Sourcefire ajoute le pare-feu applicatif à ses IPS
Pas question de parler d’UTM - Unified Threat Management -, Sourcefire préfère le terme de Universal Network Security Plateforme. De fait, à défaut d’offrir toutes les fonctionnalités d’une appliance de gestion unifiée des menaces, l’équipementier se concentre sur la production de solutions combinées de prévention des intrusions et de pare-feu, avec une dose d’intelligence dans la gestion des règles de filtrage.
Il est bien question de «prévention des menaces». Mais Sourcefire ne vise que la prévention des intrusions (IPS) et le filtrage applicatif ciblé. Surtout, pour l’équipementier, il n’est pas question de filtrer brutalement, aveuglément. Comme l’explique Cyril Badeau, directeur Europe du Sud de Sourcefire, il s’agit de «protéger par application et par groupes d’utilisateurs, pas seulement par port.»
Le pare-feu de nouvelle génération présenté aujourd’hui par Sourcefire combine ainsi fonctions de pare-feu et fonction d’IPS. Mais il s’appuie les fonctionnalités RNA de l’équipementier pour ce faire : «RNA nous permet de cartographier le réseau protégé pour adapter les règles de filtrage à l’environnement visé, suivant le système d’exploitation, son niveau de mise à jour, les exploits connus pour la plateforme, etc.»
En ajoutant une couche de pare-feu applicatif, Sourcefire va un cran plus loin : «on complète l’IPS par le contrôle applicatif,» explique Cyril Badeau. Et d’expliquer la subtilité : «en général, le déploiement d’un pare-feu applicatif est une grande source de satisfaction en entreprise car les responsables du réseau et de sa sécurité ont le sentiment de retrouver la vue sur ce qui se passe sur le réseau. Mais cela n’avance pas beaucoup. Car le pare-feu applicatif conventionnel se contente de permettre de bloquer des applications, d’opérer un filtrage.» Sourcefire entend donc ici faire profiter le pare-feu applicatif du savoir spécifique à l’environnement acquis par la technologie RNA de son IPS : «on récupère la cartographie du risque dans l’environnement de l’IPS pour faire du contrôle applicatif intelligent.»
Cette brique est toutefois proposée sous la forme d’une option par Sourcefire : un surcoût de 10 % sur le prix nominal des appliances de l’équipementier. Et ce n’est pas négligeable : à titre indicatif, une appliance 10 Gbps est facturée près de 190 000 euros.
Mais Cyril Badeau explique cibler une clientèle spécifique, qui soit est suffisamment importante pour disposer de son propre centre de supervision de la sécurité, soit est dotée de ressources qui lui permettent de surveiller son réseau et d’engager des coûts d’exploitation sur la sécurité : «nos client ne font pas de concessions sur la sécurité. Cela implique de l’exploitation. Mais nos outils sont conçus pour la minimiser et ne remonter que les alertes pertinentes, selon le contexte.»