LES PARE-FEU NOUVELLE

GÉNÉRATION PALO ALTO

NETWORKS AU SERVICE DE LA
SÉCURITÉ DE VOTRE ENTREPRISE
Adoptez facilement les dernières innovations, faites échec aux cyberattaques
et recentrez-vous sur l’essentiels

L’évolution rapide de l’informatique a redessiné les contours du réseau. Aujourd’hui,

les données sont partout. Les utilisateurs y accèdent en tout lieu et sur toutes
sortes de terminaux. Parallèlement, les équipes informatiques misent sur le cloud,
l’analytique et l’automatisation pour accélérer le déploiement de nouvelles
applications et stimuler la croissance de leur entreprise. Or, les cybermenaces
qui émergent de ces changements de fond mettent en lumière les lacunes des
technologies de sécurité d’ancienne génération, à l’image des systèmes de sécurité
réseau basés sur les ports ou des solutions disparates qui ne s’intègrent pas en
natif. Ces outils n’étant à l’origine pas conçus pour l’automatisation, ils exigent des
analystes de reconstituer eux-mêmes les pièces du puzzle avant de pouvoir agir.

Une nouvelle approche s’impose, à commencer par l’adoption des pare-feu

nouvelle génération (NGFW) de Palo Alto Networks® pour constituer l’ossature
d’une plateforme intégrée. Faciles à déployer et à exploiter, nos NGFW sont le
ciment d’une architecture résolument axée sur la prévention et l’automatisation.
Elle permet aux équipes de sécurité de se recentrer sur l’essentiel, tout en
favorisant l’adoption d’innovations.

Palo Alto Networks | Les pare-feu nouvelle génération Palo Alto Networks au service de la sécurité de votre entreprise | Livre blanc 1
Security Operating Platform : le fondement
Nos pare-feu nouvelle génération inspectent tout le trafic réseau (applications, menaces et contenus) et l’associent à
l’utilisateur concerné, peu importe le lieu ou le type de terminal utilisé. Triptyque essentiel au bon fonctionnement de votre
activité, les utilisateurs, les applications et les contenus deviennent partie intégrante de la politique de sécurité de votre
entreprise. Résultat : vous alignez votre sécurité sur vos politiques d’entreprise, tout en rédigeant des règles simples à
comprendre et à gérer.
Composante essentielle de notre Security Operating
Platform, nos NGFW offrent de nombreux avantages :
• Classification du trafic global, indépendamment
du port réseau, pour sécuriser les applications
(y compris en mode SaaS), les utilisateurs et les
contenus Utilisateur Application Contenu

• Exploitation d’un modèle de contrôle positif Déploiements flexibles pour une protection en tout lieu
(c.-à-d. n’autoriser que les applications nécessaires
et bloquer tout le reste) pour réduire le risque Gestion simple et homogène
d’attaque
• Application de politiques de sécurité destinées Figure 1 : Éléments clés de la sécurité réseau
à neutraliser les menaces connues (exploits, virus,
ransomware, spyware, botnets, etc.) et les malwares
inconnus utilisés dans le cadre de menaces APT (Advanced Persistant Threat)
• Segmentation des données et applications, et mise en œuvre du principe « Zero Trust » pour protéger les data centers
virtuels et physiques
• Sécurité homogène sur l’ensemble des environnements sur site et dans le cloud
• Extension de la Security Operating Platform aux services et aux utilisateurs mobiles, quel que soit le lieu de connexion
• Visibilité centralisée et rationalisation de la sécurité réseau pour placer d’énormes volumes de données au service de la
prévention
Nos NGFW s’articulent autour des fonctionnalités suivantes.

Zero Trust

Les modèles de sécurité traditionnels se basent sur le principe dépassé selon lequel tout ce qui se situe à l’intérieur d’un
réseau est digne de confiance. Ils ne font donc que sécuriser le périmètre du réseau, laissant libre cours aux intrus de compro­
mettre des données sensibles et stratégiques. À l’ère du numérique, la confiance n’est ni plus ni moins qu’un signe de faiblesse.

Résolument data-centrique, l’approche « Zero Trust » est une bonne pratique de cybersécurité qui ne laisse aucune place
à l’incertitude pour offrir une base de référence fiable. Autrement dit, plus question de considérer le moindre terminal,
système ou individu comme sûr. Une approche « Zero Trust » nécessite de 1) identifier les ressources et données à protéger ;
2) déterminer les accès aux données via un modèle du moindre privilège ; 3) définir des règles de sécurité qui reflètent votre
politique d’entreprise ; et 4) inspecter et journaliser tout le trafic.

