Le bon pare-feu pour votre entreprise

Le cauchemar de tout utilisateur d'Internet est l'accès non autorisé de l'extérieur à son propre ordinateur ou à l'ensemble du réseau à l'intérieur soi-disant protégé. Ces accès indésirables peuvent avoir différentes intentions - en principe rarement bonnes : il peut s'agir de vol de données, de la découverte de secrets commerciaux ou de l'implémentation de logiciels malveillants. Dans ce contexte, les cybermenaces actuelles, telles que les ransomwares, causent quotidiennement d'énormes dégâts et ne peuvent guère être détectées sans une protection professionnelle de l'informatique interne.

Vous ou votre entreprise souhaitez certainement communiquer librement - et surtout avec un minimum de risques - avec l'extérieur. Il faut donc ici un filtre qui laisse passer vos paquets de données et les données que vous avez demandées de la manière la plus fluide possible tout en détectant et en bloquant de manière fiable les dangers potentiels. C'est la tâche d'un pare-feu. Celui-ci trie le trafic, gère les ports ouverts qui sont nécessaires et doit bloquer les accès non autorisés via ces ports ouverts. Le pare-feu existe sous forme de matériel (appareils avec connexions physiques) et de logiciel pur (par exemple pare-feu installé pour les systèmes d'exploitation).

La fonction de filtrage est configurée par l'administrateur réseau. Celui-ci établit des règles pour les processus de communication qui passent par les adresses déclarées et donc légitimées des expéditeurs et des destinataires des paquets de données. Le pare-feu doit certes protéger contre les attaques, mais il n'est pas lui-même un programme antivirus. Il peut contenir des filtres optionnels qui rendent encore plus difficile l'intrusion de logiciels malveillants - par exemple en bloquant certains moyens de présentation sur les pages web, comme ActiveX ou les objets Flash, qui sont considérés comme vulnérables aux logiciels malveillants. Pour cela, l'utilisateur ou l'entreprise a besoin d'un logiciel qui fonctionne avec le pare-feu et assure de telles fonctions avancées. Celles-ci sont généralement proposées séparément par les fabricants d'appareils sous forme de licences supplémentaires.

Nous nous concentrons sur trois fabricants en comparaison directe.

En tant que produits possibles pour votre pare-feu d'entreprise, les différences entre trois fournisseurs doivent être mises en évidence. Voyons dans quelle mesure Fortinet Fortigate, Sophos UTM et Stormshield se distinguent les uns des autres pour vous protéger contre les dangers d'Internet.

Ce n'est pas seulement une question de prix, mais aussi une question de capacité et de bande passante. Il est logique qu'un petit bureau d'architecte génère un trafic de données beaucoup plus faible dans un laps de temps donné qu'un groupe sur son site principal avec des dizaines de bureaux qui veulent tous être connectés simultanément à l'extérieur via le réseau de l'entreprise, tout en communiquant simultanément avec d'autres filiales du même groupe et les partenaires commerciaux.

Le matériel ainsi que le logiciel d'un produit pare-feu tentent de tenir compte de tels profils d'exigences différents. S'y ajoutent des besoins plus ou moins élevés en matière de sécurité, des questions sur le nombre de ports avec des connexions enfichables ou sur la radio avec cryptage, etc. La mise en place d'un concept de sécurité spécialement pour une entreprise aide à approfondir la matière et à prendre une décision en faveur de l'un ou l'autre produit.

Plus de types que n'importe quel autre dans l'armoire : les pare-feu Fortinet FortiGate

Dès le premier coup d'œil, on voit dans la gamme de produits du matériel un large choix d'appareils que l'on retrouve derrière le terme de pare-feu "FortiGate". Il existe des séries de modèles allant de 30 (par exemple pour un bureau avec 2 ordinateurs) à 7000 (un énorme groupe avec plusieurs 10 000 collaborateurs). Même au sein d'un type de produit, par exemple FortiGate 100, il existe plusieurs variantes d'équipement permettant de modifier le nombre d'emplacements et de ports. Le débit augmente avec les modèles supérieurs, de 75 Mbps pour le FortiGate 30 à 150 Gbps pour la série 3000. Cela permet de couvrir tous les besoins imaginables, de l'entreprise unipersonnelle à la multinationale.

Le matériel Fortinet intègre des technologies de détection et de prévention des attaques. Des abonnements à FortiCare pour l'assistance d'un an et plus, disponibles en 8x5 ou 24x7 (heures de permanence en semaine), ainsi que des abonnements à FortiGuard comme programme antivirus propriétaire pour le pare-feu sont également disponibles. Le pare-feu FortiGate 5000 ne fait alors plus partie des appareils de la même taille qu'un composant d'installation Hi-Fi, mais remplit un rack entier, ce qui ne devrait être envisagé que pour les très grands groupes.

