Accueil UTM, les poupées russes de la sécurité - Les appliances de sécurité...

UTM, les poupées russes de la sécurité – Les appliances de sécurité s’ouvrent au Cloud

Du simple pare-feu, l’entreprise a adopté l’UTM (Universal threat manager), un filtre multi-usage, apte à traiter la plupart des risques et proposé comme un service en ligne intégrant coupe-feu, outil de prévention et de détection d’intrusion, passerelle de RPV IPSec et antivirus. Les options logicielles s’ajoutent « à la carte » et les enveloppes de protection se recouvrent les unes les autres comme des poupées russe.

Il y a désormais plus de vingt ans que les pare-feux se sont développés. A l’origine, c’était un simple système conçu pour empêcher les accès non autorisés à un réseau privé interconnecté à Internet ou à d’autres réseaux privés. Dérivés des logiciels de routage, installés la plupart du temps sur de simples PC, les pare-feux logiciels ont été depuis mis en œuvre dans des matériels dédiés équipés de composants spécifiques pour doper les performances de filtrage. Mais le logiciel ouvert seul sur des serveurs standards et, depuis trois ans, dans le cloud ont le vent en poupe, les combinaisons liant du matériel et solutions dans le cloud facilitant l’administration à distance. Le marché s’est développé en France, surtout à cause de la loi informatique et liberté qui a rendu le chef d’entreprise responsable de la sécurité des données personnelles (article 34). Ce dernier risque jusqu’à 300 000 euros d’amende et 5 ans d’emprisonnement (art. 226-17 du Code Pénal) en cas de non-respect de la législation. Il a également obligation d’empêcher toute utilisation illicite de son réseau par ses employés ou par des personnes externes (art 323 du CP). Bref, ce n’est plus de la prudence mais une vraie obligation.

Les UTM, la solution à tout faire

La progression des UTM a favorisé les grands fabricants de réseaux et serveurs comme Juniper.
La progression des UTM a favorisé les grands fabricants de réseaux et serveurs comme Juniper.

Du fait de la croissance des offres de serveurs virtuels, les solutions de pare-feu sont désormais proposées comme des services en ligne. Si au départ, ces boitiers étaient seulement utilisés pour empêcher des internautes d’avoir accès aux réseaux privés, leurs fonctions de sécurité n’ont cessé de se multiplier au fil des années : l’inspection, le filtrage et le nettoyage des flux de données ne cessant de s’améliorer. On est passé du simple pare-feu au couteau suisse : l’UTM (Universal threat manager), sorte de filtre multi-usage, apte à traiter la plupart des risques. L’UTM intègre en général un coupe-feu, un outil de prévention et de détection d’intrusion, une passerelle de RPV IPSec et un antivirus. Au-delà de la protection périmétrique des réseaux internes, les options logicielles s’ajoutent « à la carte » et les enveloppes de protection se recouvrent les unes les autres comme des poupées russes. La surveillance ne se limite plus aux réseaux externes mais se concentre aussi sur les activités internes de l’entreprise, la malveillance, le vol de fichiers étant souvent provoqués par des rivalités internes aux entreprises. Le marché des pare-feux continue à se développer en intégrant d’autres fonctions de sécurité. Ces dernières ne cessent de s’ajouter comme les systèmes de prévention d’intrusion de réseau (IPS), le contrôle d’application et l’inspection des piles logicielles (full stack inspection).

