2. 2
Les moyens de communication
évoluent dans les entreprises avec
l’arrivée massive des médias sociaux,
des messageries instantanées, du
cloud computing et des smartphones.
Les dirigeants d’entreprise portent
un intérêt grandissant à ces outils
collaboratifs 2.0 pour soutenir leur
productivité et générer de nouveaux
revenus. Ces outils de communication
ne peuvent plus être ignorés.
QUELQUES CHIFFRES
● 19 millions d’utilisateurs du
réseau social Facebook en France
(source : Facebakers.com).
● 33 % des entreprises françaises
utilisent un réseau social pour
communiquer auprès de leurs clients et
prospects mais 61% des salariés français
utilisent les réseaux sociaux à des fins
personnelles (source Regus).
● 20 % des salariés s’appuieront sur
les réseaux sociaux pour gérer leurs
communications professionnelles en
2014 (source Gartner).
● 90 % des professionnels mobiles
croisent indifféremment les usages
professionnels et personnels sur leur
smartphone (source iPass).
● 23 % des internautes français
utilisent leur ordinateur personnel pour
un usage professionnel – 46 % pour les
moins de 25 ans (source le Clusif).
● 74 % des entreprises françaises
estiment que les réseaux sociaux et les
applications du Web 2.0 constituent
une menace sérieuse (source Ponemon
Institute).
● 10 % de l’ensemble des coûts
informatiques d’une entreprise,
d’ici à 2011, seront imputables aux
employés notamment via l’acquisition
et l’utilisation de leur propre matériel
à des fins professionnelles et privées
(source Gartner).
● 90 % des outils technologiques sur
le lieu de travail feront l’objet d’une
personnalisation par les employés d’ici à
2015 (source Gartner).
Ces chiffres sur les nouveaux moyens de
communication effraient les entreprises.
Même si elles reconnaissent que ces
outils deviennent de plus en plus des
applications à part entière qu’il ne faut
plus négliger, elles estiment, toutefois,
que beaucoup de collaborateurs en
abusent. Face à ce constat, les dirigeants
et les DSI redoutent des problèmes de
sécurité de plus en plus alarmants. Les
médias sociaux et, plus généralement,
les applications collaboratives Web
2.0 sont une source d’ennuis pour
les administrateurs car ils peuvent
devenir des vecteurs privilégiés de
cyber-attaques et de propagations de
malwares dans le système d’information
et les datacenters. Ces derniers sont
devenus les dépôts des informations
les plus sensibles et critiques de
l’entreprise. Ce n’est donc pas une
surprise qu’ils soient devenus des cibles
privilégiées de la cybercriminalité. Cette
inquiétude s’accroît aussi avec l’arrivée
du cloud computing. En effet, selon le
cabinet d’études Harris Interactive, plus
de 80 % des entreprises indiquent que la
sécurité constitue une barrière majeure
à l’adoption du cloud computing.
Résultat : 75 % des entreprises
s’apprêtent, selon Infosecurity, à
réallouer ou à accroître leurs budgets
sécurité dédiés au cloud computing. n
NOUVEAUX USAGES, NOUVELLES MENACES
LA NOUVELLE GÉNÉRATION DE PARE-FEUX INTELLIGENTS
3. 3
La tâche des administrateurs
informatiques relève parfois d’un
véritable défi. Ils doivent fournir à
l’entreprise des solutions efficaces,
indispensables à son activité, tout
en gérant l’utilisation
improductive, et souvent
dangereuse, d’applications
par les employés. Il devient
plus difficile pour un
administrateur réseau de
faire la distinction entre le
bien et le mal. La priorité
des flux d’information dans
la bande passante doit être accordée
aux applications vitales, tandis que les
médias sociaux et autres jeux en ligne
doivent pouvoir être limités voire, dans
certains cas, totalement bloqués. Difficile
aujourd’hui de prioriser les flux dans
la bande passante car la majorité des
pare-feux déployés dans les entreprises
sont à filtrage dynamique de paquets et
fonctionnent, de ce fait, sur la base des
informations de port et de protocole.
Ils ne sont pas en mesure
d’identifier les applications
et donc la menace posée
par les nouveaux modes de
consommation sur le Web,
comme les téléchargements,
les réseaux sociaux, les sites
boursiers ou de jeux en ligne.
En effet, ces applications
passent au travers des défenses de ces
firewalls car elles apparaissent comme
un simple navigateur web pour ceux-ci.
