Le firewall est souvent présenté comme une simple barrière entre Internet et le réseau interne. Dans la pratique, son efficacité dépend moins de sa présence que de la qualité des règles qui le traversent. Une PME peut disposer d'un bon équipement et rester pourtant mal protégée si les règles sont trop larges, trop anciennes ou mal documentées.
Le sujet n'est donc pas d'accumuler des dizaines de règles. Le sujet est de construire un petit nombre de règles lisibles, cohérentes et adaptées aux flux réellement nécessaires.
Le problème réel
Dans beaucoup de petites et moyennes structures, la politique firewall grandit par empilement. Un besoin apparaît, une ouverture est demandée, une règle est ajoutée. Quelques mois plus tard, plus personne ne sait vraiment pourquoi cette règle existe encore, à quel service elle correspond ou si elle reste utile.
Cette dérive est classique. Elle affaiblit la sécurité, mais elle complique aussi l'exploitation. Plus le jeu de règles devient opaque, plus le diagnostic réseau, la reprise d'incident et l'audit deviennent difficiles.
Ce qu'un firewall doit faire en priorité
Le guide de filtrage de l'ANSSI et les bonnes pratiques NIST convergent sur un point central. Une politique de filtrage doit d'abord reposer sur le principe du moindre accès. Un flux doit être autorisé parce qu'il est nécessaire, identifié et compris. Il ne doit pas être autorisé par défaut sous prétexte qu'il pourrait servir un jour.
Dans une PME, cela conduit généralement à quatre objectifs.
Contrôler les flux entrants
Les flux provenant d'Internet vers le réseau interne doivent être limités au strict nécessaire. Publication d'un VPN, d'un portail sécurisé, d'un service web ou d'une passerelle spécifique. Rien de plus.
Contrôler les flux sortants
Les flux du réseau interne vers Internet doivent rester lisibles. Navigation web, mises à jour, services cloud légitimes, DNS, NTP, sauvegardes externalisées. Une politique sortante totalement ouverte simplifie le quotidien à court terme, mais dégrade rapidement la visibilité.
Isoler les zones internes
Le firewall n'est pas utile uniquement sur le bord Internet. Il devient très pertinent entre les zones internes. Utilisateurs, serveurs, Wi Fi invité, équipements IoT, réseau d'administration. Cette séparation limite les mouvements latéraux et clarifie les dépendances.
Produire des traces exploitables
Une règle firewall ne sert pas seulement à autoriser ou bloquer. Elle sert aussi à laisser des traces lisibles sur les flux importants. Sans journalisation minimale, le firewall reste difficile à auditer et peu utile en investigation.
Les règles minimales à mettre en place
Une PME n'a pas besoin d'une politique énorme pour franchir un cap sérieux. Une base simple peut déjà produire beaucoup de valeur.
1. Politique implicite de refus
La base consiste à refuser ce qui n'est pas explicitement autorisé. C'est le socle logique d'une politique lisible. Toute exception devient alors visible et justifiée.
2. Autoriser la navigation sortante utile
HTTPS sortant, DNS vers les résolveurs autorisés, NTP vers les serveurs d'heure retenus, mises à jour système et accès nécessaires aux outils métiers. L'intérêt n'est pas d'ouvrir largement. L'intérêt est de documenter ce qui est attendu.
3. Limiter les flux entrants à quelques usages identifiés
Si un accès externe est nécessaire, il doit être nommé. VPN, reverse proxy, portail extranet, application exposée. Une règle générique du type any to internal network ne devrait jamais exister sur un environnement PME correctement cadré.
4. Isoler le réseau invité
Le Wi Fi invité ne devrait pas voir les serveurs, le réseau bureautique ou les équipements d'administration. C'est l'un des gains les plus simples à obtenir quand un firewall est couplé à une segmentation VLAN.
5. Isoler le réseau d'administration
Les interfaces d'administration des switchs, firewalls, bornes et hyperviseurs ne devraient être accessibles que depuis quelques postes ou sous-réseaux prévus à cet effet.
6. Filtrer les accès inter-zones internes
Le réseau utilisateurs n'a pas besoin d'accéder librement à tout le réseau serveurs. Les équipements IoT n'ont pas besoin d'atteindre les postes utilisateurs. Le principe est simple. Chaque zone ne voit que ce qui lui est utile.
7. Journaliser les règles sensibles
Accès VPN, refus sur les zones critiques, flux inter-VLAN importants, publications de services. Ces éléments doivent produire des logs exploitables sans noyer l'équipe sous un bruit inutile.
Un schéma simple de lecture
Internet
|
Firewall
/ | \
VPN Users Guest Wi-Fi
|
Servers
|
Admin zone
Ce type de représentation ne décrit pas tous les détails techniques. Il permet en revanche de lire rapidement quelles zones existent et quels flux méritent d'être filtrés avec le plus d'attention.
Une matrice minimale utile
| Source | Destination | Action | Commentaire |
|---|---|---|---|
| Users | Internet | Autoriser | HTTPS, DNS, NTP, services utiles |
| Guest Wi-Fi | Internet | Autoriser | Pas d'accès interne |
| Guest Wi-Fi | Internal LAN | Refuser | Isolement strict |
| Users | Servers | Limiter | Uniquement les ports nécessaires |
| Admin zone | Network devices | Autoriser | Administration dédiée |
| Internet | VPN gateway | Autoriser | Publication identifiée |
| Internet | Internal LAN | Refuser | Refus par défaut |
Cette matrice suffit déjà à structurer une petite politique de filtrage sans noyer l'exploitation dans une complexité inutile.
Les erreurs fréquentes
Ouvrir large pour aller vite
Une règle large règle un besoin immédiat, mais crée souvent une dette durable. Ce qui n'est pas cadré au moment de l'ouverture doit être réexaminé très vite, sinon la règle devient une habitude invisible.
Ne jamais nettoyer les règles anciennes
Un jeu de règles non revu finit par accumuler des exceptions devenues inutiles. Ce point est classique après migration, changement de logiciel ou remplacement d'équipement.
Confondre publication et sécurité
Publier un service derrière un firewall ne signifie pas que ce service est bien protégé. La qualité de l'authentification, la mise à jour de l'application, le durcissement du serveur et la surveillance des journaux restent indispensables.
Oublier l'interne
Le firewall est souvent pensé comme une frontière Internet. Dans beaucoup de contextes PME, les gains les plus utiles apparaissent au contraire dans le filtrage entre zones internes.
Ce que cela change concrètement
Une politique firewall minimaliste mais propre améliore à la fois la sécurité et la lisibilité du système. Les flux critiques sont plus faciles à comprendre, les écarts plus faciles à repérer et les besoins de reprise plus simples à cadrer.
Elle rend aussi le réseau plus maintenable. Un firewall bien tenu ne sert pas seulement à bloquer. Il sert à documenter implicitement la manière dont le système d'information fonctionne. C'est dans cette logique qu'un prestataire comme Initial Infrastructures peut apporter de la valeur, non pas en ajoutant des couches de complexité, mais en rendant les règles, les zones et les dépendances plus explicites dans le temps.
Sources
- ANSSI Recommandations pour la définition d'une politique de filtrage réseau pare-feu
- CIS Controls v8 Safeguards and Implementation Groups
- NIST SP 800-41 Rev. 1 Guidelines on Firewalls and Firewall Policy
- Fortinet Firewall Rules Overview
Sources
Accompagnement disponible sur ce sujet
Initial Infrastructures intervient sur l'ensemble de ces problématiques pour les PME et ETI. Un échange court permet d'identifier les priorités et le bon niveau d'intervention.