Les firewalls sont morts. Vraiment ?

Dans les présentations et conférences sur les solutions de sécurité modernes, une idée revient de plus en plus souvent : « Les firewalls sont morts (ou sont sur le point de mourir). » Ce constat, popularisé par des acteurs de la sécurité cloud, ont pour vocation de remplacer les firewalls, est certes provocateur, mais dont l’origine repose sur des changements profonds dans les architectures IT : la migration massive des applications métiers hébergées en interne vers le SaaS, le travail à distance devenu la norme, et le  Bring Your Own Device qui nécessite de laisser passer des trafics de et vers des appareils non-maitrisés .

Cependant, il est toujours utile d’apporter un peu de nuance à ces arguments et regarder plus loin que ce qui peut être vu comme une action de communication. Dans cet article, nous allons analyser pourquoi les firewalls physiques perdent du terrain, tout en explorant leur place dans l’écosystème de sécurité en pleine mutation.

Pourquoi les firewalls traditionnels ne suffisent plus

 

1. Une architecture mise sous tension par le SaaS et le cloud

 

Les infrastructures IT modernes sont devenues largement distribuées. Autrefois centrées autour d’un périmètre réseau bien défini, elles doivent aujourd’hui s’adapter à un monde où :

• Les applications ne se trouvent plus dans les datacenters des entreprises mais dans le cloud (Office 365, Salesforce, Slack, etc. et même des applications métiers).
• Les utilisateurs accèdent aux ressources depuis des endroits variés (domicile, coworking, en déplacement).
• Le modèle traditionnel consistant à ramener tous les flux vers un serveur interne pour inspection ralentit considérablement les performances et augmente la latence.

Les firewalls physiques, initialement conçus pour surveiller le trafic entrant et sortant du réseau d’entreprise, n’ont plus le même rôle lorsque 80 % du trafic est orienté directement vers des services cloud. Ce modèle, largement connu sous le nom de « modèle du château fort » qui entoure de remparts infranchissables le réseau interne à protéger, ne fonctionne plus avec la même efficacé, quand les ressources sont dispersées dans les villages autour…

2. Les promesses de performance et la réalité

 

Une autre raison qui cristallise les critiques actuelles autour des firewalls est leur performance.

Les appliances physiques de firewall promettent souvent des performances exceptionnelles sur le papier, mais ces chiffres sont à nuancer dès que l’on active des fonctionnalités supplémentaires , notamment de sécurité, comme :

• Le déchiffrement TLS : Indispensable pour inspecter le trafic HTTPS (désormais majoritaire), il divise souvent les performances annoncées par deux.
• Le filtrage de contenu avancé : Ajoute une charge supplémentaire au processeur, ralentissant les analyses.
• La gestion des menaces avancées : Analyse comportementale, détection des malwares, sandboxing… autant de fonctionnalités qui grèvent encore plus la bande passante.

Ces sur-sollicitations usent aussi prématurément les firewalls, à la fois physiquement mais aussi en atteignant plus rapidement leurs seuil et obligeant les entreprises à passer à des modèles supérieurs, avec une conséquence non-négligeable sur le business modèle.

Ces limites rendent les firewalls physiques peu adaptés pour répondre aux besoins d’une architecture cloud-first où la performance et le passage à l’échelle est cruciale.

3. Les coûts et la gestion

 

Outre les défis techniques, les firewalls physiques impliquent :

• Des coûts d’acquisition élevés.
• Une maintenance régulière (mises à jour, remplacement matériel).
• Une gestion complexe, surtout dans des environnements distribués.

4. Des interrogations sur la sécurité

 

Les firewalls, bien qu’essentiels pour la sécurité des réseaux, sont fréquemment affectés par des vulnérabilités critiques, identifiées par des CVE (Common Vulnerabilities and Exposures).