Les pare-feux à filtrage conventionnel de
paquets ne savent pas distinguer le bon
du mauvais. n
LES PARE-FEUX CONVENTIONNELS DEVENUS INEFFICACES
L’AVIS DE GREG YOUNG, VICE-PRÉSIDENT DE LA RECHERCHE CHEZ
GARTNER, SUR LA NOUVELLE GÉNÉRATION DE PARE-FEUX.
« Les pare-feux traditionnels fonctionnent selon un modèle binaire de blocage/
autorisation. Les pare-feux à filtrage dynamique de paquets ne peuvent contrôler
que les ports et les adresses IP ; on ne sait donc rien de ce qui se trouve dans
la session web en question. Si les systèmes de prévention des intrusions savent
repérer les programmes malveillants, le contrôle applicatif proposé par les pare-feux
nouvelle génération permet, quant à lui, de limiter et de contrôler des applications
telles que les médias sociaux, et même de contrôler avec précision les activités
autorisées au sein de ces applications, de manière à réserver la bande passante
nécessaire aux applications vitales. Des règles du type «Ok pour Facebook mais pas
le jeu Farmville qui y est intégré» ou «Moins de 10 % des connexions et de la bande
passante pour Facebook durant les heures de travail» sont désormais possibles. »
La majorité des
firewalls en
entreprises sont
devenus inéfficaces
face aux nouvelles
menaces.
➜ Site web
Pour plus d’informations
http://www.sonicwall.com/fr/
4. 4
LA NOUVELLE GÉNÉRATION DE PARE-FEUX INTELLIGENTSLA NOUVELLE GÉNÉRATION DE PARE-FEUX INTELLIGENTS
Pour mieux gérer la sécurité dans
les entreprises et assurer ainsi la
productivité, SonicWALL anticipe
l’évolution de ces menaces et de ces
nouvelles plateformes d’échange
2.0. SonicWALL suivant sa vision
« Application Intelligence and Control »,
propose une gamme de pare-feux
intelligents NSA (Network Security
Appliance) qui ne se limitent pas à la
surveillance des ports et protocoles mais
qui identifient, classent et administrent
le contenu et les applications circulant
sur le réseau en temps réel. « On ne
peut contrôler sans voir, SonicWALL
Application Intelligence and Control va
bien au delà de la simple amélioration de
l’UTM (Gestion Unifiée des Menaces). Cette
nouvelle génération de firewall délivre une
sécurité réseau de pointe au niveau des
applications et représente un outil unique
et optimal d’administration des menaces
et des applications. Les administrateurs
sont à même de protéger l’ensemble de
l’infrastructure contre les menaces, de
gérer les applications ainsi que l’usage
de la bande passante, ce qui auparavant
aurait été quasiment impossible », déclare
Patrick Sweeney, vice-président Network
Security chez SonicWALL.
Une visualisation graphique
en temps réel
Les firewalls intelligents SonicWALL
Application Intelligence and Control
analysent chaque octet de chaque
paquet sur l’ensemble du trafic réseau,
permettant de déterminer exactement
quelles applications sont utilisées et
par qui. Pour ce faire, ils procurent un
contrôle granulaire et une visualisation
en temps réel des applications pour
prioriser la bande passante et assurer une
sécurité et une productivité maximales
du réseau. En effet, grâce au tableau
de bord de visualisation en temps réel
des applications, les administrateurs
ont accès à des graphiques offrant un
aperçu en temps réel du trafic applicatif,
des applications utilisées et de la
consommation en bande passante. Cette
puissante combinaison permet ainsi de
mettre en place des règles de sécurité
adaptées et personnalisées à chaque
entreprise. Les administrateurs dans
les entreprises peuvent par exemple
autoriser l’accès à certains sites comme
Youtube mais en limitant leur usage en
fonction des besoins que peuvent en avoir
les salariés pour leur travail. Ils peuvent
aussi limiter l’usage de ces sites à certains
moments de la journée pour préserver
la bande passante pour les applications
plus critiques. Les pare-feux nouvelle
génération de SonicWALL exploitent une
bibliothèque de signatures de menaces
enrichie en continu, capable actuellement
de reconnaître plus de 3 000 applications
et de détecter des millions d’éléments
malveillants afin de protéger le réseau
de manière automatique et transparente.
