alphaspirit - Fotolia.com LA NOUVELLE GÉNÉRATION DE PARE-FEUX INTELLIGENTS SOMMAIRE NOUVEAUX USAGES, NOUVELLES MENACES P. 2 LES PARE-FEUX CONVENTIONNELS DEVENUS INEFFICACES P. 3 SONICWALL APPLICATION INTELLIGENCE AND CONTROL : LA NOUVELLE GÉNÉRATION DES PARE-FEUX INTELLIGENTS P. 4 TÉMOIGNAGE FRANCK TROGNÉE, COUNTRY MANAGER FRANCE DE SONICWALL P. 5 LES 7 AVANTAGES DES PARE-FEUX SONICWALL APPLICATION INTELLIGENCE, CONTROL AND VISUALIZATION P. 6 TÉMOIGNAGE ARNAUD FLOTTÉ DUBARRY, CONSULTANT EN SÉCURITÉ DES INFRASTRUCTURES ET DIRIGEANT DE JANUS CONSULTING P. 8
LA NOUVELLE GÉNÉRATION DE PARE-FEUX INTELLIGENTS NOUVEAUX USAGES, NOUVELLES MENACES Les moyens de communication évoluent dans les entreprises avec l arrivée massive des médias sociaux, des messageries instantanées, du cloud computing et des smartphones. Les dirigeants d entreprise portent un intérêt grandissant à ces outils collaboratifs 2.0 pour soutenir leur productivité et générer de nouveaux revenus. Ces outils de communication ne peuvent plus être ignorés. QUELQUES CHIFFRES 19 millions d utilisateurs du réseau social Facebook en France (source : Facebakers.com). 33 % des entreprises françaises utilisent un réseau social pour communiquer auprès de leurs clients et prospects mais 61% des salariés français utilisent les réseaux sociaux à des fins personnelles (source Regus). 20 % des salariés s appuieront sur les réseaux sociaux pour gérer leurs communications professionnelles en 2014 (source Gartner). 90 % des professionnels mobiles croisent indifféremment les usages professionnels et personnels sur leur smartphone (source ipass). 23 % des internautes français utilisent leur ordinateur personnel pour un usage professionnel 46 % pour les moins de 25 ans (source le Clusif). 74 % des entreprises françaises estiment que les réseaux sociaux et les applications du Web 2.0 constituent une menace sérieuse (source Ponemon Institute). 10 % de l ensemble des coûts informatiques d une entreprise, d ici à 2011, seront imputables aux employés notamment via l acquisition et l utilisation de leur propre matériel à des fins professionnelles et privées (source Gartner). 90 % des outils technologiques sur le lieu de travail feront l objet d une personnalisation par les employés d ici à 2015 (source Gartner). Ces chiffres sur les nouveaux moyens de communication effraient les entreprises. Même si elles reconnaissent que ces outils deviennent de plus en plus des applications à part entière qu il ne faut plus négliger, elles estiment, toutefois, que beaucoup de collaborateurs en abusent. Face à ce constat, les dirigeants et les DSI redoutent des problèmes de sécurité de plus en plus alarmants. Les médias sociaux et, plus généralement, les applications collaboratives Web 2.0 sont une source d ennuis pour les administrateurs car ils peuvent devenir des vecteurs privilégiés de cyber-attaques et de propagations de malwares dans le système d information et les datacenters. Ces derniers sont devenus les dépôts des informations les plus sensibles et critiques de l entreprise. Ce n est donc pas une surprise qu ils soient devenus des cibles privilégiées de la cybercriminalité. Cette inquiétude s accroît aussi avec l arrivée du cloud computing. En effet, selon le cabinet d études Harris Interactive, plus de 80 % des entreprises indiquent que la sécurité constitue une barrière majeure à l adoption du cloud computing. Résultat : 75 % des entreprises s apprêtent, selon Infosecurity, à réallouer ou à accroître leurs budgets sécurité dédiés au cloud computing. 2
LES PARE-FEUX CONVENTIONNELS DEVENUS INEFFICACES La tâche des administrateurs informatiques relève parfois d un véritable défi. Ils doivent fournir à l entreprise des solutions efficaces, indispensables à son activité, tout en gérant l utilisation improductive, et souvent dangereuse, d applications par les employés. Il devient plus difficile pour un administrateur réseau de faire la distinction entre le bien et le mal. La priorité des flux d information dans la bande passante doit être accordée aux applications vitales, tandis que les médias sociaux et autres jeux en ligne doivent pouvoir être limités voire, dans certains cas, totalement bloqués. Difficile aujourd hui de prioriser les flux dans La majorité des firewalls en entreprises sont devenus inéfficaces face aux nouvelles menaces. la bande passante car la