Si la virtualisation et la conteneurisation sont des tendances de fond, y compris dans la cybersécurité, beaucoup de cas d’usage impliquent encore le déploiement d’appliances. Le marché reste dynamique et s’adapte aux évolutions des usages, notamment vers le SD-Wan, l’intégration du télétravail et l’OT.
À l’ère du cloud et du SASE, toute la sécurité n’est pas encore virtualisée. Il reste de nombreux cas d’usage où des équipements physiques demeurent indispensables. C’est bien évidemment le cas du firewall qui, même si la protection périmétrique n’est plus suffisante, reste indispensable dans la protection des accès et la segmentation du réseau. Des firewalls de nouvelle génération (NGFW pour Next-Gen Firewall) sont apparus sur le marché ces dernières années et des modèles embarquant des services IA ont émergé ces derniers mois. C’est le cas du FortiGate 200G de Fortinet, un firewall basé sur la dernière génération d’ASIC du constructeur, la puce SP5. Ce hardware permet à l’américain d’afficher une bande passante de l’ordre de 39 Gbit/s, dont 35 Gbit/s pour les VPN IPSec.
Le passage au SD-Wan pousse au renouvellement des équipements
Next-Gen représentatif d’une nouvelle
génération de coupe-feu intégrant des
capacités IA en edge. © Fortinet
Le remplacement des réseaux « classiques » MPLS pousse à changer beaucoup d’équipements et à équiper les sites distants avec des outils edge. C’est le cas de VMware (Broadcom) qui développe sa gamme VeloCloud SD-Wan. Celle-ci marque la volonté de la marque de simplifier son offre. Les 18 modèles de la série 600 ont été regroupés en 3 modèles seulement, les 710-5G, 720 et 740. La connectivité est assurée en filaire, en 5G ou par satellite et, sur le plan cyber, ces boîtiers intègrent les fonctions de sécurité classiques, comme une protection DoS, le filtrage d’URL, le filtrage d’IP malicieuses, une analyse des flux de type stateful inspection et le contrôle des applications. En outre, ils donnent bien évidemment accès aux services de firewall avancés de la plateforme VMware SASE.
Depuis deux ans, Stormshield a renouvelé sa gamme de protection des réseaux. Sur ce marché SD-Wan, le français est présent des deux côtés du spectre, avec ses SN-XL-Series, une gamme de firewalls puissants à forte densité de ports. Ceux-ci s’adressent aux entreprises souhaitant sécuriser leurs datacenters ou encore construire un réseau SD-Wan avec leurs succursales. À l’autre extrémité, le petit SNXS-Series-170 peut facilement être déployé dans un bureau grâce à un form factor de type desktop et l’absence de ventilateur le rend discret. Il dispose de fonctionnalités de sécurité réseau avancées telles que l’antivirus, l’antispam, un IPS, le filtrage Web/URL et le support de VPN IPsec et SSL. Pour l’éditeur, ce firewall SN-XS-Series-170 vise à répondre aux besoins des réseaux SD-Wan en connectant les sites distants à un point central via un VPN ou encore en réduisant les coûts grâce à l’optimisation des liens Wan.
Des équipements dédiés au télétravail
Lors de la crise sanitaire, beaucoup d’entreprises se sont tournées vers des outils Zero Trust dans le cloud pour offrir des services VPN à grande échelle aux télétravailleurs mais certains RSSI préfèrent maîtriser les accès distants à leur système d’information en interne. Les constructeurs d’équipements de connectivité se sont mis au diapason et proposent des solutions conçues pour le télétravail et ce que l’on appelle le « home office ». Zyxel Networks a ainsi récemment dévoilé son USG LITE 60AX, un routeur compatible Wi-Fi 6 et qui offre une protection anti-ransomware et anti-malware en s’appuyant sur les services délivrés par le Zyxel Security Cloud. La mise en place du VPN est assistée par l’outil Nebula Cloud Center du constructeur.
Cette connectivité commence à s’étendre au cellulaire. Cisco Meraki dispose aujourd’hui de toute une gamme de bornes 4G/5G pour connecter une petite implantation comme des bureaux distants ou un magasin, avec les MG21 et MG21E en 4G pour offrir jusqu’à 1,2 Gbit/s de débit, et les MG51 et 51E avec jusqu’à 2 Gbit/s en 5G pour les implantations regroupant plus d’utilisateurs. Ces équipements sont tous administrés à distance depuis le cloud Meraki et embarquent un firewall Next-Gen.
De nombreuses nouveautés pour l’OT
Stormshield se positionne sur le marché SD-Wan mais est aussi connu pour ses équipements de sécurité pour les secteurs de l’embarqué et de l’industrie. Son nouveau firewall industriel SNi10 est conçu pour être déployé dans les ateliers, au plus près des automates industriels. Il offre des capacités de segmentation réseau avancées (bridge, routage, hybride).
De nombreux constructeurs spécialisés dans le secteur industriel, comme Moxa, Siemens, Advantech ou Adstec proposent des firewalls évolués dans des form factors et systèmes de montage DIN adaptés au secteur industriel. De même, ces équipements sont durcis, à la fois résistants à la poussière et à l’eau pour certains et avec une plage de température de fonctionnement plus large pour s’adapter àun environnement agressif ou être installés en extérieur.
