Face à l’ingéniosité des malwares et à la sophistication des emails de Phishing, un Firewall peut-il suffire en matière de sécurité web sans un Proxy autonome ? « Impossible » répondent de nombreux RSSI et DSI pour qui la protection contre les nouvelles cyber menaces est bien meilleure depuis que Proxy et Firewall se répartissent efficacement les actions de filtrage tout en restant parfaitement intégrés et complémentaires l’un de l’autre. Explications, …
Premiers piliers d’une stratégie de cybersécurité, Firewall et Proxy ont deux missions réellement différentes. La vocation du Firewall ou « pare-feu » est de gérer les entrées et sorties de flux entre le réseau informatique interne et ceux externes, qu’ils soient ouverts (le web) ou protégés (Virtual Private Network). Le Proxy a quant à lui une mission complémentaire de contrôle, d’optimisation et de filtrage des flux web. Conçu à l’origine pour contrôler et filtrer les flux sortants en gérant une mise en cache avancée qui permettait d’économiser de la bande passante, le Proxy est rapidement devenu un moyen indispensable de logging et de filtrage du surf internet des utilisateurs par catégories et URL. Ceci dans l’objectif de garantir la protection face aux menaces avancées du web ainsi que la conformité légale et culturelle de l’utilisation d’internet au sein de l’entreprise.
Si pour des raisons de coûts, les DSI pouvaient auparavant être tentés de regrouper toutes les fonctions de contrôle et de filtrage des flux au sein du Firewall qui intégrait parfois une option de proxy filtrant ajoutée dans l’UTM (Unified Threat Management), cela n’est désormais plus possible. En effet, la convergence croissante des flux internet vers les protocoles http et https (70% de la bande passante mondiale est utilisée par ces protocoles) associée à la sophistication toujours plus grande des cyber attaques (codes polymorphes des malwares…) renforcent l’importance du filtrage, et donc du Proxy. En effet, un Proxy autonome mis en place séparément mais tout en dialoguant avec le Firewall contribuera à créer un environnement de confiance sur le web pour les utilisateurs car il intègre beaucoup plus de fonctionnalités de filtrage de contenus ainsi qu’une plus grande richesse dans les catégories et URL de sa base de données.
Le Proxy préserve la fiabilité du Firewall en analysant les flux chiffrés HTTPS et permet un fonctionnement en liste blanche
On sait que le déchiffrement SSL sur un Firewall peut représenter une perte de performance conséquente. Les flux chiffrés HTTPS étant en constante augmentation, il est important de les filtrer avec un Proxy autonome pour ne pas fragiliser le Firewall et ainsi la chaîne globale de sécurité web. En effet, le Firewall, en situation de saturation, ne sera plus capable d’analyser la totalité des flux ; il sera défaillant, ralentira voire en laissera passer certains, potentiellement dangereux. L’avantage d’utiliser le Proxy sera également de pouvoir exploiter les catégories plus fines de sa base de données pour afficher aux utilisateurs des messages d’information sur leur utilisation d’internet afin de mieux les responsabiliser face aux nouvelles cyber menaces… Cet équipement va permettre un fonctionnement en liste blanche, considéré comme le niveau « suprême » de sécurité web qui implique de laisser uniquement accès aux contenus déjà reconnus dans la base de données URL de l’éditeur de filtrage web. Pour ce faire, une base de données étoffée est nécessaire ainsi qu’un minimum de 96% de reconnaissance des sites internet visités par les utilisateurs.
L’impact des nouvelles cyber menaces sur le Proxy et le Firewall
Les attaques D-DOS (Denial of Service Attack) ou attaques massives de milliers de machines « zombies » destinées à faire tomber le Firewall pour ouvrir une brèche dans la sécurité du réseau informatique sont un autre exemple marquant où la fonction de filtrage du Proxy autonome est nécessaire dans une stratégie de sécurité en entreprises. Les attaques du groupe Anonymous dirigées contre PayPal, Visa et MasterCard sont encore dans toutes les mémoires ! Un Proxy complémentaire au Firewall apportera davantage de redondance dans la protection du SI de l’entreprise. En outre, le coût d’une attaque est aujourd’hui un véritable débat pour les DSI et RSSI qui prennent conscience que ses conséquences financières sont sans commune mesure avec les coûts d’équipements additionnels de sécurité. La charge sur la bande passante augmentant en moyenne de 10 à 20% chaque année, il est souvent nécessaire de racheter de nouveaux équipements de firewall au fil de la croissance des besoins. Dans cette logique, il semble plus raisonnable d’investir dès le départ dans un proxy dédié, au lieu d’investir des sommes importantes de manière régulière. On ne peut pas choisir un couteau suisse et en attendre le même niveau d’efficacité que si l’on avait pris chacun des outils qu’il contient séparément… Il en va de même avec les UTM : s’ils apportent une facilité d’exploitation puisque tout est au même endroit, on ne peut pas leur demander de délivrer le même niveau de qualité que des équipements dédiés et notamment celui d’un Proxy autonome…
Le Firewalling associé au filtrage des flux web d’un Proxy constitue aujourd’hui à la fois une priorité et une bonne pratique en termes de cybersécurité. La spécialisation d’un Proxy autonome est un véritable atout grâce à la qualité de sa base de données d’URL et de sa granularité rendue possible pour les opérations de filtrage. Sans oublier les possibilités d’analyse anti-virus dans les flux en redondance de celles faites sur les postes de travail par les anti-virus classiques. Si vous souhaitez créer un environnement de confiance sur le web dans votre entreprise, il est donc important aujourd’hui de décharger le Firewall de toutes les tâches qui ne sont pas de son ressort et d’intégrer un Proxy autonome…
