UTM ou proxy autonome : quels sont les risques à faire reposer la sécurité sur une seule solution ?
En janvier 2019, le CESIN publiait son baromètre de la cybersécurité des entreprises qui précisait que 80 % des entreprises avaient subi une cyberattaque au cours des 12 derniers mois. Les cas se multiplient et même les grandes entreprises, réputées ultra-sécurisées, ne sont pas à l’abri comme le montre la récente attaque d’Airbus qui a confirmé un « accès non autorisé » au sein de ses réseaux informatiques ayant permis aux pirates d’accéder à des coordonnées professionnelles et identifiants d’employés.
Renforcer l’efficacité de la cybersécurité est une priorité stratégique pour la DSI
Cette priorité est également renforcée par la transformation digitale qu’opèrent ces mêmes DSI puisqu’elle favorise l’émergence de nouveaux risques avec la généralisation du Cloud, des applications SaaS et surtout de l’interconnectivité entre les systèmes informatiques internes et ceux externes. La Directive sur les Services de Paiement (DSP2) applicable depuis septembre 2019 en est d’ailleurs un parfait exemple dans le secteur bancaire.
Il est donc essentiel de construire et maintenir une chaîne de sécurité web complète dans l’entreprise, protégeant efficacement les utilisateurs, le système d’information et toutes les ressources informatiques qui le composent, des postes de travail internes ou nomades, aux objets connectés. Malgré tout, les DSI et RSSI doivent composer avec des contraintes budgétaires pas toujours en phase avec la sophistication croissante des malwares utilisés et la recrudescence des tentatives d’attaques.
Les budgets pèsent évidemment dans le débat : il faut faire autant, sinon mieux, avec moins. Lorsque la question de l’évolution des équipements se pose, il arrive qu’on envisage par commodité de remplacer le Proxy autonome par les fonctions de filtrage intégrées dans l’UTM et le Firewall. Cela paraît à priori plus économique, plus simple à mettre en œuvre et à maintenir… mais est-ce que faire reposer la protection du système d’information sur une seule solution est vraiment une bonne idée ?
On pourrait d’ailleurs poser la question différemment en se demandant s’il est vraiment raisonnable de mettre tous ses œufs dans le même panier en matière de cybersécurité ? Ce n’est en tout cas pas dans les recommandations de l’ANSSI qui préconise plutôt de décentraliser les différents traitements liés à la cybersécurité sur plusieurs machines.
UTM VS PROXY : un débat qui ne supporte pas la question des performances
L’aspect performance avec l’augmentation du trafic internet en HTTPS devrait également peser dans le débat. Le boitier UTM a de plus en plus de traitements à opérer et si l’on y ajoute le déchiffrement SSL-TLS, cela aggraverait sa consommation de ressources au point de le ralentir ce qui pourrait alors affecter sa fonction principale : le Firewall. D’ailleurs, la recrudescence des attaques DDOS ces derniers mois peut vite le pénaliser et le reste des opérations qu’il devrait gérer serait encore plus dégradé. L’évolutivité de l’UTM est donc parfois rapidement limitée alors que le Proxy autonome Olfeo peut être installé en virtualisation ce qui permet d’augmenter facilement sa capacité de traitement et ce, sans surcoût de licence pour le client puisque le tarif est calculé à l’utilisateur et non pas en appliances…
Le proxy autonome est donc un véritable allié du Firewall : en prenant en charge le filtrage web, le déchiffrement SSL-TLS voire le filtrage DNS, il vient en renforcer l’efficacité. Avec une architecture de sécurité reposant à la fois sur un Firewall et un Proxy autonome fonctionnant en totale synergie, on répartit mieux les tâches et les risques face aux cybermenaces.
Découvrez les conseils de Damien Billy, consultant avant-vente chez Olfeo, pour renforcer votre chaîne de cybersécurité grâce à votre UTM et un Proxy autonome :
Pour votre stratégie de cybersécurité, il s’agit de mettre en place une protection en temps réel pour distinguer les flux réseau légitimes des flux suspects qui doivent être filtrés par le serveur DNS et ainsi assurer une protection optimale du système d’information.
La passerelle de sécurité web Olfeo répond précisément à ce besoin et propose plusieurs modes d’intégration que l’on peut mettre en œuvre très rapidement. Cela permet d’activer un service de filtrage DNS qui va contenir les utilisateurs et les accès, que ce soit pour des équipements non maîtrisés ou des équipements connectés, et appliquer des règles de filtrage. Grâce à la qualité de la base URL Olfeo, les 2% de sites web inconnus sont bloqués au niveau du serveur DNS.
Le filtrage web reste un des piliers d’une stratégie de cybersécurité et l’UTM ne peut pas tout (bien faire)
Aujourd’hui, on ne peut plus être serein en matière de cybersécurité, les attaques sont inévitables et les malwares peuvent bloquer le bon fonctionnement de l’entreprise comme cela a été le cas cette année pour le groupe agroalimentaire Fleury Michon qui a été suffisamment touché pour devoir déconnecter l’ensemble de ses systèmes afin d’éviter la propagation de la menace. Le filtrage web et le déchiffrement SSL-TLS des flux HTTPS qui contribuent à mieux détecter les codes malveillants sont donc essentiels pour une stratégie de cybersécurité performante.
Par ailleurs, il ne faut pas oublier la dimension juridique et de responsabilité légale liées à l’utilisation d’internet qui font partie des enjeux du filtrage web. Les UTM qui s’appuient sur des catégories internationales ne permettent pas de bénéficier du même niveau de qualité que notre base d’URL construite par une équipe française depuis 16 ans. La conséquence est souvent que le manque de finesse des catégories et des URL bloque de manière abusive certains sites, classés à tort dans la mauvaise catégorie par les robots. Avec Olfeo, le site de la mairie de Pornic ou celui de Paris-expo ne sera pas classé en pornographie et un médecin faisant des recherches sur le système reproducteur masculin ne sera pas bloqué. Au contraire, il y a énormément de catégories différentes dans Olfeo et la granularité des URL est très appréciée par nos clients pour personnaliser leurs règles utilisateurs.