Accès sécurisés des utilisateurs où qu’ils soient, inspection de tout le trafic, application du principe du moindre privilège
aux politiques d’accès, détection et prévention des menaces avancées... nos NGFW vous accompagnent à travers toutes ces
étapes. Ils vous permettent ainsi de réduire considérablement les possibilités d’accès à vos ressources critiques, que la menace
se situe à l’intérieur ou à l’extérieur de votre entreprise.

Identification des utilisateurs, protection des identités

Nos NGFW s’appuient sur la technologie User-ID™ pour identifier les utilisateurs où qu’ils se trouvent, indépendamment
du terminal et du système d’exploitation utilisés. L’activité des applications est ainsi analysée en fonction des utilisateurs
et groupes d’utilisateurs, et non des adresses IP, pour mieux aligner leur utilisation sur les exigences métiers. Idem pour la
définition des règles d’accès aux applications. Par exemple, vous pouvez décider de n’octroyer l’accès à certains outils (FTP,
Secure Shell, Telnet, etc.) qu’aux administrateurs informatiques. Les politiques de sécurité sont appliquées aux utilisateurs où
qu’ils soient (siège social, filiale ou domicile) et quel que soit l’appareil qu’ils utilisent. Vous pouvez aussi générer des rapports
personnalisés ou prédéfinis sur les activités des utilisateurs.
Cette approche souligne l’importance de bien protéger les identités des utilisateurs au-delà de simples rapports et politiques
de sécurité. Selon le rapport d’enquête Verizon® 2017 sur les compromissions de données, 81 % des tentatives de hacking
se basent sur des identifiants faibles ou volés1 pour accéder aux réseaux des entreprises et ainsi faire main basse sur des
données et applications vitales. Pour lutter contre les attaques par usurpation d’identifiants, nos NGFW :
• Bloquent les accès aux sites de phishing connus via PAN-DB (service URL Filtering) et les tentatives de vols d’identifiants
grâce à une Threat Intelligence actualisée toutes les 5 minutes
• Empêchent les utilisateurs de saisir leurs identifiants professionnels sur des sites inconnus pour bloquer les attaques
ciblées utilisant des sites de phishing encore inconnus

Palo Alto Networks | Les pare-feu nouvelle génération Palo Alto Networks au service de la sécurité de votre entreprise | Livre blanc 2
 • Permettent d’appliquer une authentification multi-facteur (MFA) à toutes les applications jugées sensibles, y compris les appli-
cations peu adaptées à la MFA. Grâce à ce mécanisme d’authentification supplémentaire, un attaquant en possession d’identi-
fiants volés ne pourra donc pas accéder à vos systèmes critiques. Ping Identity®, Okta®, RSA®, Duo Security... vous pouvez faire
appel au fournisseur MFA de votre choix pour offrir une expérience d’authentification homogène sur toutes les applications.

Sécurisation des applications

Les utilisateurs accèdent à différents types d’applications, y compris en mode SaaS (Software-as-a-Service). Certaines de
ces applications sont autorisées par votre entreprise, d’autres sont tolérées (bien que non essentielles à vos missions) et le
reste d’entre elles sont interdites en raison du risque qu’elles représentent. Intégrée à nos NGFW, la technologie App-ID™
identifie avec précision tout le trafic applicatif en transit sur le réseau, y compris les applications qui se font passer pour
du trafic autorisé, exploitent des ports dynamiques ou tentent de se dissimuler sous le voile du chiffrement. App-ID permet
de comprendre le mode de fonctionnement des applications (streaming vidéo vs. chat, upload vs. téléchargement, partage
d’écran vs. contrôle à distance, etc.) pour mieux en contrôler l’utilisation.
En ce sens, les caractéristiques des applications SaaS permettent de mieux en comprendre les modes d’utilisation. Ainsi,
parmi les applications SaaS accédées depuis votre entreprise, vous pouvez identifier celles ne disposant pas des certifications
requises ou ayant des antécédents de compromission. Vous pouvez alors autoriser les accès aux applications comme
Microsoft® Office 365® tout en bloquant les applications non-autorisées, notamment personnelles.
Chiffrement sécurisé du trafic sans compromis sur la confidentialité
Les utilisateurs passent plus de 80 % de leur temps sur des applications
et des sites web chiffrés. Malheureusement, ce qui était à l’origine
un instrument de sécurité permet aujourd’hui aux cybercriminels
de camoufler leurs attaques2. Temps passé sur des applications
et sites web chiffrés
Nos NGFW se basent sur des politiques définies pour aider les
professionnels de la sécurité à déchiffrer le trafic malveillant et prévenir
les menaces, tout en préservant la confidentialité des utilisateurs et les
niveaux de performances. Lorsqu’il s’agit de données sensibles (santé,
administration, défense, transactions commerciales, etc.), le trafic reste
chiffré. Vous pouvez également empêcher les utilisateurs d’accéder aux %age de pages %age de temps passé
sites web protégés par des certificats TLS auto-signés, douteux ou expirés, HTTPS chargées sur des pages HTTPS
ou encore des versions non-sécurisées du protocole TLS ou des suites de
cryptage faibles. Côté confidentialité, vous pouvez définir des politiques
d’exclusion et permettre aux utilisateurs de désactiver le déchiffrement Figure 2 : Augmentation du chiffrement du trafic web
de transactions susceptibles de contenir des données personnelles,
tandis que le reste du trafic peut être déchiffré et sécurisé.
Les modules de sécurité matériels (Hardware Security Modules, HSM) permettent une gestion sécurisée des clés numériques.
Quant à la technologie Perfect Forward Secrecy (confidentialité persistante), elle veille à ce que la compromission d’une
session chiffrée ne permette pas de compromettre de multiples autres sessions chiffrées.