Une longue série de contrôles

Toute entrée de messages ou envoi, après l’acceptation du laissez-passer d’intranet par le pare-feu, génère une série d’opérations de contrôle. L’inventaire des applications et la détection des processus font parties des premières étapes. Le recensement des utilisateurs et des services par leurs coordonnées complète l’opération de verrouillage qui permet d’identifier ensuite tout nouvel intrus. Ce recensement peut s’appuyer sur un annuaire lié aux programmes du serveur qui établit des listes d’utilisateurs de chaque applicatif. Des programmes d’identifications des utilisateurs avec des clés de sécurité (PKI) font parties des outils de contrôle d’accès qui peuvent etre reliés ou pas aux boîtiers de connexion. Le firewall examine chaque message et bloque ceux qui ne respectent pas les critères de sécurité retenus. Dans ce domaine aussi, on peut différencier les modèles selon leurs simplicités de mise en œuvre et leurs offres de configurations prêtes à l’emploi. On est passé comme sur les machines à laver (les données), d’un choix de « températures » à une sélection de programmes spécifiques pour chaque application.

L’impact de la virtualisation

La multiplication des offres de DaaS (Desktop as a Service), qui virtualise chaque poste client sur le serveur est devenu une bonne raison de choisir des systèmes de sécurité entièrement virtualisés. Plutôt que de défendre chaque poste du réseau, les fameux « end point », on traite le trafic au niveau du serveur. La même démarche conditionne l’adoption du fameux Byod, le « bring your own device ». Chaque terminal hétérogène dispose d’un accès entièrement sécurisé dans une « bulle » virtualisée et en cas de trace d’activités malveillantes, la connexion est suspendue et le poste « malade » totalement isolé. C’est une solution offerte par des modèles de logiciels virtualisés soit sur un serveur distant soit sur une boîtier dédié, ce type de « device » pouvant se définir comme serveur virtualisé spécialisé.

Vérifier l’accès des postes distants

Au-delà des restrictions d’accès à l’ordinateur local et au réseau partagé, un boîtier de sécurité s’apprécie sur sa capacité à contrôler l’accès des postes éloignés, les VPN, l’opération pouvant etre renforcée par des certificats d’identification.

Des « classes » de pare-feu existent pour filtrer le trafic Internet basé sur les demandes applicatives ou des types de trafic utilisant des ports d’entrées sorties spécifiques. Les politiques de sécurité spécifiques à des applications dans le Cloud sont désormais proposées par des pare-feux dits de « nouvelle génération ». Palo Alto Networks, Sourcefire et Checkpoint font la promotion de ces outils mais il ne s’agit que d’une simple évolution technique. Pour Andrew Plato, un expert en sécurité, l’appellation «new generation » relève surtout marketing Elles détectent néanmoins mieux les attaques spécifiques à de nouvelles demandes applicatives, en captant plus facilement l’activité « malveillante » via des outils statistiques que les pare-feux plus traditionnels. Ces pare-feux de nouvelle génération (NGFWs) associent en fait les caractéristiques d’un pare-feu standard avec l’analyse de la qualité de service (QoS), des fonctionnalités qui permettent une inspection plus intelligente et plus approfondie.

Trop d’infos d’administration tuent l’info importante

Les fonctions s’additionnent mais finissent par égarer l’acheteur, l’administrateur de la sécurité qui tente de réduire en priorité les risques applicatifs les plus importants. La plupart du temps, on achète un pare-feu spécifique pour réduire les temps de réponse d’un projet particulier. Jusque-là, on pensait que les meilleures solutions spécifiques à chaque domaine (IPS, filtrage de messagerie SSL) qui répondaient au mieux aux attaques spécialisées, selon la formule connue par le nom « best of breed », atteignaient idéalement leurs objectifs mais ce ne serait plus le cas. À bien des égards, un pare-feu de nouvelle génération combine dans une même logique les capacités de pare-feu de réseau de la première génération et des systèmes de prévention d’intrusion de réseau (IPS). Tout en offrant des fonctions supplémentaires comme SSL et le filtrage de logiciel d’inspection malveillant, il propose aussi une base de réputation, des services SSH, un support d’assistance et d’intégration d’annuaires actifs. L’intégration des différents traitements au sein du même boîtier éviterait les traitements en doublon et faciliterait les analyses statistiques de type « forensique ».

