infrastructures informatiques. Les entreprises y ont recours pour de plus en plus de services. Des applications comportant des informations sensibles, de messagerie et CRM notamment, sont hébergées auprès de fournisseurs tiers. De fait, le chiffre d affaires des services de cloud computing devrait, selon le cabinet de recherches Gartner, atteindre les 150,1 milliards de dollars en 2013. «Les innovations telles que la mobilité, le Web 2.0 et le cloud computing sont un atout considérable pour les affaires», déclare Jason Tate, directeur de la mise en réseau chez Aaron Rents, détaillant spécialisé d équipements pour les particuliers et les bureaux, d électronique grand public, d électroménager et d accessoires, basé à Atlanta (Géorgie). «Elles doivent être intégrées.» Pourtant, leur adoption déchaîne les passions : jusqu où va la liberté du personnel? Qui doit pouvoir accéder à quelles applications? Les données sensibles doiventelles quitter le réseau? Quel protocole contrôle les équipements étrangers? «
4 SONDAGE NOUVELLES TECHNOLOGIES, NOUVELLES MENACES QUELLES RÈGLES RÉGISSENT L ACCÈS DE VOS EMPLOYÉS AUX SITES DE RÉSEAUTAGE SOCIAL TWITTER OU FACE- BOOK, PAR EX. PAR LE RÉSEAU DE L ENTREPRISE? NOUS AUTORISONS L ACCÈS À TOUS LES SITES DE RÉSEAUTAGE SOCIAL. NOUS LIMITONS L ACCÈS DE QUEL- QUES SITES, MAIS L AUTORISONS POUR D AUTRES. NOUS LIMITONS L ACCÈS DE CER- TAINS EMPLOYÉS AUX SITES DE RÉSEAUTAGE SOCIAL. NOUS BLOQUONS TOUS LES SITES DE RÉSEAUTAGE SOCIAL POUR TOUS LES EMPLOYÉS. VOTER «On parle beaucoup de l amélioration de la productivité, mais les innovations en question peuvent aussi avoir l effet inverse», indique Patrick Sweeney, vice-président de la gestion des produits chez SonicWALL TM Inc., fournisseur de sécurité réseau basé à San José (Californie). Les employés entretiennent leurs contacts «aux frais de l entreprise», monopolisant la bande passante pour des activités non productives au détriment de tâches importantes. Prenons l exemple d une société qui autorise les flux ESPN sur son réseau. Si 100 employés se branchent pour suivre le Mondial, l encombrement, et donc le ralentissement des performances des applications métier sont inévitables. Le problème ne se résout pas en bloquant simplement tous les sites de diffusion ; ce qu il faut, c est une plus grande précision dans la définition des règles. Mais ce qui pèse plus encore sur la productivité, ce sont les nouveaux risques. «La menace virale traditionnelle a disparu», affirme J. Tate. «Aujourd hui, les applications Web et le cloud exposent les réseaux à des attaques furtives dont même les sites légitimes et les utilisateurs sérieux ne sont pas épargnés.» Non seulement les sites typiquement douteux (pornographie, pharmacie, jeu...), mais aussi les applications Web et sites de réseaux sociaux courants peuvent entraîner le téléchargement involontaire de contenus infectés. Parallèlement, les menaces classiques envahissent les nouveaux outils commerciaux, à l instar de l attaque récente de mot de passe contre les ipad ou diverses campagnes de spam visant Facebook et Twitter. L apparition de nouvelles failles à travers les réseaux d entreprises et de services publics a bouleversé le paysage de défense anti-malware. «Il devient de plus en plus difficile pour les administrateurs réseau de distinguer le bon du mauvais», affirme P. Sweeney. Ce qui met en jeu la sécurité des entreprises et de leurs actifs numériques. La perte de données, en particulier, pèse lourd aujourd hui, d où une surveillance accrue de la part des organismes de régulation. En quoi cela affecte-t-il la conformité? Où les données sont-elles le plus vulnérables? Ces applications Web peuvent-elles être gérées et contrôlées? «La surface d attaque s élargissant, les services informatiques préfèreraient sans doute parfois tout débrancher», ajoute J. Tate. Face aux dangers du Web 2.0, les parents peuvent dire non à leurs enfants, «mais nous devons trouver un moyen de dire oui», argumente-t-il, «sans passer pour des shérifs impitoyables.» Par exemple en actualisant les technologies pare-feu obsolètes pour faire face à la complexité du paysage informatique moderne. «
