Jamais sans mon proxy ! La love story du Firewall et du Proxy en entreprise

Un proxy autonome mais intégré avec le Firewall

 

Est-ce qu’un Firewall peut réellement être efficace en matière de sécurité web sans un Proxy autonome  ? Chez Olfeo, 100% de nos clients ont un Firewall. Ils reconnaissent que leur protection contre les nouvelles cyber menaces est bien meilleure depuis que Proxy et Firewall se répartissent efficacement les actions de détection tout en restant parfaitement intégrés et complémentaires l’un de l’autre. On peut ainsi parler de vraie symbiose voire même de Love Story, mais pourquoi concrètement ?

 

Proxy et Firewall : quelles différences fondamentales ?

Si Firewall et Proxy sont assurément les 2 premiers piliers d’une stratégie de cybersécurité, ils ont 2 missions réellement différentes et il est important de laisser à chacun le soin de faire le travail pour lequel il a été conçu…

La vocation du Firewall ou « pare-feu » est de gérer les entrées et sorties de flux entre le réseau informatique interne et ceux externes, qu’ils soient ouverts (le web) ou protégés (VPN pour Virtual Private Network). Sans Firewall, tous les serveurs et postes de travail sur le réseau informatique local seraient « exposés » directement aux flux web venant de l’extérieur. On comprend aisément pourquoi il constitue la 1ère étape fondamentale dans la pyramide des outils de cybersécurité puisqu’il va s’interposer entre internet et le réseau interne pour contrôler tous les accès et autoriser ou non leur passage... Aucune entreprise ne prendrait ainsi le risque de ne pas déployer un Firewall car cela reviendrait à exposer directement ses ressources informatiques aux cyber attaques…

Le Proxy a quant à lui une mission complémentaire de contrôle, d’optimisation et de filtrage des flux web. Conçu à l’origine pour contrôler et filtrer les flux sortants en gérant une mise en cache avancée qui permettait d’optimiser la bande passante, le Proxy est devenu rapidement indispensable pour filtrer le surf internet des utilisateurs par catégories et URL afin de garantir la protection face aux menaces avancées du web et  la conformité légale et culturelle de l’utilisation d’internet au sein de l’entreprise.

 

 

Pourquoi faudrait-il dissocier le Proxy filtrant du Firewall ?

Assurer la sécurité du système d’information revient à construire une chaîne composée de différents équipements dont la solidité dépendra de son maillon le plus faible.

Si pour des raisons de coûts, les DSI pouvaient auparavant être tenté(e)s de regrouper toutes les fonctions de contrôle et de filtrage des flux au sein du Firewall qui intégrait parfois une option de proxy filtrant ajoutée dans l’UTM (Unified Threat Management), ce n’est plus possible aujourd’hui. En effet, l’évolution de la nature des flux web (HTTPS…) et la sophistication toujours plus grande des cyberattaques (codes polymorphes des malwares…) renforcent l’importance du filtrage, et donc du Proxy. Cela justifie aujourd’hui qu’un Proxy autonome soit mis en place séparément mais dialoguant  avec le Firewall si l’on veut vraiment créer un environnement de confiance sur le web pour les utilisateurs de l’entreprise :

Le Proxy en entreprise créé un environnement de confiance sur le web

 

En effet, le Proxy autonome permet de bénéficier d’une solution de filtrage des contenus de bien meilleure qualité : il intègre beaucoup plus de fonctionnalités comme le montrent les exemples ci-dessous ainsi qu’une plus grande richesse dans les catégories et URL de sa base de données.

 

L’analyse des flux chiffrés HTTPS est du ressort du Proxy pour préserver la fiabilité du Firewall

 

On sait aujourd’hui que le déchiffrement SSL sur un Firewall peut représenter une perte de performance allant jusqu’à 74% (NSS Labs, John W. Pirc, Significant SSL performance loss leaves much room for improvement). Les flux chiffrés HTTPS étant en constante augmentation, il est important de les filtrer avec un Proxy autonome pour ne pas fragiliser le Firewall et votre chaîne de sécurité web. La conséquences étant que le Firewall, en situation de saturation, n’est plus capable d’analyser la totalité des flux et en laisse donc passer certains, potentiellement dangereux.

 

 

Le proxy apporte une capacité de filtrage plus fine et des fonctionnalités avancées

 

L’avantage d’utiliser le Proxy sera également de pouvoir exploiter les catégories plus fines de sa base de données pour afficher aux utilisateurs des messages d’information sur leur utilisation d’internet afin de mieux les responsabiliser face aux nouvelles cyber menaces…  Cet équipement va permettre un fonctionnement en liste blanche, considéré comme le niveau « suprême » de sécurité web. Cela signifie de laisser uniquement accès aux contenus déjà reconnus dans la base de données d’URL de votre éditeur de filtrage web. Une base de données étoffée est nécessaire pour ce faire, et un minimum de 96% de reconnaissance des sites internet visités par vos utilisateurs est recommandé.