Au-delà des fonctions de sécurité logicielles que nous avons recensés, les boîtiers de sécurité se différencient essentiellement par leur puissance de calcul et leur capacité à gérer un grand nombre de connexions simultanées. On analyse le trafic en terme de tunnels, de nombre de liens VPN IP sec, de débit du firewalls, de connexions SSL et de nombre de connexions Wifi pour les appareils qui visent ce créneau. Chez Dell par exemple, à la suite du rachat en 2013 du spécialiste Sonic wall, la firme propose six gammes de boîtiers de sécurité : des pare-feux de nouvelle génération pour de très grands réseaux de 10-Gigabit ou plus, des pare-feux d’entreprise pour les grandes ( NSA-E), moyennes (NSA) et petites structures (TZ). Enfin deux autres pour la gamme VXA, pour la gestion des applications WAN et la gamme clean Wireless pour l’accès sécurisé sans fil 802.11n. On recense sur le seul site de Dell environ 25 produits qui ciblent chacun une facette des besoins des entreprises. Cette offre parait presque limitée face aux énormes catalogues de Checkpoint et Cisco qui recensent des dizaines de pare-feux pour répondre à des besoins spécifiques.

Les UTM, vraies armes de défense

La progression des machines multifonctions, les UTM, a favorisé les grands fabricants de réseaux et serveurs. Cisco, Juniper, HP (Tipping point), McAfee (Stonesoft) et Dell (Sonic wall) ont plus progressé, en grande partie par des rachats dans les cinq dernières années, que les spécialistes du secteur comme Checkpoint, Palo Alto, Watchguard ou Fortinet. La France dispose de très bons fournisseurs comme Netasq et Arkoon racheté par Airbus Défence ou encore Denyall, spécialiste des pare-feux applicatifs. L’intérêt des grands constructeurs est de pouvoir maintenir une équipe de développements logiciels au sommet de la lutte anti-malwares. Les recrutements d’ingénieurs hyperspécialisés font l’objet d’une véritable chasse aux « génies » du secteur. On ne compte plus d’ailleurs le nombre de procès outre-Atlantique dans le domaine de la sécurité pour rupture de contrat de confidentialité du coté des ingénieurs et de clause de non-concurrence du côté des commerciaux. Cette concurrence permanente passe aussi par le dépôt et la défense de brevets où les armées et les Etats eux-mêmes tentent de se protéger, les boîtiers de sécurité étant considérés comme des armes de défense à part entière. Le rachat de firme comme le finlandais Stonesoft par l’américain McAfee, filiale d’Intel ou encore l’utilisation d’équipements chinois dans les réseaux de l’aviation civile en France alimentent les discussions et les craintes des services de sécurité. Cela explique en partie la vitalité du marché français où le souci de souveraineté national n’est pas un vain mot.


Le ministère de la Défense, premier utilisateur français

logoministeredeladefensePremière cible française et premier client des vendeurs d’UTM français, le ministère de la Défense avec plus d’une centaine de sites stratégiques à défendre, ne prend pas les cyberisques à la légère. Les processus d’acquisition sont les plus drastiques de l’Europe de l’ouest, selon les vendeurs d’UTM. Outre ses propres ressources, le ministère de la Défense aide les autres services de l’Etat à se défendre, en particulier grâce à des audits approfondis, face à un espionnage grandissant. En 2013, le seul ministère de la Défense a « dû affronter plus de 780 attaques significatives, contre 420 en 2012 », expliquait le ministre de la Défense Yves Le Drian, début février près de Rennes à l’Ecole des transmissions de Cesson-Sévigné, lors du lancement du « Pacte Défense Cyber 2014-2016 ». L’objectif est de répondre au « défi stratégique de grande ampleur » que constitue la sécurisation de l’armée et de l’industrie face à la multiplication des attaques « de plus en plus variées, complexes et diffuses ! » Ce qui représente un « défi stratégique de grande ampleur » pour la sécurité nationale.