Cette tendance s’explique par la complexité croissante des pare-feu modernes, qui intègrent des fonctionnalités avancées telles que l’inspection approfondie des paquets, la gestion des applications et l’analyse comportementale. Cette sophistication élargit leur surface d’attaque, augmentant le risque d’introduction de bugs ou d’erreurs dans leur code. De plus, leur position stratégique au sein des infrastructures réseau en fait des cibles privilégiées pour les attaquants, car une compromission peut offrir un accès étendu à l’ensemble du système. Les criminels peuvent également mettre la main facilement sur l’équipement pour en disséquer le fonctionnement.

Des facteurs tels que des processus de mise à jour insuffisants, des OS d’un certain âge, la dette technique, des configurations inadéquates ou l’utilisation de modules tiers vulnérables amplifient ces risques. Ces défis soulignent l’importance d’une gestion proactive des correctifs et d’une surveillance continue pour atténuer l’exposition aux exploits zero-day.

Certaines organisations voient maintenant dans les firewalls – et aussi dans les VPNs, mais il s’agit d’une autre histoire – un risque de sécurité.

Les firewalls doivent-ils disparaître pour autant ?

 

Malgré ces arguments, décréter la disparition totale des firewalls serait bien sûr prématuré. Les firewalls continueront à conserver une place dans l’écosystème de sécurité moderne, à condition de revoir leur rôle et leur déploiement.

1. Une spécialisation des firewalls

 

Plutôt que de gérer l’ensemble du trafic réseau, les firewalls pourraient se concentrer sur des usages spécifiques, comme :

• La segmentation réseau interne : Protéger les communications entre segments critiques d’un réseau.
• La protection des actifs on-premise : Certaines entreprises conservent des applications ou des bases de données sensibles dans leurs datacenters et qui ont besoin de protection.
• La sécurisation des environnements industriels : Dans les systèmes industriels OT/IoT, un firewall spécialisé peut jouer un rôle clé.

2. Une intégration dans un modèle hybride : Vers un futur où les firewalls coexistent avec le cloud

 

Les firewalls peuvent déléguer certaines tâches coûteuses (comme le déchiffrement TLS ou la détection avancée) à des services cloud. Cela permet de préserver les performances tout en bénéficiant des capacités analytiques du cloud.

L’essor des SSE : la réponse aux nouveaux défis et le nouveau concurrent des firewalls

 

Les architectures Secure Service Edge (SSE) redéfinissent la manière dont les flux réseau sont sécurisés. Plutôt que de s’appuyer sur un firewall physique pour inspecter et filtrer le trafic, le modèle SSE transfère ces responsabilités dans le cloud:

1. Un cloud comme point central de sécurisation : Les flux web ne transitent plus par le datacenter : ils sont directement dirigés vers un service cloud qui gère la sécurité (filtrage, inspection TLS, protection contre les menaces). Cela élimine la latence liée au backhauling et offre une connectivité directe et rapide.
2. Une inspection scalable : Contrairement aux appliances physiques, les solutions SSE s’appuient sur des infrastructures cloud évolutives. L’inspection TLS, par exemple, ne dépend plus des capacités d’un unique boîtier mais de la puissance des serveurs cloud, offrant ainsi une scalabilité pratiquement illimitée.
3. Une connectivité universelle : Les SSE connectent utilisateurs, applications et réseaux, quel que soit leur emplacement. Ce modèle s’intègre parfaitement aux environnements modernes où les utilisateurs sont nomades et les applications hébergées dans le cloud.

En conclusion, la transition vers des architectures cloud-first remet en question le rôle historique des firewalls physiques. Les défis liés à la performance, la complexité de gestion et l’évolution des flux réseau poussent les entreprises à se tourner vers des modèles SSE plus adaptés à la réalité d’aujourd’hui.

Cependant, les firewalls n’ont pas dit leur dernier mot. En se spécialisant et en s’intégrant dans des architectures hybrides, ils peuvent continuer à jouer un rôle essentiel dans la sécurisation des infrastructures IT. Plutôt que de déclarer leur mort, il est temps de repenser leur utilité pour qu’ils restent pertinents à l’ère du cloud.