Appliances de sécurité
Le top 5 des ventes
Selon l’étude IDC, premier trimestre 2015
1 Check Point profite du Cloud
La firme israélienne a repris cette année à Cisco la tête du peloton des vendeurs de boîtiers de sécurité. La raison de ce retour tient, a priori, au-delà de la vente de matériel traditionnel, aux revenus récurrents crées par ses nouveaux logiciels vendus comme des services (SaaS). Cisco avait été la première à vendre ses solutions de sécurité sous la forme de solutions à la carte, des “lames logicielles”, en couches successives, chacune renforçant la protection précédente. Check Point a augmenté ses revenus de 11 % au cours des dix dernières années, en raison de son offre toujours renouvelée de matériel et de logiciels associés.
Depuis mars, la firme a ajouté une nouvelle lame logicielle à sa passerelle de sécurité pour identifier les pièces jointes malveillantes dans le courrier électronique et les documents avant qu’ils ne soient autorisés à être diffusés sur le réseau. Appelé “Extraction de la menace”, ce logiciel va travailler conjointement avec le “logiciel d’émulation sandboxing des menaces” pour analyser automatiquement, nettoyer ou supprimer les pièces jointes avant de les livrer à son destinataire. Les responsables de la sécurité ont la possibilité de régler son filtrage à plusieurs niveaux.
Les lames les plus vendues sont les suivantes :
– Firewall
– VPN IPSEC
– Mobile Access
– Web Security
– Advanced Networking : SPLAT PRO
– Accélération et clustering : Secure XL + Cluster XL
– Voix sur IP
– Identity Awareness
2 Cisco joue l’intégration
Le 7 avril dernier, Cisco a étendu les offres logicielles via le Cloud qu’elle réservait à ses modèles haut de gamme à l’ensemble de ses produits. En particulier, la firme de John Chambers vise désormais les PME (jusqu’à 500 postes) avec les logiciels issus de l’éditeur Source Fire, société qu’elle avait rachetée en 2013. Avec 4 nouveaux firewalls et ses logiciels dits de services, les outils FirePOWER de Cisco renforcent les programmes de base des firewalls classiques et ceux, plus récents, dont l’IPS de nouvelle génération (Next-Generation Intrusion Prevention System, NGIPS) et la solution AMP (Advanced Malware Protection). Ce sont de véritables services via le Cloud qui renforcent la sécurité de l’ensemble.
Selon la documentation des firewalls Cisco AMP, ceux-ci détectent et contrôlent les attaques zero-day, les menaces persistantes avancées et les attaques ciblées. L’offre Cisco AnyConnect basée sur le programme AMP for End points permet de protéger tous les postes de travail reliés aux réseaux VPN. Cisco joue la carte des fonctionnalités Cloud et d’orchestration avancée qui permettent à ces nouvelles solutions de sécurité de s’intégrer facilement avec l’architecture Cisco et des solutions de virtualisations SDN et NFV tierces. Récemment, l’Appliance “virtuel” de Cisco (Adaptative Security Appliance Virtual, ASAV), et les applications Cisco Network Service Orchestrator (NSO) et l’infrastructure Application-Centric Infrastructure (ACI) proposent des API ouvertes pour une intégration avec des solutions Cloud “Security-as-a-Service”.
Cisco a aussi annoncé des conteneurs sécurisés pour stocker les services et applications de sécurité. Avec la sécurité “everywhere”, Cisco fournit une protection évolutive contre les menaces, couvrant la plus large gamme de vecteurs d’attaque.
3 Fortinet, la folie du tout-en-un
Fortinet est devenu en quelques années l’un des piliers de l’offre de boîtiers UTM. Elle dispose dans ce seul segment de plus de 20 modèles dont la puissance de traitement va de 0,8 Gbits/s à 80 Gbits/s, sur un nombre également croissant de sessions concurrentes, avec un mode d’analyse IPS qui aussi va en s’amplifiant. Les modèles haut de gamme sont les Fortigate 3000 et 5000. Il y a un an, lors des assises de la sécurité 2014, la firme avait lancé son pare-feu “le plus rapide au monde”, le FortiGate-5144C avec des performances d’analyses supérieures à 1 Térabit par seconde.
L’entreprise n’a cessé de montrer les performances de ses UTM, dont les fonctions sont donc réunies sur une même appliance ou sous forme de machines virtuelles, l’ensemble constituant une gamme à ce jour la plus large sur le marché. Les derniers proposent gestion centralisée du wifi, l’extension WAN sans-fil et des fonctions de commutations. Pour Fortinet, l’objectif est de proposer aux entreprises avec un seul système une protection globale. Son offre répond à la tendance à la consolidation au sein des centres de données, la prolifération des mobiles et des réglementations sectorielles s’avérant de plus en plus contraignantes. La gestion des politiques et les contrôles d’accès font partie des arguments mis en avant. L’évolution de ses appliances de sécurité? réseau FortiGate série D repose sur l’utilisation des derniers ASIC NP6 et du système d’exploitation FortiOS 5.2 qui a été développé dans l‘optique d’attaques complexes.