majorité des pare-feux déployés dans les entreprises sont à filtrage dynamique de paquets et fonctionnent, de ce fait, sur la base des informations de port et de protocole. Ils ne sont pas en mesure d identifier les applications et donc la menace posée par les nouveaux modes de consommation sur le Web, comme les téléchargements, les réseaux sociaux, les sites boursiers ou de jeux en ligne. En effet, ces applications passent au travers des défenses de ces firewalls car elles apparaissent comme un simple navigateur web pour ceux-ci. Les pare-feux à filtrage conventionnel de paquets ne savent pas distinguer le bon du mauvais. L AVIS DE GREG YOUNG, VICE-PRÉSIDENT DE LA RECHERCHE CHEZ GARTNER, SUR LA NOUVELLE GÉNÉRATION DE PARE-FEUX. «Les pare-feux traditionnels fonctionnent selon un modèle binaire de blocage/ autorisation. Les pare-feux à filtrage dynamique de paquets ne peuvent contrôler que les ports et les adresses IP ; on ne sait donc rien de ce qui se trouve dans la session web en question. Si les systèmes de prévention des intrusions savent repérer les programmes malveillants, le contrôle applicatif proposé par les pare-feux nouvelle génération permet, quant à lui, de limiter et de contrôler des applications telles que les médias sociaux, et même de contrôler avec précision les activités autorisées au sein de ces applications, de manière à réserver la bande passante nécessaire aux applications vitales. Des règles du type «Ok pour Facebook mais pas le jeu Farmville qui y est intégré» ou «Moins de 10 % des connexions et de la bande passante pour Facebook durant les heures de travail» sont désormais possibles.» Site web Pour plus d informations http://www.sonicwall.com/fr/ 3
LA NOUVELLE GÉNÉRATION DE PARE-FEUX INTELLIGENTS SONICWALL APPLICATION INTELLIGENCE AND CONTROL : LA NOUVELLE GÉNÉRATION DE PARE-FEUX INTELLIGENTS Pour mieux gérer la sécurité dans les entreprises et assurer ainsi la productivité, SonicWALL anticipe l évolution de ces menaces et de ces nouvelles plateformes d échange 2.0. SonicWALL suivant sa vision «Application Intelligence and Control», propose une gamme de pare-feux intelligents NSA (Network Security Appliance) qui ne se limitent pas à la surveillance des ports et protocoles mais qui identifient, classent et administrent le contenu et les applications circulant sur le réseau en temps réel. «On ne peut contrôler sans voir, SonicWALL Application Intelligence and Control va bien au delà de la simple amélioration de l UTM (Gestion Unifiée des Menaces). Cette nouvelle génération de firewall délivre une sécurité réseau de pointe au niveau des applications et représente un outil unique et optimal d administration des menaces et des applications. Les administrateurs sont à même de protéger l ensemble de l infrastructure contre les menaces, de gérer les applications ainsi que l usage de la bande passante, ce qui auparavant aurait été quasiment impossible», déclare Patrick Sweeney, vice-président Network Security chez SonicWALL. Une visualisation graphique en temps réel Les firewalls intelligents SonicWALL Application Intelligence and Control analysent chaque octet de chaque paquet sur l ensemble du trafic réseau, permettant de déterminer exactement quelles applications sont utilisées et par qui. Pour ce faire, ils procurent un contrôle granulaire et une visualisation en temps réel des applications pour prioriser la bande passante et assurer une sécurité et une productivité maximales du réseau. En effet, grâce au tableau de bord de visualisation en temps réel des applications, les administrateurs ont accès à des graphiques offrant un aperçu en temps réel du trafic applicatif, des applications utilisées et de la consommation en bande passante. Cette puissante combinaison permet ainsi de mettre en place des règles de sécurité adaptées et personnalisées à chaque entreprise. Les administrateurs dans les entreprises peuvent par exemple autoriser l accès à certains sites comme Youtube mais en limitant leur usage en fonction des besoins que peuvent en avoir les salariés pour leur travail. Ils peuvent aussi limiter l usage de ces sites à certains moments de la journée pour préserver la bande passante pour les applications plus critiques. Les pare-feux nouvelle génération de SonicWALL exploitent une bibliothèque de signatures de menaces enrichie en continu, capable actuellement de reconnaître