FICHES PRATIQUES

Qu'est-ce qu'un pare-feu ? 

Tout ordinateur, connecté à internet ou à n’importe quel autre réseau informatique, est susceptible de subir une attaque pirate. En l’absence de protection, une entreprise peut donc voir ses données infectées, détruites ou volées. Un pare-feu ou firewall (en anglais) désigne un dispositif capable de bloquer les virus et d’éviter la fuite d’informations vers l’extérieur.
Néanmoins, toute entreprise n’a pas nécessairement besoin d’un pare-feu. Cette notice vous explique dans quels cas il est indispensable et comment en choisir un.

DE QUOI PROTÈGE-T-IL ? 

Lorsque des données sont envoyées ou reçues d’un ordinateur à un autre via Internet, les informations entrent et sortent par des portes virtuelles appelées « ports ». Chaque ordinateur dispose de 65 536 ports. Ces « entrées » sont autant de possibilités pour pénétrer le système d’information de l’entreprise. Si bien qu’en l’absence de pare-feu, des pirates informatiques ont tout loisir d’infecter ou de détruire les données d’un ordinateur (virus, vers) ou de récupérer des informations via un cheval de Troie (ou trojans, ces programmes malicieux créent une brèche dans le système d’information de l’entreprise afin de permettre une prise en main à distance d’un ordinateur par un pirate informatique).

Un pare-feu joue un rôle de douanier vis-à-vis des ports : il contrôle les flux de données entrant et sortant de l’ordinateur ou du réseau de l’entreprise.
Les flux illégitimes depuis l’extérieur sont bloqués. Un tiers malveillant ne peut atteindre la porte dérobée, installée sur l’ordinateur par un cheval de Troie.

FONCTIONNEMENT

CATÉGORIE DE PARE-FEU

Il existe principalement deux catégories de pare-feu :
- Les pare-feu personnels sont des logiciels installés sur des postes informatiques. Ils contrôlent uniquement les flux entrant et sortant des ordinateurs sur lesquels ils sont installés. Ce type de firewall est également utilisé par les particuliers. Windows en comporte un, par défaut.
- Les pare-feu « réseau » se matérialisent généralement sous forme de boîtier. Ce type de firewall est souvent placé entre un accès externe et un réseau d’entreprise afin de protéger ce dernier des différentes menaces d’Internet.

LE FILTRAGE

Les flux de données circulent par blocs de données appelés « paquets ». Un firewall analyse chacun de ces paquets sur la base d’un certain nombre de caractéristiques :
- L'adresse IP2 de l’émetteur du flux
- L'adresse IP du récepteur du flux
- Le type de transport de données ou protocole (IP, UDC, TCP ou ICMP)
- Le service (imprimante partagée par exemple) ou port demandé.
Lors de la configuration du pare-feu, un certain nombre de règles vont être définies à partir de ces caractéristiques. Chaque règle va, soit accepter explicitement certains flux (accepté), soit refuser explicitement certains flux (refusé).
Règle Action Adresse
Ip Source
Adresse IP Destination Protocole Port Source Port desti-nation
1 Accepté 192.168.10.20 194.154.192.3 TCP tous 25
2 Refusé toutes 192.168.10.3 TCP tous 80
3 Accepté 192.168.10.0/24 toutes TCP tous 80
4 Refusé toutes toutes tous tous tous
Dans cet exemple, la règle n°1 spécifie qu’un flux doit être autorisé dès lors que ce flux :
- Est émis par l’ordinateur de l’entreprise ayant l’adresse IP 192.168.10.20
- S’adresse à un ordinateur ayant l’adresse IP 194.154.192.3
- Utilise le protocole TCP
- Peu importe le port qu’utilise le port de l’ordinateur émetteur (tous)
- S’adresse au port 253 de l’ordinateur récepteur

Ces règles ne sont pas les mêmes d’un réseau à l’autre. Elles dépendent des services utilisés dans l’entreprise et de la politique de sécurité en vigueur. La configuration d’un pare-feu permet ainsi d’interdire la consultation de certains sites internet.
Il est également possible de définir des profils pour que les règles soient différentes entre les utilisateurs d’une même entreprise. Par exemple, certains pourront aller sur Internet.
REMARQUE
En règle générale, la dernière règle (comme dans l’exemple) refuse tous les flux. Cela signifie que tout ce qui n’est pas explicitement autorisé est interdit. Cette précaution évite que des pirates n’empruntent des ports non utilisés pour s’introduire dans le réseau de l’entreprise.

