Acheter un firewall, c’est bien. Le déployer parfaitement, c’est mieux. Reste qu’une erreur dans sa mise en place est vite arrivée et peut mettre en péril toute votre politique de sécurité. Création de la politique de sécurité, politique de nommage, mises à jour et cohérence des règles… Retour sur les erreurs les plus courantes et comment les éviter.
Piliers de la sécurité informatique, les firewalls sont au cœur de la sécurisation des réseaux IT face aux menaces cyber. Mais ces outils nécessitent d’être installés avec précaution. Retour sur les six erreurs à éviter dans leur déploiement.
Oublier de planifier
« Dans un contexte où un responsable informatique peut être amené à gérer une multitude de tâches, même le plus aguerri peut être distrait et faire une erreur dans la mise en place d’un firewall », expose d’emblée Quentin Tieghem, ingénieur avant-vente chez Stormshield. La clé pour y faire face ? « Planifier, pour ne rien oublier, mais aussi faciliter la gestion à plus long terme du firewall ». Concrètement, cartographier le trafic réseau à l'aide d'une matrice de flux est le point de départ pour penser les futures règles du firewall. « Identifier les flux du réseau est un travail important mais nécessaire. Il faut ensuite se demander comment positionner son firewall, quels éléments protéger ou non, s’interroger sur le niveau de segmentation nécessaire.» Pour f aciliter la mise en place du firewall, il faut donc penser les usages propres à l’entreprise, par exemple les besoins des salariés en télétravail, mais aussi savoir qui pourrait être amené à administrer le réseau. « La logique, précise Guillaume Boisseau, Manager Professional Services chez Stormshield, c’est de configurer d’abord de manière théorique puis de vérifier par la pratique la pertinence des règles mises en place ». Les règles d’un firewall étant amenées à évoluer en même temps que le réseau qu’il protège, Quentin Tieghem conseille d'anticiper les procédures de mise à jour avant même la mise en place du firewall. « Il faut dès le début écrire une procédure expliquant la mise en place du firewall, mais aussi comment le maintenir dans des conditions de fonctionnement optimal. »
Laisser la configuration par défaut
« L’une des erreurs les plus communes reste de ne pas configurer entièrement son firewall dès l’installation », poursuit Guillaume Boisseau. L’étape incontournable est de passer en revue les services configurés par défaut – ou désactiver ceux qui sont inutiles – et opter pour de nouveaux mots de passe les plus sécurisés possibles. « Une attention toute particulière doit être portée aux comptes administrateurs par défaut », insiste Quentin Tieghem, qui recommande de les configurer pour limiter les privilèges aux besoins spécifiques de chaque utilisateur. Autre erreur : laisser une règle active en pensant s’en occuper plus tard… et finalement la laisser de côté. « C’est courant et assez logique dans un métier où le rythme est souvent intense, reprend l’ingénieur. Face à cette situation, deux options : s’astreindre à aller immédiatement au bout de la démarche ou mettre en place dès la création un objet temps avec une date de fin de validité sur les règles ayant une durée de vie limitée ». Pensez aussi à désactiver ou configurer le protocole SNMP en fonction de vos besoins : il permet aux administrateurs réseau de gérer les équipements.