Palo Alto intègre un modem 5G pour
assurer la connexion d’un site distant
avec des fonctions de protection
avancées. © Palo Alto Networks
Ce qui n’était qu’un marché de niche il y a quelques années intéresse aujourd’hui les géants de la cyber. Il y a quelques semaines, Palo Alto Networks a dévoilé un firewall de nouvelle génération, son PA-400R. Ce NGFW est piloté par machine learning, pour reprendre l’argumentaire du constructeur, et se positionne aussi sur le marché industriel. « Le PA-400R se destine notamment aux applications industrielles, précise Eric Antibi, directeur technique de Palo Alto Networks. Il sécurise les réseaux industriels et défensifs dans de nombreux environnements exigeants tels que les usines, les centrales électriques, les installations pétrolières et gazières, la gestion technique de bâtiments ou encore les réseaux dans le milieu médical. » Ce firewall peut notamment être installé sur les rails DIN habituels dans les installations industrielles et certains modèles sont dotés d’une connectivité 5G pour relier des sites distants.
De facto, le marché des solutions de sécurité pour le secteur industriel est extrêmement dynamique. Le risque cyber sur les grandes installations industrielles – mais aussi sur tous les sites distants et même les systèmes embarqués – est aujourd’hui bien identifié.
L’essor du NDR
est un firewall conçu
pour le secteur
industriel. Il se monte
sur un rail DIN et peut
être géré à distance
depuis la plateforme
de son constructeur,
ce qui évite la mise
en place d’un VPN
potentiellement
vulnérable. © Adstec
Une tendance forte du marché est de compléter la surveillance apportée par les EDR (la protection des terminaux) avec une brique plus particulièrement dédiée au trafic réseau, les NDR (la détection et la réponse du réseau). Ces solutions s’appuient sur des sondes qui remontent des métadonnées vers un service cloud qui les analyse pour déceler les signaux faibles pouvant trahir une attaque en cours. Ces sondes peuvent être logicielles ou matérielles, selon le cas d’usage et les contraintes de l’entreprise. Vincent Dely, vice-président Worldwide Sales Engineering de Nozomi Networks, explique sa stratégie : « M2OS, notre OS, peut être porté par un hardware que nous avons conçu ou une machine virtuelle. Il existe aussi une version conteneur. Elle peut notamment être embarquée dans les switchs industriels Cisco ou dans tout type de système qui sait faire tourner un Docker ou équivalent. Notre volonté est de pouvoir déployer notre composant de collecte et d’analyse sous n’importe quelle forme, en fonction du contexte du client. » Une version de son agent peut même être déployée directement sur un automate industriel Mitsubishi.
Dans le monde industriel et des infrastructures critiques, les systèmes sont parfois assez anciens et une approche virtualisée ou sous forme de conteneurs logiciels n’est pas toujours adaptée. Poser une appliance reste finalement plus simple.
Autre acteur sur le marché des NDS, le français Custocy a noué un partenariat avec Dell pour fournir une sonde hardware au format 1U dotée de 2 ports 10 Gbit. Alexandra Krebs, Chief Product Officer (CPO) chez Custocy, explique le rôle de cette appliance : « Nous préférons préconiser une solution hardware car nous maîtrisons ainsi de A à Z les conditions de fonctionnement de notre NDR. Nous mettons en œuvre des algorithmes d’IA qui analysent les métadonnées générées par la sonde au rythme du trafic. Il faut donc une solution suffisamment performante pour le faire en temps réel et quand nous fournissons une solution hardware, celle-ci est robuste, testée. »
L’appliance de sécurité est loin d’être un concept périmé. Il y aura toujours besoin d’équipements d’accès et d’éléments cyber à déployer au plus près des ressources à protéger. Néanmoins, ceux-ci sont de plus en plus imbriqués dans les offres cloud des fournisseurs, ce qui pousse la cyber vers un modèle de plus en plus hybride.
« L’intérêt de mettre en œuvre la sonde hardware de l’éditeur. »
« Le NDR se place au cœur du réseau de l’entreprise, donc nous avons forcément besoin de placer un ou plusieurs points de collecte sur le LAN. Il y a la possibilité de placer une sonde hardware ou logicielle. L’intérêt de mettre en œuvre la sonde hardware de l’éditeur est que celui-ci peut garantir une qualité de service qui va jusqu’à la collecte. Pour une sonde logicielle, nous donnons des préconisations de ressources pour que la collecte s’effectue correctement mais cela ne va pas au-delà. »
Alexandra Krebs, Chief Product Officer (CPO) chez Custocy
« Les solutions hardware restent indispensables. »
« L’émergence du modèle Zero Trust et la multiplication du télétravail à la suite de la crise liée au Covid-19 ont favorisé l’usage des solutions logicielles qui ont évolué ces dernières années pour couvrir de plus en plus de cas d’usage de cybersécurité. Les solutions hardware restent toutefois des éléments indispensables, notamment au niveau de la protection des infrastructures réseaux, d’accès ou datacenter, et pour la protection des systèmes industriels, largement matériels également. Le principal attrait d’une solution hardware réside dans sa conception qui est complètement adaptée à l’usage prévu pour cet équipement. C’est donc une solution clé en main et déjà qualifiée à son usage, tant en termes de qualité des composants que de performances délivrées. »
Stéphane Prevost, Product Marketing Manager chez Stormshield
« Certains sites distants ont besoin de mettre en place des règles de filtrage local. »
« Il reste encore un certain nombre de cas d’usage pour lesquels une solution matérielle est nécessaire. Sur l’aspect sécurité du réseau, en complément d’équipements matériels dans les datacenters on premise, certains sites distants ont besoin de mettre en place des règles de filtrage local (on appelle aussi cela de la segmentation locale). Dans ce cas, le plus simple reste de déployer des boîtiers, souvent d’entrée de gamme. Leur empreinte physique et leur consommation sont souvent minimales et, surtout, ils sont déployables et administrables à distance, grâce à des fonctions de type Zero Touch Provisioning ou encore grâce à une console de management centralisée et unifiée. »
Eric Antibi, directeur technique chez Palo Alto Networks
Alain Clapaud