Les boîtiers FortiGate peuvent réagir aux nouvelles menaces zero-day et autres codes malveillants, grâce à FortiGuard Labs, pour des analyses et des réponses en temps réel en matière de sécurité vers toutes ses plateformes
4 Palo Alto Networks, le roi du NGFW
La firme californienne est certainement l’une des plus innovantes car elle est la seule à avoir proposé dans les cinq dernières années une nouvelle approche de la sécurité en classifiant nativement l’ensemble du trafic, y compris les applications, le contenu et les menaces. C’est le résultat du traitement de plusieurs applications. L’outil Threat Protection coordonne toutes les applications (App-ID, URL, IPS, Spyware, Antivirus et Wildfire) pour détecter et bloquer les attaques ciblées et les menaces inconnues.
L’application App-ID permet, par exemple, d’identifier les applications indépendamment du port, du protocole, du chiffrement SSL ou toute autre technique d’évasion. Palo Alto utilise une technologie de sandboxing appelée Wildfire pour détecter les malwares connus et inconnus. Elle repose sur une architecture basée sur le Cloud. Bien qu’il soit possible de déployer cette solution dans votre infrastructure (on-premise), la solution existe principalement sur le Cloud Wildfire. Le service analyse le comportement des communications externes. Cela permet ainsi le blocage de toute activité de type Command and Control (le botnet) ainsi que les appels DNS frauduleux.
La firme met en avant la visibilité de ses actions et les réactions de ses logiciels. Le contrôle dit granulaire des règles sur l’accès aux applications et leurs fonctionnalités réduirait les risques de propagations de malwares. C’est le cas de l’application Content-ID qui analyse le contenu et les actions exécutées au sein de l’application. Elle devrait réagir en temps réel face aux menaces embarquées dans les applications
L’application User–ID identifie enfin les utilisateurs indépendamment de leurs adresses IP.
5 Blue Coat, les outils de la police
La firme californienne s’est fait connaître par sa technologie d’analyse du contenu des paquets réseau dénommée Deep Packet Inspection, (DPI) utilisée par de nombreux fournisseurs d’accès à Internet. Avec le DPI, il est possible d’analyser chaque paquet IP et de lui faire subir un traitement spécifique, basé sur son contenu (mots-clefs) ou son type (email, VoIP, protocole). Connue pour ses équipements de surveillance du Net, Blue Coat s’est fait une réputation sulfureuse en équipant des pays considérés comme des dictatures comme la Syrie, la Birmanie, le Soudan et l’Iran. Initialement appelée Cacheflow, la firme créée en 1996 a connu plusieurs propriétaires dont le fonds d’investissement Thomas Bravo qui l’avait rachetée pour 1,3 milliard de dollars en décembre 2011, tout en la sortant de la Bourse (du Nasdaq). Elle l’avait revendue à Bain capital après avoir intégré Crossbeam System, un spécialiste de la virtualisation connu pour ses offres UTM haut de gamme. En France, la polémique est revenue de plus belle depuis que la loi de sécurité est passée car justement l’Etat français serait tenté d’utiliser ces systèmes dont la force est de pouvoir identifier des personnes et les confondre à partir de quelques mots.
L’un des atouts de Blue Coat est de pouvoir offrir aux administrateurs un moyen de gérer de manière centralisée des règles de sécurité et les performances pour savoir qui, quoi, quand, où et comment les utilisateurs et les applications communiquent en interne et en externe. Autre argument souvent mis en avant, Blue Coat propose un accès centralisé aux outils qui permettent non seulement d’appliquer les stratégies, d’optimiser le comportement de l’application, et de déployer et configurer à grande échelle les boîtiers sur des réseaux distribués. Le programme Intelligence Center est par exemple censé garantir le temps de réponse des applications, un argument qui fait mouche lorsque le discours des concurrents ne concerne que la seule sécurité.
Les fonctions logicielles les plus courantes dans les firewalls
Elles sont désormais vendues comme des services mis en permanence à jour..
Application Control
Logiciel qui donne une visibilité complète sur l’utilisation des logiciels et les habitudes des personnes qui s’en servent. Il offre le contrôle des accès aux applications Internet, l’ensemble repose en général sur une base de données qui permet de suivre “qui a pu utiliser quoi à un moment donné ?”.Data Loss Prevention (DLP)
Programme censé empêcher la perte d’informations critiques de l’entreprise et la violation intentionnelle ou non intentionnelle de données.IPS
Cette solution de prévention d’intrusion évite les attaques internes au réseau.Antivirus & antimalware
Suite de logiciels qui bloque les virus, les vers et autres logiciels malveillants à l’entrée du réseau d’entreprise.URL Filtering
Cette solution offre le filtrage Web de millions d’adresses URL. Elle protège les utilisateurs et les entreprises en limitant l’accès aux sites Web dangereux.Anti-spam & Email security
Ce programme protège le réseau d’entreprise et les serveurs contre le spam, et élimine les attaques par e-mail.