Détection et prévention des menaces avancées

Aujourd’hui, la plupart des malwares, y compris certaines variantes de ransomware, exploitent des techniques avancées pour
contourner les outils et équipements de sécurité des réseaux. Les NGFW de Palo Alto Networks identifient ces techniques de
contournement et les bloquent au moyen de plusieurs leviers :
• La technologie Content-ID™ d’identification de contenu propose une approche innovante basée sur l’analyse complète
de tout le trafic autorisé. Elle s’appuie pour cela sur un moteur unifié intégrant de multiples technologies avancées de
prévention des menaces.
• Le service Palo Alto Networks Threat Prevention intervient en appui du NGFW pour fournir un système de prévention des
intrusions qui neutralise les exploits, les dépassements de tampon et les analyses de ports. Il permet également de déjouer
les méthodes d’obscurcissement et de contournement tout en protégeant le réseau contre les malwares et le trafic CnC.
• Notre service de filtrage des URL bloque les accès aux sites de phishing connus, tout en réduisant les risques associés aux
transferts non-autorisés de données et de fichiers.
• Le service WildFire® de prévention anti-malware utilise diverses méthodes d’analyse pour détecter les menaces
inconnues : analyse statique assistée par machine learning, analyse dynamique, analyse bare-metal, etc. Son architecture
cloud permet de détecter et prévenir les menaces sur la totalité du réseau, des terminaux et des clouds pour neutraliser
les menaces connues et inconnues.

Threat Intelligence partagée

Pour élargir au maximum leur visibilité sur le champ des menaces inconnues, les entreprises s’en remettent à de multiples
sources de Threat Intelligence. Cependant, elles peinent à agréger, corréler, valider et partager ces informations pour renforcer
la sécurité de leur réseau. Grâce à leur interopérabilité avec les autres éléments de la Security Operating Platform, nos NGFW
offrent davantage de contexte et une protection plus complète. WildFire exploite les données issues d’une communauté mondiale
pour détecter les menaces inconnues et les neutraliser automatiquement. Quant au service AutoFocus™ il permet d’agréger
et de contextualiser les données pour mieux attribuer les menaces et accélérer les interventions. Enfin, les fonctions d’analyse
comportementale de Magnifier™ détectent les menaces internes et fait remontrer ces informations à Wildfire.

Palo Alto Networks | Les pare-feu nouvelle génération Palo Alto Networks au service de la sécurité de votre entreprise | Livre blanc 3
Wildfire aide également NGFW à évaluer le trafic en analysant les menaces inconnues et en établissant une protection haute-
fidélité automatisée sur le cloud, le réseau et les terminaux en quelques minutes seulement.