5 LES LIMITES DE LA TRADITION Les pare-feu d hier n ont pas été conçus pour le phénomène moderne de consumérisation des TI ou le Web 2.0. Personne n aurait pu prédire l ampleur des changements en l espace de quelques décennies. A présent, ces pare-feu atteignent leurs limites. «Les pare-feu traditionnels viennent à bout d attaques d amateurs», explique J. Tate, «mais nous avons aujourd hui affaire à des menaces sophistiquées. Il nous faut donc être plus sélectifs en matière d autorisation d accès.» Les anciens pare-feu, notamment, opèrent au niveau de la couche 3, ou couche réseau, ce qui signifi e qu ils inspectent le trafi c uniquement sur la base des informations relatives aux adresses source et de destination d un paquet, autrement dit son protocole et son numéro de port. Or, près des deux tiers du trafi c s effectuant aujourd hui en HTTP et HTTPS, «les infos de protocole et de port sont quasiment inutiles dans la mise en place de règles de sécurité», estime l AimPoint Group, cabinet d analyse du Maryland. «LES PARE-FEU TRADITION- NELS NE SONT PAS ASSEZ INTELLIGENTS POUR BLO- QUER CE GENRE DE PHÉNO- MÈNES. C EST POURQUOI LA CAPACITÉ À IDENTIFIER ET GÉRER LES APPLICATIONS REVÊT AUJOURD HUI UNE IMPORTANCE CRUCIALE.» PATRICK SWEENEY, V.P. GESTION DES PRODUITS, SONICWALL Les pare-feu traditionnels s avèrent en outre ineffi caces face aux menaces visant les applications Web, dans la mesure où ils se basent sur des signatures d attaques statiques et ne connaissent pas assez les applications pour savoir ce qui constitue réellement une menace. Leurs confi gurations de règles reposent sur les menaces connues. Or, en utilisant le chiffrement SSL et des ports non standard jusque-là fermés, les applications Web peuvent passer inaperçues. «Par exemple, un programme de messagerie instantanée peut ouvrir le port 80 puis se reprogrammer dynamiquement pour ressembler à un fl ux standard», explique P. Sweeney. «Malheureusement, les pare-feu traditionnels ne sont pas assez intelligents pour bloquer ce genre de phénomènes. C est pourquoi la capacité à identifier et gérer les applications revêt aujourd hui une importance cruciale.» «
6 L INTELLIGENCE DES NOUVEAUX PARE-FEU Face à la prolifération des applications Web 2.0 lourdes, mais omniprésentes et ancrées dans les activités quotidiennes, les pare-feu doivent se montrer «intelligents». LES PARE-FEU INTELLIGENTS SUR LE TERRAIN Ce concept d Application Intelligence and Control, de quoi s agit-il en fait? Patrick Sweeney, vice-président de la gestion des produits chez SonicWALL, explique le rôle de ces fonctionnalités dans la protection au quotidien : Autoriser uniquement les applications approuvées. Les entreprises peuvent bloquer systématiquement l accès à tous les sites de réseautage social tels que Facebook ou juste à ceux qui constituent le plus grand risque. Cela empêche les employés de télécharger par inadvertance des contenus infectés. Conserver le contrôle des applications. Les entreprises peuvent accorder l accès aux applications gourmandes en bande passantes (YouTube, par ex.) tout en limitant leur utilisation aux employés qui en ont besoin pour leur travail. Elles peuvent aussi limiter le débit selon le média ou l heure, afin de réserver la bande passante aux applications vitales. Prévenir la perte de données sensibles. Les entreprises peuvent bloquer l envoi par e-mail de documents dotés d un tatouage numérique ou étiquetés. Grâce à une meilleure visibilité et un meilleur contrôle du trafic chiffré, elles peuvent empêcher que les données sensibles de clients ou de propriété intellectuelle soient inutilement exposées. Combiner règles applicatives, contrôle et prévention des pertes de données. Surtout, les entreprises peuvent combiner tous les contrôles par utilisateur/groupe pour créer exactement la règle requise qu il s agisse de réserver la bande passante pour les applications vitales ou de la limiter pour les groupes non productifs en vue d optimiser la productivité, tout en restant vigilant dans le filtrage de malwares et la fuite de données. Selon l AimPoint Group, «les entreprises doivent préférer les solutions de sécurité réseau capables de définir et d exécuter des règles basées sur des attributs de couches supérieures (l identité des utilisateurs, l application utilisée ou le contenu réellement transmis) à celles qui fonctionnent encore sur les informations de la couche réseau, comme l adresse des ports source/de destination.» Pour cela, les responsables informatiques doivent se tourner vers la nouvelle génération de pare-feu qui intègre le concept d Application Intelligence. Autrement dit la capacité à identifier et comprendre les applications et le risque potentiel qu elles représentent, ainsi qu à protéger, gérer et contrôler tout ce qui traverse le pare-feu, qu il s agisse de médias sociaux, d applications P2P ou SaaS (software as a service). Leur pare-feu doit pouvoir s adapter dynamiquement aux exigences changeantes des entreprises et aux nouvelles menaces, tout en maintenant des niveaux élevés de performance. «Les avancées sur le plan matériel permettent aux pare-feu de faire plus», indique J. Tate. «Nous avons une technologie capable de tout faire y compris le filtrage applicatif, tout en commutant les paquets à grande vitesse.» Cela ne surprend donc pas que J. Tate soit passé aux pare-feu nouvelle génération SonicWALL pour protéger l infrastructure informatique d Aaron Rents.