La solution détecte et élimine les
programmes malveillants, les intrusions,
les fuites de données et les violations de
règles avant que ceux-ci ne fassent des
dégâts sur le réseau d’une entreprise ou
auprès de ses utilisateurs. Les pare-feux
NSA utilisent une analyse par protocole,
par signature et heuristique en se basant
sur le SonicGRID, c’est-à-dire une équipe
qui relève et compile des informations
sur les menaces dans le monde entier
en s’appuyant sur 5 millions de
capteurs spécifiques, afin de délivrer
des signatures en temps réel. Toutes ces
fonctionnalités sont gérées par le système
d’exploitation SonicOS 5.8, créé par
SonicWALL, que l’on retrouve dans les
gammes de pare-feux TZ 210, NSA et
NSA E-Class. n
SONICWALL APPLICATION INTELLIGENCE AND CONTROL :
LA NOUVELLE GÉNÉRATION DE PARE-FEUX INTELLIGENTS
5. 5
Quelle est la vision de SonicWALL sur
cette nouvelle génération de pare-
feux ?
SonicWALL se place dans les cœurs de
réseaux et des datacenters avec des
firewalls de nouvelle génération très
performants. C’est la multiplication
des outils Web 2.0 qui nous oblige à
être plus exigeants et à anticiper ainsi
les nouvelles menaces planant sur les
entreprises. Pour cela, nous devons
proposer des produits capables de
contrôler les applications en temps réel
et de savoir qui, dans les entreprises,
les utilise. Le meilleur moyen pour les
administrateurs est de les contrôler
graphiquement avec une interface
intuitive afin qu’ils puissent agir en
temps réel. L’objectif final est de mieux
gérer la sécurité dans les réseaux en
ne pénalisant pas la productivité de
l’entreprise.
Comment communiquez-vous
cette approche aujourd’hui à
vos clients ?
Notre discours a changé. Nous
conseillons à nos clients de
placer ces firewalls intelligents
au cœur du réseau afin qu’ils remontent
les informations. C’est à ce moment
précis qu’intervient la responsabilité de
l’administrateur. Il est capable d’utiliser
la corrélation de ces informations pour
appliquer directement des règles de
contrôle de ce qui est acceptable ou non.
Ces règles sont plus simples à mettre
en place grâce à nos outils intégrés
dans notre gamme de pare-feux NSA.
Ces derniers collectent de nombreuses
informations nécessaires à un reporting
complet avec des historiques précis
et toutes les remontées d’alertes. La
vision de SonicWALL va très loin car les
données récoltées peuvent être exportées
vers une plateforme de supervision
globale comme Scrutinizer en s’appuyant
sur le protocole NetFlow. Nous avons pris
une réelle avance technologique dans la
supervision graphique de la sécurité des
réseaux en temps réel. n
TÉMOIGNAGE
FRANCK TROGNÉE, RESPONSABLE FRANCE DE SONICWALL
« Nous proposons des
outils graphiques en
temps réel pour aider
les administrateurs à
établir des règles de
sécurité. »
➜ Site web
Pour plus d’informations
http://www.sonicwall.com/fr/
6. 6
LA NOUVELLE GÉNÉRATION DE PARE-FEUX INTELLIGENTSLA NOUVELLE GÉNÉRATION DE PARE-FEUX INTELLIGENTS
1Intelligence applicative
Ce service s’appuie sur le filtrage
RFDPI (Reassembly-Free Deep Packet
Inspection) de SonicWALL pour
analyser chaque paquet et identifier les
applications utilisées ainsi que leurs
utilisateurs. SonicWALL entretient une
bibliothèque de signatures destinée
à protéger les réseaux de manière
automatique et transparente.
2Contrôle applicatif
Ce service permet de configurer
des règles flexibles visant à limiter ou
bloquer des applications, fichiers, URL
et pièces jointes d’e-mails en fonction,
entre autres, du type d’application, de
l’utilisateur du réseau, d’horaires ou
encore de signatures personnalisées.
3Visualisation applicative
SonicWALL Application Flow
Monitor fournit des graphiques en
temps réel des applications, de la bande
passante consommée en entrée et en
sortie, des utilisateurs, des sites Internet
actuellement consultés, etc. De plus, il
permet d’exporter ces mêmes données
LES 7 AVANTAGES DES PARE-FEUX SONICWALL APPLICATION
INTELLIGENCE, CONTROL AND VISUALIZATION
7. 7
vers un analyseur NetFlow/IPFIX à
des fins de surveillance hors ligne, de
dépannage et de diagnostic des activités
réseau.
4Prévention des fuites de
données
Elle bloque et contrôle la transmission
de données sensibles par FTP, en pièce
jointe de services Webmail (Hotmail
ou Gmail, par ex.), ou via les serveurs
de messagerie SMTP et POP3 de
l’entreprise.
5Gestion de la bande passante
au niveau applicatif
Cette fonctionnalité garantit la qualité
de service (QoS) en réservant le
débit à des applications vitales ou à
des groupes à certaines heures de la
journée.
