Le pare-feu ou firewall est une appellation désormais commune dans l’univers de l’informatique, qu’il soit professionnel ou grand public. Si dans le second cas, cette barrière de protection de l’ordinateur contre les agressions et les intrusions venues du réseau est généralement incluse dans une suite de sécurité, il en va tout autrement dans la sphère professionnelle où les informaticiens disposent de plusieurs types de solution. Cette diversité permet en particulier aux hébergeurs de proposer diverses stratégies de défense en fonction de la criticité de la machine et de l’application à protéger.

Éviter la propagation d’une menace selon des critères et des règles

La fonction du pare-feu est d’éviter la propagation d’une menace au delà d’une certaine limite. Cette limite peut se caractériser par un élément physique, un équipement (une appliance dans notre jargon) dont la seule et unique mission est de scruter les paquets de données entrant dans une zone dite de confiance, en vérifiant leur conformité selon une liste de critères ou de règles tenue à jour. Cette solution, parfaitement efficace, peut se révéler, difficile à gérer et finalement coûteuse dans les environnements informatiques complexes où pullulent des règles de sécurité parfois contradictoires.

Le recours à une solution de firewall virtuel est une approche séduisante, notamment pour un hébergeur qui doit, par définition, appliquer des protocoles sécuritaires imposés par ses divers clients. La création d’un portail de sécurité à l’entrée d’un environnement informatique virtualisé permet la création de nombreux “systèmes virtuels” dédiés à des applications spécifiques, une façon de répondre en termes appropriés à des contraintes sécuritaires particulières. Cette démarche implique une administration centralisée des procédures de sécurité, génératrice d’économies de matériel, de logiciel et de temps de travail.

Firewalls stateless, statefull ou applicatifs, une question de normes ?

Enfin, il faut noter qu’à côté des catégories classiques de firewall (sans état ou stateless qui inspecte les paquets par rapport à une liste de critères ; avec état ou statefull qui vérifie la conformité des paquets par rapport à une connexion d’origine ou de destination), existent des firewall applicatifs qui vérifient la conformité des paquets par rapport à un protocole attendu. C’est un outil de sécurité essentiel pour la protection contre les fraudes et vols de données sur le web, et un composant indispensable pour répondre aux exigences de la norme PCI DSS. Mais pour établir d’entrée de jeu une complète confiance avec ses clients, un hébergeur ne proposera que des solutions pare-feu agréées par un organisme de certification indépendant comme les laboratoires de l’ICSA (International Computer Security Association).