Négliger le nommage
Autre élément central pour Guillaume Boisseau : le nommage des réseaux et périphériques raccordés au firewall. « C’est une problématique qui revient très souvent. Mon conseil est toujours de coller aux règles déjà existantes. Si vous avez fait le travail de nommer vos serveurs avec un serveur DNS, utilisez le même nommage pour éviter les problèmes. » Il faut aussi être particulièrement attentif aux évolutions des activités au sein de l’entreprise. « L’exemple typique, explique-t-il, c’est celui d’un serveur qui a changé d’usage dans une entreprise, mais toujours identifié sur le réseau avec la même adresse IP. Le serveur a donc changé mais les règles du pare-feu n’ont pas évolué et ce serveur se retrouve avec des droits qu’il ne devrait pas avoir. »
Oublier que le pire peut arriver
Même l'infrastructure la plus solide peut subir une panne matérielle ou électrique. L’enjeu est alors de limiter les dégâts et de maintenir, du mieux possible, les services opérationnels. « Les firewalls sont souvent les nœuds de communication principaux dans le réseau IT d’une entreprise, reprend Quentin Tieghem. Il est capital de les intégrer dans le cadre du plan de reprise d'activité (PRA) et de continuité d'activité (PCA) et de calibrer cette intégration ». Le problème n’est évidemment pas le même si le firewall occupe une place centrale dans l’architecture de l’entreprise ou si son crash empêche uniquement quelques salariés d’avoir accès aux emails. « Il faut tester la mise en place des PRA et des PCA, en allant plus loin que la simple partie logiciel », précise Guillaume Boisseau avant de poursuivre : « Si on a un haut de niveau de disponibilité sur les équipements, c’est de s’assurer qu’il y a toujours un moyen de faire le relais. Il faut donc faire des sauvegardes régulières, mais surtout tester la bascule entre l’équipement principal et l’équipement de secours ». De la même manière, mettre en place dès le début un puits de log pourrait vous éviter plus tard bien des déconvenues.
Négliger le suivi des règles de filtrage
Changement dans le processus de production, développement du télétravail, lancement d’une activité nouvelle… Un firewall, sorte d'objet vivant, est logiquement amené à évoluer avec l’activité de l’entreprise. Le maintien en condition de sécurité (MCS) se pense encore une fois dès la mise en place du système. « Avec les firewalls qui sont de plus en plus souvent au cœur des réseaux, ne pas tenir à jour les règles expose logiquement l’infrastructure aux malwares et aux ransomwares mais aussi au jeune geek qui se lancera dans une attaque d’opportunité à l’aide d’un rootkit », rappelle Quentin Tieghem. Un risque face auquel l’ingénieur propose une stratégie simple : « consigner, tout consigner ». « Il faut avoir un historique clair des règles et de l’évolution de l'infrastructure, précise-t-il, pour ne pas se retrouver dans la situation d’un grand nombre de règles déployées sans aucun commentaire et donc sans qu’on sache à quoi elles servent ». L’utilisation d’outils d’audits va permettre de connaître précisément, de vérifier l’utilisation des règles et des objets et mettre en avant les procédures inutiles, mais ne suffira pas pour comprendre en détail le fonctionnement de l’infrastructure. « On peut tout à fait créer manuellement un fichier de suivi avec les règles ajoutées et conserver un historique méthodique de l’évolution du firewall », précise Guillaume Boisseau. Tenir ses règles à jour et être attentif au filtrage des IP et des URL devient beaucoup plus simple avec un tel travail d’archivage. « Il est très important, si l’entreprise fait appel à un prestataire, de demander des livrables permettant la traçabilité, enchaîne-t-il. Cette documentation, interne ou produite par une entreprise extérieure, facilite aussi la transmission en évitant que tout le savoir repose sur le même salarié. »
Mal organiser ses canaux d’informations
Enfin, qui dit MCS dit aussi Maintien en Condition Opérationnelle (MCO). « Il faut mettre à jour les signatures le plus souvent possible pour ne pas être vulnérable à de nouvelles attaques et penser à mettre à jour l’équipement en lui-même, qu’il soit toujours à jour des derniers patchs de maintenance et des plus récents éléments de sécurité », synthétise Quentin Tieghem. Les experts le répètent : anticiper est la clef pour éviter les manquements et alléger à long terme sa charge de travail. « Il faut penser, dès la mise en place, à s’abonner aux flux RSS et autres outils d’informations relatifs aux solutions qu’on utilise, relève Guillaume Boisseau. C’est la meilleure manière d’être averti au plus tôt des vulnérabilités repérées sur les briques logicielles qui composent le firewall et de rapidement installer les correctifs de bugs et des failles de sécurité qui en découlent ».
Une MCO qui s’accompagne aussi d’un travail de maintenance régulier de l'infrastructure, un sujet essentiel qui pourrait à lui seul faire l’objet d’un (autre) article.