Facilité d'utilisation : UTM et XG de Sophos

Chez Sophos, on distingue en gros la petite série de SG 105 à SG 135, la moyenne série de SG 210 à SG 450 et les grandes appliances SG 550 et SG 650. On pourrait les classer comme modèles d'entrée de gamme avec un rapport qualité-prix adapté, les appareils pour les entreprises de taille moyenne et les deux modèles haut de gamme pour les grandes entreprises et les centres de calcul. Le débit augmente de 1,5 à 6 Gbps pour les modèles de bureau de la petite série, de 12 à 30 Gbps pour les racks moyens, tandis que les deux modèles finaux offrent un débit de pare-feu de 45 et 65 Gbps. Dans la série XG, les taux de débit sont encore plus performants en raison d'un système d'exploitation plus puissant et la gamme de modèles s'étend même jusqu'au XG 750, qui fournit un débit de données de 140 Gbps. Il s'agit bien sûr de valeurs théoriques qui, en cas d'utilisation d'un programme antivirus, se réduisent à 90 Mbps à 5 Gbps en mode proxy.

Sophos SG UTM (Unified-Threat-Management) propose des licences pour les entreprises équipées de matériel Sophos Firewall. Les licences disponibles sont Network Protection, Wireless Protection, Web Protection, Sandstorm Sandboxing, Email Protection et Web Server Protection. Le logiciel des licences est basé sur des processeurs multicœurs et des disques durs SSD. Il existe d'autres offres spéciales pour les centres de calcul.

En outre, Sophos propose également des solutions logicielles virtualisées. Chez SG, le logiciel UTM est licencié en fonction des utilisateurs, tandis que la XG est basée sur les cœurs et les capacités de RAM correspondantes.

Le site Sophos XG est entièrement gratuit pour les utilisateurs privés (dans la version Home) et comprend un antimalware, une sécurité web, un filtrage URL, un contrôle des applications, un IPS, un traffic shaping, un VPN ainsi que des rapports et une surveillance. Pour cela, il faut un ordinateur personnel qui n'exécute que ce logiciel (et qui contient son propre système d'exploitation).

La zone de sécurité certifiée : Stormshield

En tant que filiale d'Airbus, Stormshield se vante d'être certifié au plus haut niveau pour les autorités de l'UE et de l'OTAN. La gamme d'appareils commence par l'appareil d'entrée de gamme SN 160 pour les bureaux à domicile et les petites agences, avec lequel on peut atteindre un débit de 400 Mbps, et se termine par l'appareil haut de gamme SN 6000, qui atteint un débit de 80 Gbps et n'est pas plus grand qu'un module de 19 pouces s'intégrant dans une tour de serveurs.

Pour tous les appareils mentionnés, Stormshield propose en option un Network Vulnerability Manager, un abonnement de support et la version du micrologiciel d'un programme de protection à partir d'une durée d'un an. Comme chez Fortinet, il faut donc ajouter un ou plusieurs abonnements pour pouvoir utiliser le pare-feu de manière complète.

Malgré de grandes différences de configuration et de performance, la taille de l'appareil reste toujours la même, avec un boîtier rack 19 pouces. Avec un pack d'assistance 24x7 en option, vous êtes protégé contre les pannes 24 heures sur 24. L'assistance 24x7 vous donne un accès immédiat à un technicien avec des durées de 1 à 5 ans.

Conclusion - Quel pare-feu pour mon entreprise ?

Fortinet, Sophos et Stormshield s'efforcent de fournir des produits adaptés aux clients ayant des besoins très différents en matière de trafic et de protection des données. La série Fortigate peut couvrir la plupart des variantes, mais elle a tendance à être plus coûteuse, surtout si l'on se concentre sur les abonnements de service. Ceux-ci sont difficiles à éviter si la fonction de protection par pare-feu est recherchée à la fois sous forme de matériel et de logiciel et doit également être garantie par des mises à jour continues du firmware.

Sophos est probablement le meilleur "allrounder" si l'on considère l'étendue des fonctions et le rapport qualité-prix.

Les appareils Stormshield convainquent à leur tour par une fonction IPS imbattable et des certifications pertinentes.

Les petites entreprises et les indépendants n'auront guère besoin de plus que le modèle d'entrée de gamme, tandis que les moyennes entreprises choisiront quelque chose de plus adapté à leurs besoins, parmi les séries Fortigate 100 à 500 (Fortinet), SG 200 et 300 (Sophos) ou SN 300 à 700 (Stormshield). Outre le débit de données, il faut absolument tenir compte du nombre d'emplacements pour les participants au réseau câblé ou les clients WLAN.