Aller au contenu
Avanet
Mises à jour du pare-feu - ignorer n’est pas une option !

Mises à jour du pare-feu - ignorer n’est pas une option !

18. AVRIL 2016

« Never change a running system ». Vous n’imaginez pas combien de fois j’ai déjà entendu cette phrase ! En informatique, cette maxime n’a pourtant strictement rien à faire, et elle est surtout répétée par pure commodité. Nous avons tous déjà connu une mauvaise expérience après une mise à jour : plus rien ne fonctionnait, ou bien un problème était certes résolu, mais deux nouveaux apparaissaient. Et oui, cela peut parfois coûter cher, parce qu’il faut faire intervenir un professionnel.

Malgré tout, quelqu’un qui ne fait jamais de mises à jour sur son pare-feu n’a manifestement pas bien compris le principe même de la sécurité.

Dans cet article de blog, je vais aborder le sujet des « mises à jour sur la Sophos Firewall » et expliquer pourquoi elles sont si importantes.

Pourquoi les mises à jour sur la Sophos Firewall sont-elles si importantes ?

La réponse à cette question dépend évidemment beaucoup de ce que vous attendez de votre pare-feu. Je pars du principe que la plupart d’entre vous achètent ou utilisent un pare-feu pour protéger le réseau de l’entreprise ou du domicile contre les menaces provenant d’Internet. Il est donc essentiel de maintenir en permanence le logiciel du pare-feu à jour. De nouvelles vulnérabilités sont découvertes chaque jour ; votre pare-feu doit les connaître pour garantir cette fonction essentielle qu’est la protection. Un pare-feu vit de ses mises à jour !

Prenons un exemple concret. Voici le tableau de bord d’une Sophos SG 310.

Tableau de bord Sophos UTM 9 avec de nombreuses mises à jour

Les 23 mises à jour en rouge sautent littéralement aux yeux, non ? Observons maintenant à quel point un pare-feu dans cet état est crédible en tant que portier de votre réseau. Comme on peut le voir dans les « Version information », la version UTM 9.210-20 est actuellement installée. Il en découle les points suivants :

Et ce ne sont là que les menaces les plus graves et les plus importantes. Au total, plus de 3 500 modifications n’ont pas été appliquées sur le système de notre exemple. À cela s’ajoute le fait que la licence a expiré, ce qui a conduit le pare-feu à désactiver plusieurs mécanismes de sécurité et à ne plus recevoir de mises à jour de signatures de Sophos.

Les apparences sont trompeuses…

Vous vous dites peut‑être : « Qu’est-ce qu’il raconte avec ses mises à jour, mon système est à jour, toutes les mises à jour sont installées. Il ne peut rien m’arriver. » Mais si, chez vous, cela ressemble à la capture d’écran suivante, vous avez un tout autre type de problème. ;-)

Pour tous les lecteurs qui regardent maintenant la capture d’écran et ne voient pas très bien où je veux en venir, je vais l’expliquer brièvement. Nous voyons ici le tableau de bord d’un pare-feu Astaro (Astaro a été racheté en 2011 par Sophos). Le support de la version 7 de « Astaro Security Gateway » a déjà été arrêté le 31 décembre 2012. Cette version n’alertera donc plus jamais sur aucune mise à jour.

Tableau de bord Astaro v7

Je souhaite simplement souligner que, même lorsqu’un système ne reçoit plus de mises à jour, cela ne signifie en aucun cas qu’il est à jour.

Si, par exemple, Windows XP ne reçoit plus de mises à jour, ce n’est pas parce qu’il n’en a plus besoin, mais parce qu’il n’est officiellement plus supporté par Microsoft depuis le 8 avril 2014.

Les mises à jour ne font pas tout

Pour atteindre un niveau de protection réellement efficace avec un pare-feu, il faut d’une part que l’OS du pare-feu soit à jour et, d’autre part, que tous les correctifs de sécurité soient appliqués régulièrement. Mais cela ne suffit pas. La personne responsable d’un pare-feu doit également être capable de le configurer correctement. Cela ne sert à rien si les règles de filtrage définies pointent dans le vide ou si des fonctionnalités de sécurité essentielles ne sont pas activées. Il faut connaître toutes les fonctions du pare-feu, car une mauvaise configuration, ou une configuration erronée, peut également avoir un impact négatif sur le réseau.

Conclusion

J’espère qu’au vu de mes exemples, il est désormais clair pour chacun d’entre vous qu’un pare-feu sans mises à jour ne peut pas offrir une protection à jour. Configurer un pare-feu et le maintenir en permanence à son dernier niveau n’a rien d’une sinécure, même si Sophos tente de nous convaincre du contraire avec son slogan « Security made simple ». Le bouton d’update en 1‑Click est certes facile à actionner, mais cela ne garantit en rien que tout se déroule toujours sans accroc. Les mises à jour sont importantes, mais, pour l’administrateur, elles s’accompagnent dans la plupart des cas de travail supplémentaire. Il ne faut pourtant pas céder à la facilité : soit vous assumez vous‑même cette responsabilité, soit vous mandatez un professionnel.

Quiconque investit dans un pare-feu pour être protégé doit savoir que l’installation est loin de suffire. Un pare-feu nécessite une maintenance régulière. Il faut, de temps en temps, se connecter au système, appliquer les mises à jour, consulter les logs, lancer une analyse de menaces, etc.

Pour tous ceux qui ne souhaitent pas s’occuper eux‑mêmes de la mise en place et de la maintenance de leur Sophos Firewall, nous proposons des contrats de maintenance confortables. Ou bien vous souhaitez disposer d’une garantie que votre pare-feu est correctement configuré ? Sur demande, nous examinons volontiers votre pare-feu de plus près et le soumettons à un « Security Check ».

Patrizio

Patrizio

Patrizio est un specialiste reseau experimente, axe sur les firewalls Sophos, les switches et les points d'acces. Il accompagne les clients et les equipes IT dans la configuration, la migration et une segmentation reseau propre.