Machine learning Analyse bare-metal

Analyse dynamique Décompression

</> dynamique

Analyse statique WF Profilage du

trafic réseau

Fichiers binaires Documents

JAR APK RTF DOC PDF XLSX Malware, WF-AV, URLs,

Protections
DLL ELF

DNS, Auto-C2

Inconnus
PKG DMG MACH-O PPT PPTX XLS DOCX

Flash Web Archive Toutes les 5 mins

FLASH SWF RTF RTF RTF RTF

VM- TR AP MG TP GP UF
Series

Intégrations Cyber threat Magnifier Threat Global URL

Pare-feu VM-Series Traps Aperture
de solutions alliance Prevention Protect Filtering
partenaires
Capteurs et points de contrôle

Figure 3 : Détection et prévention des nouvelles menaces avec Wildfire

Architecture single-pass
Si un fichier suspect est détecté par le NGFW ou
Face à une menace en perpétuelle évolution, une protection efficace passe
souvent par l’introduction de nouvelles fonctionnalités de sécurité. Conçus le terminal d’un client situé à Singapour, ce fichier
sur une architecture single-pass, les NGFW de Palo Alto Networks permet- est envoyé à WildFire pour un examen approfondi.
tent d’intégrer de nouvelles fonctionnalités en natif. Cette approche offre Les résultats de l’analyse, les recommandations de
un niveau de sécurité et d’ergonomie impossible à atteindre par la simple su- protection et autres conclusions sont automatique-
perposition de nouvelles fonctionnalités sur une architecture encore basée ment renvoyées au client de Singapour et aux autres
sur les ports, les protocoles et les adresses IP. Nos NGFW procèdent à une
clients WildFire à travers le monde.
inspection single-pass de tout le trafic, sur toute la stack et tous les ports. Ils
offrent ainsi un contexte complet autour de l’application, du contenu associé
et de l’identité des utilisateurs pour former la base de vos politiques de sécurité. Leur architecture nous permet d’intégrer de
nouvelles fonctionnalités en toute simplicité, ce que nous avons déjà fait avec WildFire et, plus récemment, avec Magnifier.

Déploiement flexible
Nos NGFW se déclinent en plusieurs formats :
• Matériel – Un condensé de puissance, d’intelligence, de simplicité et de polyvalence pour protéger les environnements
des entreprises et des fournisseurs de services dans les sièges sociaux, les data centers et les filiales.
• VM-Series – Notre pare-feu virtuel de nouvelle génération segmente les applications et prévient les menaces pour
protéger vos clouds privés et publics.
• GlobalProtect Cloud Service – Notre pare-feu nouvelle génération assure une sécurité opérationnelle depuis le cloud et
à l’échelle mondiale grâce à GlobalProtect™, notre système de sécurité réseau pour les terminaux.
Vous pouvez choisir une ou plusieurs de ces options, selon les exigences de chaque environnement, puis tout piloter en
central sur la console Panorama™, notre solution de gestion de la sécurité des réseaux.

Gestion de la sécurité des réseaux

Face à la complexité des environnements de sécurité actuels, les équipes de gestion informatique ont atteint un point de
rupture. C’est pourquoi la Security Operating Platform a été conçue dans une optique de simplification de la gestion de la
sécurité, mais aussi de visualisation et d’interaction avec les données. Les pare-feu individuels peuvent être gérés depuis une
interface web complète. Pour les déploiements à plus grand échelle, Panorama apporte non seulement une visibilité centrale,
mais permet aussi de modifier les politiques de sécurité et d’automatiser les actions de tous les pare-feu, quel que soit leur
format. Les deux interfaces sont identiques. Le cas échéant, le plugin Panorama Interconnect permet de relier plusieurs nœuds
Panorama pour centraliser la gestion des configurations et créer une vue unifiée sur des dizaines de milliers de pare-feu.

Palo Alto Networks | Les pare-feu nouvelle génération Palo Alto Networks au service de la sécurité de votre entreprise | Livre blanc 4
Associée au système de hiérarchisation des règles « avant » et « après » (Pre-rules et Post-rules), la fonction Panorama de
contrôle des accès basé sur les rôles apporte un juste équilibre entre une supervision centrale du réseau d’une part, et le
besoin de flexibilité dans la modification des politiques locales et la configuration des équipements d’autre part.
L’Application Command Center et les fonctions de gestion des journaux créent une vue unifiée et directement actionnable
sur de multiples équipements, quel que soit l’endroit où ils sont déployés. Enfin, la prise en charge d’outils standard comme
les API REST et le protocole SNMP facilite l’intégration aux outils de gestion tiers.