plus de 3 000 applications et de détecter des millions d éléments malveillants afin de protéger le réseau de manière automatique et transparente. La solution détecte et élimine les programmes malveillants, les intrusions, les fuites de données et les violations de règles avant que ceux-ci ne fassent des dégâts sur le réseau d une entreprise ou auprès de ses utilisateurs. Les pare-feux NSA utilisent une analyse par protocole, par signature et heuristique en se basant sur le SonicGRID, c est-à-dire une équipe qui relève et compile des informations sur les menaces dans le monde entier en s appuyant sur 5 millions de capteurs spécifiques, afin de délivrer des signatures en temps réel. Toutes ces fonctionnalités sont gérées par le système d exploitation SonicOS 5.8, créé par SonicWALL, que l on retrouve dans les gammes de pare-feux TZ 210, NSA et NSA E-Class. 4
TÉMOIGNAGE FRANCK TROGNÉE, COUNTRY MANAGER FRANCE DE SONICWALL «Nous proposons des outils graphiques en temps réel pour aider les administrateurs à établir des règles de sécurité.» Quelle est la vision de SonicWALL sur cette nouvelle génération de parefeux? SonicWALL se place dans les cœurs de réseaux et des datacenters avec des firewalls de nouvelle génération très performants. C est la multiplication des outils Web 2.0 qui nous oblige à être plus exigeants et à anticiper ainsi les nouvelles menaces planant sur les entreprises. Pour cela, nous devons proposer des produits capables de contrôler les applications en temps réel et de savoir qui, dans les entreprises, les utilise. Le meilleur moyen pour les administrateurs est de les contrôler graphiquement avec une interface intuitive afin qu ils puissent agir en temps réel. L objectif final est de mieux gérer la sécurité dans les réseaux en ne pénalisant pas la productivité de l entreprise. Comment communiquez-vous cette approche aujourd hui à vos clients? Notre discours a changé. Nous conseillons à nos clients de placer ces firewalls intelligents au cœur du réseau afin qu ils remontent les informations. C est à ce moment précis qu intervient la responsabilité de l administrateur. Il est capable d utiliser la corrélation de ces informations pour appliquer directement des règles de contrôle de ce qui est acceptable ou non. Ces règles sont plus simples à mettre en place grâce à nos outils intégrés dans notre gamme de pare-feux NSA. Ces derniers collectent de nombreuses informations nécessaires à un reporting complet avec des historiques précis et toutes les remontées d alertes. La vision de SonicWALL va très loin car les données récoltées peuvent être exportées vers une plateforme de supervision globale comme Scrutinizer en s appuyant sur le protocole NetFlow. Nous avons pris une réelle avance technologique dans la supervision graphique de la sécurité des réseaux en temps réel. Site web Pour plus d informations http://www.sonicwall.com/fr/ 5
LA NOUVELLE GÉNÉRATION DE PARE-FEUX INTELLIGENTS LES 7 AVANTAGES DES PARE-FEUX SONICWALL APPLICATION INTELLIGENCE, CONTROL AND VISUALIZATION Intelligence applicative 1 Ce service s appuie sur le filtrage RFDPI (Reassembly-Free Deep Packet Inspection) de SonicWALL pour analyser chaque paquet et identifier les applications utilisées ainsi que leurs utilisateurs. SonicWALL entretient une bibliothèque de signatures destinée à protéger les réseaux de manière automatique et transparente. Contrôle applicatif 2 Ce service permet de configurer des règles flexibles visant à limiter ou bloquer des applications, fichiers, URL et pièces jointes d e-mails en fonction, entre autres, du type d application, de l utilisateur du réseau, d horaires ou encore de signatures personnalisées. Visualisation applicative 3 SonicWALL Application Flow Monitor fournit des graphiques en temps réel des applications, de la bande passante consommée en entrée et en sortie, des utilisateurs, des sites Internet actuellement consultés, etc. De plus, il permet d exporter ces mêmes données 6