 

 

La gestion de l’authentification par le Proxy plutôt que le Firewall

 

Disposer de logs nominatifs sur l’utilisation d’internet par les utilisateurs est une obligation légale. Le Proxy autonome permet de gérer des politiques de filtrage par utilisateur ou groupes d’utilisateurs, il est donc préférable que l’identification de l’utilisateur par le Proxy soit prioritaire sur le Firewall. D’autant plus que le périmètre traditionnel du réseau de l’entreprise s’étend aujourd’hui à la mobilité et que les utilisateurs de smartphones ou terminaux mobiles d’entreprise doivent bénéficier des mêmes autorisations et/ou protections à l’extérieur que celles qu’ils auraient eu au sein de l’entreprise. Seul un Proxy autonome exposé sur le web peut prendre en charge cette fonction et fournir les outils d’analyse et de rapports attendus sur l’utilisation d’internet…

 

 

L’impact des nouvelles cyber menaces sur le Proxy et le Firewall

 

Dernier exemple où la fonction de filtrage du Proxy autonome doit être au cœur d’une stratégie de sécurité en entreprise : les attaques D-DOS (Denial of Service Attack) également connues comme les attaques massives de milliers de machines « zombies » destinées à faire tomber le Firewall afin d’ouvrir une brèche dans la sécurité du réseau informatique. Les attaques du groupe Anonymous sur les sites des entreprises comme PayPal, Visa et MasterCard sont encore dans les mémoires de tous les RSSI (Responsables de la Sécurité des Systèmes d’Information). Un Proxy complémentaire au Firewall apporte donc davantage de redondance dans la protection du système d’information de l’entreprise.

Il est donc important aujourd’hui de décharger le Firewall de toutes les tâches qui ne sont pas de son ressort et d’intégrer un Proxy autonome si vous souhaitez créer un environnement de confiance sur le web dans votre entreprise.

 

 

Intégrer un Proxy autonome avec le Firewall est une priorité en termes de cybersécurité

Le Firewalling d’un côté et le filtrage des flux web par un Proxy autonome constituent aujourd’hui à la fois une priorité et une bonne pratique en termes de cybersécurité. Face à l’ingéniosité des malwares et à la sophistication « galopante » de certains emails de Phishing, la spécialisation d’un Proxy autonome est un véritable atout grâce à la qualité de sa base de données d’URL et la granularité possible pour les opérations de filtrage. Sans oublier les possibilités d’analyse anti-virus dans les flux en redondance de celles faites sur les postes de travail par les anti-virus classiques.

 

Avoir un Proxy autonome en complément du Firewall pourrait coûter moins cher que de n’avoir qu’un seul équipement

 

Cela reste un des enseignements issus des retours d’expériences partagés par les DSI et RSSI lors de la table ronde du Connect Day Olfeo 2017, les conséquences financières d’une cyber attaque  sont sans commune mesure avec les coûts d’équipements additionnels de sécurité :

 

La charge sur la bande passante augmentant de 10 à 20% chaque année, il est souvent nécessaire de racheter de nouveaux équipements de firewall au fur et à mesure du temps. Dans cette logique, il semble plus raisonnable d’investir dès le départ dans un proxy dédié, au lieu d’investir des sommes importantes de manière régulière.

On ne peut pas choisir un couteau suisse et en attendre le même niveau d’efficacité que si l’on avait pris chacun des outils qu’il contient séparément… On en revient à l’éternel débat du généraliste VS l’expert : est-il mieux d'être un touche-à-tout ou un expert dans un domaine ? 

Pour mieux imager le dilemme, choisirez-vous de prendre un couteau suisse pour équiper votre cuisine toute neuve ? Ou vous tournerez-vous plutôt vers une batterie de couteaux complémentaires ?

 

Choisir entre le proxy et l’UTM (Unified Threat Management) et un Proxy dédié

 

Il en va de même avec les UTM : s’ils apportent une facilité d'exploitation puisque tout est au même endroit, on ne peut pas lui demander d’avoir le même niveau de qualité que des équipements dédiés et notamment celui d’un Proxy autonome…

 

Intégrer un Proxy dédié comme celui d’Olfeo à votre Firewall est très facile

 

En effet, l’intégration du Proxy autonome Olfeo avec votre Firewall est aujourd’hui totalement fiabilisée et sécurisée grâce à l’utilisation de connecteurs standardisés avec les solutions leader du marché du Firewall.

Alors, n’attendez pas pour parfaire votre chaîne de sécurité web et téléchargez notre guide d’expert pour vous aider dans la stratégie de sécurité des systèmes d’information de votre entreprise :

 

Le guide d'expert pour vous protéger contre les cybermenaces

 

Crédit photo Tommy Lee Walker via Unsplash.

En visitant ce site, vous acceptez l'utilisation de cookies. Nous utilisons des cookies pour améliorer votre navigation sur notre site. En savoir plus.Ok