Reporting et journalisation
Pour identifier, investiguer et répondre aux incidents de sécurité, la Security Operating Platform repose sur trois piliers :
• La journalisation. Palo Alto Networks va bien au-delà des méthodes traditionnelles de traitement et de listage des
évènements. Graphiques, diagrammes, courbes des tendances... vous pouvez consulter les journaux sous divers formats
pour mieux interpréter les données du réseau. Le moteur de corrélation automatique élimine les tâches manuelles tout
en faisant apparaître des menaces qui passeraient autrement inaperçues dans la masse des alertes. Des critères de
filtrage vous permettent également de créer des workflows capables d’automatiser les actions sur la Security Operating
Platform ou des systèmes tiers. Enfin, vous avez la possibilité d’agréger les journaux sur site ou dans le Logging Service,
notre service de journalisation basé dans le cloud.
• Le reporting. Des rapports standard ou personnalisés vous permettent d’afficher les données sous la forme que vous
souhaitez. Tous les rapports sont exportables au format CSV et PDF et peuvent être envoyés par e-mail selon un
calendrier prédéfini.
• Traque des menaces. Grâce à un pool de Threat Intelligence issue de milliers d’entreprises, fournisseurs de services et
pouvoirs publics à l’échelle mondiale, AutoFocus offre une visibilité inégalée sur les menaces inconnues. Son intégration à
PAN-OS® accélère la traque et l’analyse des menaces sans aucune intervention de ressources et compétences spécialisées.

Pourquoi les NGFW de Palo Alto Networks ?

Nos NGFW ont une triple mission : 1) permettre à vos APPLICATIONS DE

utilisateurs d’accéder aux données et aux applications selon

APPLICATIONS PALO ALTO NETWORKS PARTENAIRES EXTERNES APPLICATIONS CLIENT

les exigences de l’entreprise ; 2) vous protéger des attaques

par vol d’identifiant ; et 3) prévenir les menaces connues et
inconnues, y compris dans le trafic chiffré. Leurs capacités SERVICES CLOUD DE SÉCURITÉ
d’automatisation vous permettent de gagner du temps
grâce à des règles de sécurité qui reflètent les politiques APPLICATION FRAMEWORK ET LOGGING SERVICE

de l’entreprise, s’adaptent à votre environnement dynamique

et déclenchent des actions automatiques. Disponibles au
format cloud, physique ou virtuel, nos NGFW sont pilotés SÉCURITÉ RÉSEAU ADVANCED ENDPOINT PROTECTION SÉCURITÉ DU CLOUD

en central depuis la console Panorama, garante d’une gestion

parfaitement homogène et maîtrisée.
Partie intégrante de la Security Operating Platform, Figure 4 : Security Operating Platform de Palo Alto Networks
les NGFW de Palo Alto Networks aident les entreprises à
s’approprier rapidement les solutions de sécurité intégrées en natif (WildFire, Magnifier, etc.), tout en partageant les données
et la Threat Intelligence à travers le cloud et les terminaux.
Plus de 54 000 entreprises dans plus de 150 pays font déjà confiance à notre architecture axée sur la prévention. Pour la
septième année consécutive, Gartner nous a classés dans la catégorie « Leader » de son Magic Quadrant® pour les pare-feu
de réseaux d’entreprise. Nous avons également reçu la mention « Recommandé » du NSS Labs, soit la plus haute distinction
décernée par le cabinet.
Quelques ressources utiles pour bien démarrer :
✓ Envie d’en savoir plus sur nos NGFW ? Rendez-vous sur la page sécurité réseau de notre site.
✓ Prêts à tester nos NGFW ? À vous de jouer.
✓V
 ous envisagez de mettre en place une architecture axée sur la prévention ? Procédez d’abord à un diagnostic de vos
capacités de prévention actuelles.
✓V
 ous souhaitez exploiter tous les avantages des outils et fonctionnalités nécessaires à la protection de votre entreprise ?
Demandez une évaluation de vos bonnes pratiques.

1. Verizon Communications. Rapport d’enquête sur les compromissions de données, 26 juillet 2017.
https://www.knowbe4.com/hubfs/rp_DBIR_2017_Report_execsummary_en_xg.pdf
2. Google, Inc. « Google Transparency Report: HTTPS encryption on the web », consulté le 6 septembre 2018.
https://transparencyreport.google.com/https/overview?hl=en

Palo Alto Networks
Oval Tower, De Entrée 99 -179
1101HE Amsterdam
The Netherlands
Tél : +31 20 888 1883
www.paloaltonetworks.fr
© 2018 Palo Alto Networks, Inc. Palo Alto Networks
est une marque déposée de Palo Alto Networks.
Pour une liste de nos marques commerciales, rendez-vous sur
https://www.paloaltonetworks.com/company/trademarks.html.
Toutes les autres marques mentionnées dans le présent document
peuvent être des marques commerciales de leurs détenteurs
respectifs. how-palo-alto-networks-next-generation-firewalls-
secure-your-businesswp-091718-FR