Site web Pour plus d informations http://www.sonicwall.com/fr/ vers un analyseur NetFlow/IPFIX à des fins de surveillance hors ligne, de dépannage et de diagnostic des activités réseau. Prévention des fuites de 4 données Elle bloque et contrôle la transmission de données sensibles par FTP, en pièce jointe de services Webmail (Hotmail ou Gmail, par ex.), ou via les serveurs de messagerie SMTP et POP3 de l entreprise. Gestion de la bande passante 5 au niveau applicatif Cette fonctionnalité garantit la qualité de service (QoS) en réservant le débit à des applications vitales ou à des groupes à certaines heures de la journée. Mises à jour et notifications 6 automatisées Elles garantissent la protection du réseau contre les menaces les plus récentes, ce qui simplifie l administration. Filtrage applicatif pour le 7 trafic SSL Il étend la protection au trafic chiffré en SSL, ce qui améliore le respect des règles de conformité, le filtrage de contenu et la prévention des fuites de données, Cela permet également de supprimer une voie d accès supplémentaire pour les programmes malveillants. Le trafic est tout d abord déchiffré, puis inspecté, avant d être chiffré de nouveau en toute transparence pour l utilisateur. Le filtrage peut être configuré pour les connexions entrantes et sortantes. Des graphiques en temps réel des applications, de la bande passante en entrée et en sortie, des sites Internet visités et de l activité de tous les utilisateurs permettent aux administrateurs de modifier les règles en fonction des besoins du réseau. 7
LA NOUVELLE GÉNÉRATION DE PARE-FEUX INTELLIGENTS TÉMOIGNAGE ARNAUD FLOTTÉ DUBARRY, CONSULTANT EN SÉCURITÉ DES INFRASTRUCTURES ET DIRIGEANT DE JANUS CONSULTING «Le coût de possession des firewalls SonicWALL est de 30 à 40 % inférieur à celui des concurrents.» Quels sont les avantages des pare- feux dits intelligents par rapport aux pare-feux conventionnels? Les pare-feux conventionnels se limitent à un filtrage des couches 3 et 4 du modèle OSI. Ce qui a pour résultat une incapacité dangereuse à identifier des applications hors des bases de signature IPS (lorsqu ils disposent de cette fonction). Or, le développement du Web 2.0 et les nouveaux modes de consommation sur le Web, comme les réseaux sociaux ou les applications non productives, constituent de nouvelles menaces pour les entreprises. L usage des pare-feux d ancienne génération ne permet pas de remonter des informations pertinentes sur l utilisation de la session Utilisateur, contrairement aux pare-feux intelligents qui remontent jusqu au niveau 7 de l OSI, à savoir l analyse de la couche applicative. Ceci permet, entre autres, l identification d applications indésirables au sein de flux de communication standardisés (ex : Session chat sur http). Une stratégie de sécurité adéquate peut donc être efficacement déployée avec une grande souplesse pour la productivité de l entreprise. Certains modules ou certaines fonctions peuvent ainsi être bloqués sans nuire à l utilisation productive de l application. Par exemple, un administrateur peut interdire l utilisation du Chat au sein de Facebook tout en laissant un accès libre à la gestion du profil. Quels sont les points forts des parefeux de SonicWALL? Grâce au Support Intégré de Netflow sur Application Intelligence Control, SonicWALL est le seul acteur du marché à fournir des outils capables d identifier en temps réel l utilisation de la bande passante directement à partir de ses appliances. Par exemple, les sites web visités et les différentes applications utilisant un même protocole de communication qui seraient passés inaperçus sur des pare-feux d anciennes générations. Ceci participe grandement à la sécurité des SI actuels basés sur des flux applicatifs plutôt que sur des serveurs clairement identifiables. En raisonnant sur le couple Utilisateur/ Flux associé à un collecteur en charge de l analyse et de la mise en forme, il est même possible d automatiser la création de rapports graphiques adaptés à chaque demande. En outre, la nouvelle génération de parefeux SonicWALL est extrêmement performante ; l absence de buffering et l utilisation de processeurs spécifiques permettant une vitesse de traitement UTM des flux inégalée. SonicWALL annonce d ailleurs la disponibilité prochaine de clusters capables de travailler à 160 Gb/s UTM. Enfin, le ratio coût/performance de ces parefeux est actuellement l un des meilleurs du marché, voire le meilleur. J estime son coût de possession de 30 à 40 % inférieur à celui des concurrents. Couplée à une console de supervision SonicWALL GMS, qui intègre un véritable superviseur SNMP ouvert, nous disposons d une plateforme très performante et rationnelle pour la gestion de la sécurité des réseaux de nos clients, quelle que soit leur taille. 8