LIMITE DU PARE-FEU

Un pare-feu est un élément important de la sécurité informatique. Néanmoins, il ne met pas à l’abri de toutes les menaces. Par exemple, il ne bloque pas les attaques provenant de matériels amovibles comme une clé USB. Par ailleurs, un flux peut être autorisé mais contenir un virus. C’est le cas d’un client connu de l’entreprise qui envoie, sans y prendre garde, une pièce jointe comportant un virus. C’est pourquoi un pare-feu s’accompagne généralement de protections supplémentaires. Parmi les produits disponibles sur le marché, le terme de firewall désigne, de plus en plus, un ensemble d’applications :
Fonctionnalités de base
Un filtrage
Un anti-virus
Un anti-spam
En option
Un IDPS : bloque les paquets susceptibles de provoquer la défaillance d’un serveur (ex : les paquets trop gros, les sites internet ayant une adresse trop longue...)
Un proxy : empêche l’accès des utilisateurs à certains sites internet

UN PARE-FEU EST-IL OBLIGATOIRE

Toute entreprise n’a pas nécessairement besoin d’un pare-feu. Tout dépend si elle possède ou non des serveurs auxquels il est possible d’accéder à distance : serveur web, serveur de mails. Si ces serveurs / ces services sont hébergés chez un prestataire, c’est lui qui devra protéger son matériel (l’entreprise installera tout de même sur ses postes de travail des anti-virus et des pare-feu personnels). Dans le cas contraire, il est vivement recommandé de s’équiper d’un firewall.

SE MUNIR D'UN PARE-FEU

COMMENT CHOISIR UN PARE-FEU ? 

Si l’entreprise dispose d’un réseau interne, il est préférable d’opter pour un pare-feu réseau plutôt qu’un pare-feu personnel. Ainsi la configuration et les mises à jour ne seront faites qu’une seule fois. Le choix d’un produit plus qu’un autre dépend ensuite de l’architecture du réseau de l’entreprise : si elle dispose d’un serveur de mails, son firewall devra être capable de filtrer les paquets correspondants à du courrier électronique. Par ailleurs, les pare-feu proposés sur le marché se distinguent également par leur capacité à filtrer plusieurs connexions en simultané. En d’autres termes, il convient de réfléchir au nombre maximum de connexions entrant et sortant auxquelles le firewall pourrait un jour être confronté. En cas de sous- estimation de cette capacité, le filtrage s’avérera plus long.

CONFIGURATION D'UN PARE-FEU

Les pare-feu, qu’ils soient logiciels (personnels) ou matériels (réseaux) ne sont pas configurés à l’achat car cette opération est intimement liée à l’architecture réseau de l’entreprise et à la politique de sécurité que l’on souhaite mettre en place. Selon les produits, cette configuration est plus ou moins ergonomique.
Pour une architecture réseau simple (serveur de mail, serveur internet, pas de possibilité d’accéder aux fichiers à distance), il n’est pas nécessaire de définir beaucoup de règles. Voici quelques questions à se poser avant de procéder à la configuration du firewall :
- Tous les postes informatiques auront-ils accès à Internet ?
- Le serveur de mail pourra-t-il accepter n’importe quel email ?
- Qui doit pouvoir accéder aux fichiers de l’entreprise à distance ?

La dernière règle devra toujours refuser tout ce qui n’a pas été explicitement autorisé dans les règles précédentes. En cas de doutes sur l’exhaustivité des règles, il est toujours possible de se faire aider d’un prestataire pour configurer un firewall.

MAINTENANCE D'UN PARE-FEU

La société qui a conçu un firewall envoie régulièrement des mises à jour. Il est vivement conseillé de les appliquer car il s’agit souvent de combler des défaillances du produit découvertes après l’avoir mis sur le marché.

Source: Espace Numérique Entreprises (ENE)

Autres fiches  :