6Mises à jour et notifications
automatisées
Elles garantissent la protection
du réseau contre les menaces les
plus récentes, ce qui simplifie
l’administration.
7Filtrage applicatif pour le
trafic SSL
Il étend la protection au trafic
chiffré en SSL, ce qui améliore le
respect des règles de conformité, le
filtrage de contenu et la prévention
des fuites de données, Cela permet
également de supprimer une voie
d’accès supplémentaire pour les
programmes malveillants. Le trafic est
tout d’abord déchiffré, puis inspecté,
avant d’être chiffré de nouveau en
toute transparence pour l’utilisateur.
Le filtrage peut être configuré pour les
connexions entrantes et sortantes. n
Des graphiques en temps réel des applications, de la bande passante
en entrée et en sortie, des sites Internet visités et de l’activité de tous
les utilisateurs permettent aux administrateurs de modifier les règles
en fonction des besoins du réseau.
➜ Site web
Pour plus d’informations
http://www.sonicwall.com/fr/
8. 8
LA NOUVELLE GÉNÉRATION DE PARE-FEUX INTELLIGENTS
Quels sont les avantages des
pare- feux dits intelligents
par rapport aux pare-feux
conventionnels ?
Les pare-feux conventionnels se
limitent à un filtrage des couches
3 et 4 du modèle OSI. Ce qui
a pour résultat une incapacité
dangereuse à identifier des
applications hors des bases
de signature IPS (lorsqu’ils
disposent de cette fonction).
Or, le développement du Web
2.0 et les nouveaux modes de
consommation sur le Web,
comme les réseaux sociaux ou
les applications non productives,
constituent de nouvelles
menaces pour les entreprises.
L’usage des pare-feux d’ancienne
génération ne permet pas de
remonter des informations
pertinentes sur l’utilisation
de la session Utilisateur,
contrairement aux pare-feux
intelligents qui remontent
jusqu’au niveau 7 de l’OSI, à
savoir l’analyse de la couche
applicative. Ceci permet,
entre autres, l’identification
d’applications indésirables au sein de
flux de communication standardisés
(ex : Session chat sur http). Une
stratégie de sécurité adéquate peut
donc être efficacement déployée
avec une grande souplesse pour la
productivité de l’entreprise. Certains
modules ou certaines fonctions
peuvent ainsi être bloqués sans nuire à
l’utilisation productive de l’application.
Par exemple, un administrateur peut
interdire l’utilisation du Chat au sein de
Facebook tout en laissant un accès libre
à la gestion du profil.
Quels sont les points forts des pare-
feux de SonicWALL ?
Grâce au Support Intégré de Netflow
sur Application Intelligence Control,
SonicWALL est le seul acteur du marché
à fournir des outils capables d’identifier
en temps réel l’utilisation de la bande
passante directement à partir de ses
appliances. Par exemple, les sites web
visités et les différentes applications
utilisant un même protocole de
communication qui seraient passés
inaperçus sur des pare-feux d’anciennes
générations. Ceci participe grandement
à la sécurité des SI actuels basés sur
des flux applicatifs plutôt que sur des
serveurs clairement identifiables. En
raisonnant sur le couple Utilisateur/
Flux associé à un collecteur en charge
de l’analyse et de la mise en forme,
il est même possible d’automatiser
la création de rapports graphiques
adaptés à chaque demande. En outre,
la nouvelle génération de pare-
feux SonicWALL est extrêmement
performante ; l’absence de buffering et
l’utilisation de processeurs spécifiques
permettant une vitesse de traitement
UTM des flux inégalée. SonicWALL
annonce d’ailleurs la disponibilité
prochaine de clusters capables de
travailler à 160 Gb/s UTM. Enfin, le
ratio coût/performance de ces pare-
feux est actuellement l’un des meilleurs
du marché, voire le meilleur. J’estime
son coût de possession de 30 à 40
% inférieur à celui des concurrents.
Couplée à une console de supervision
SonicWALL GMS, qui intègre un
véritable superviseur SNMP ouvert,
nous disposons d’une plateforme très
performante et rationnelle pour la
gestion de la sécurité des réseaux de
nos clients, quelle que soit leur taille. n
TÉMOIGNAGE
ARNAUD FLOTTÉ DUBARRY, CONSULTANT EN SÉCURITÉ
DES INFRASTRUCTURES CHEZ JANUS CONSULTING
« Le coût de
possession des
firewalls SonicWALL
est de 30 à 40 %
inférieur à celui des
concurrents. »