7 SONDAGE QUELLE EST LA PLUS GRAN- DE MENACE POUR VOTRE ENTREPRISE CONCERNANT LA PROTECTION DES DON- NÉES DANS LE PAYSAGE INFORMATIQUE ACTUEL? PIRATES MALWARES FUITES DE DONNÉES INEFFICACITÉ DE LA TECHNOLOGIE DE SÉCURITÉ ACTUELLE VOTER L INTELLIGENCE DES NOUVEAUX PARE-FEU suite L une des fonctionnalités de base de ces nouveaux parefeu est bien sûr la gestion active des menaces grâce à l intégration de plusieurs couches de sécurité. Cela inclut une interopérabilité transparente notamment avec les services antivirus, anti-spyware, de prévention des intrusions et anti-spam. Les pare-feu nouvelle génération vont plus loin dans la sécurité, ajoutant à la protection classique au niveau de la couche réseau le filtrage de la couche applicative. Ils continuent à signaler les violations de ports et protocoles, mais leur vraie valeur réside dans une gestion intelligente du trafic, qui exécute également des règles en fonction de l application, des utilisateurs/groupes et des contenus. En identifiant et en classifiant le trafic applicatif, ils permettent aux entreprises de contrôler les accès et de réguler le trafic Web, le courrier électronique et les transferts de fichiers. Autre point important : la nature dynamique des configurations de signatures de menaces des pare-feu. L exécution de premières règles se fait sur la base de signatures prédéfinies qui seront ensuite mises à jour de manière continue et automatique et personnalisées, permettant de créer des règles granulaires pour traiter la plupart des menaces. Le filtrage applicatif des contenus du réseau joue également un rôle essentiel. Le pare-feu doit inspecter chaque paquet d information à la recherche de malwares dans la couche applicative, sans toutefois dégrader les performances réseau. Cela implique de déchiffrer et d analyser le trafic SSL entrant et sortant, quel que soit le port ou le protocole. Ce trafic peut ensuite être rechiffré et envoyé à sa destination, sans que l utilisateur remarque quoi que ce soit. En fait, la nouvelle génération intègre en toute transparence la fonctionnalité d Application Intelligence à la prévention des intrusions et au blocage des programmes malveillants pour former «une plate-forme de sécurité réseau unifi ée et complète», déclare P. Sweeney. Ceci est l avenir de la technologie pare-feu. «LES PARE-FEU NOUVELLE GÉ- NÉRATION VONT PLUS LOIN DANS LA SÉCURITÉ, AJOUTANT À LA PROTECTION CLASSIQUE AU NIVEAU DE LA COUCHE RÉSEAU LE FILTRAGE DE LA COUCHE APPLICATIVE.
8 CONCLUSION Qu en est-il en fi n de compte pour les entreprises, publiques ou privées? Les pare-feu nouvelle génération sont capables de bloquer l accès aux sites de réseautage social constituant le plus grand risque. Ils signalent la transmission de données sensibles ou portant un tatouage numérique par téléchargement ou en pièce jointe via Webmail afi n de prévenir la fuite de données. Et ils permettent de limiter les niveaux d utilisation de la bande passante en fonction de l application, de l utilisateur ou de l heure, en vue d optimiser les performances. Avec une telle protection, rien n empêche plus les entreprises d exploiter pleinement les innovations que sont la mobilité, le Web 2.0 ou encore le cloud computing, et de profi ter de tous les avantages qu elles promettent. Pour J. Tate, cela veut dire beaucoup. «Nous pouvons désormais répondre rapidement aux demandes justifi ées, tout en nous sachant bien protégés.» «L accès anarchique aux applications et aux innovations», conclutil, «fait place à une manière de travailler plus effi cace et plus rentable.» «L APPLICATION INTELLIGENCE PAR SonicWALL Custom Solutions Group SonicWALL, Inc. est un fournisseur majeur de solutions de sécurité réseau destinées à réduire les coûts et la complexité, tout en sécurisant les infrastructures. Nous avons notamment fait passer les pare-feu à la vitesse supérieure en y intégrant les services d Application Intelligence and Control. Elargissant la protection au-delà les menaces de couche réseau, nos pare-feu nouvelle génération sont conçus pour rendre les entreprises hermétiques aux menaces modernes, grâce à un maximum de contrôle sur l ensemble des données et applications qui traversent le réseau. Résultat : vous pouvez contrôler les accès au niveau application, limiter le transfert de certains fichiers et documents et mieux gérer la bande passante. Pour plus d informations, rendez-vous sur www.sonicwall.com.