Retour au blog

Firewall NGFW : au-delà du simple filtrage de ports

Les pare-feux nouvelle génération inspectent le trafic au niveau applicatif pour une protection avancée contre les menaces modernes.

Firewall nouvelle génération NGFW protégeant une infrastructure réseau d'entreprise

Le pare-feu traditionnel, qui se contentait de filtrer le trafic par adresse IP et numéro de port, est devenu insuffisant face aux menaces modernes. Les attaquants utilisent des ports légitimes (80, 443), encapsulent des charges malveillantes dans du trafic HTTPS chiffré et exploitent des applications autorisées comme vecteurs d'intrusion. Le firewall nouvelle génération (NGFW) répond à ces défis en ajoutant l'inspection applicative, la prévention d'intrusion et l'analyse comportementale. Cet article décrypte le fonctionnement des NGFW, leurs fonctionnalités clés et les critères de choix pour votre entreprise.

Du filtrage de ports à l'inspection applicative

Un pare-feu classique (stateful firewall) examine les en-têtes des paquets : adresse IP source et destination, port TCP/UDP, état de la session. Il autorise ou bloque le trafic selon des règles prédéfinies. Le problème : en 2026, plus de 95 % du trafic web est chiffré en HTTPS (port 443). Un pare-feu classique ne voit qu'un flux chiffré vers le port 443 — impossible de distinguer une requête SharePoint légitime d'une exfiltration de données vers un serveur malveillant.

L'inspection applicative (DPI)

Le NGFW intègre un moteur de Deep Packet Inspection (DPI) capable d'identifier l'application réelle, indépendamment du port utilisé. Il reconnaît plus de 3 000 applications (Microsoft 365, Salesforce, Slack, BitTorrent, TeamViewer…) et permet de créer des règles granulaires : autoriser Teams mais bloquer les transferts de fichiers via WeTransfer, par exemple.

Le déchiffrement SSL/TLS

Pour inspecter le trafic HTTPS, le NGFW agit comme un proxy SSL : il déchiffre le flux, l'analyse, puis le rechiffre vers la destination. Cette fonctionnalité est essentielle mais consommatrice de ressources CPU. Vérifiez les performances de déchiffrement SSL de votre équipement — certains modèles voient leur débit divisé par trois ou quatre lorsque cette fonction est activée. La mise en place du chiffrement HTTPS sur vos propres services est complémentaire à cette inspection.

Les fonctionnalités clés d'un NGFW

IPS (Intrusion Prevention System)

Le système de prévention d'intrusion intégré analyse le trafic en temps réel à la recherche de signatures d'attaques connues et de comportements suspects. Contrairement à l'IDS (Intrusion Detection System) qui se contente d'alerter, l'IPS bloque automatiquement le trafic malveillant. Les bases de signatures sont mises à jour quotidiennement pour couvrir les dernières vulnérabilités (CVE).

Filtrage URL et catégorisation web

  • Catégorisation en temps réel : chaque URL est classifiée dans une catégorie (productivité, réseaux sociaux, contenu adulte, malware, phishing). Les politiques de filtrage s'appliquent par catégorie.
  • Listes de réputation : les domaines et IP malveillants connus sont bloqués avant même l'analyse de contenu.
  • SafeSearch forcé : possibilité de forcer le mode SafeSearch sur les moteurs de recherche pour les environnements sensibles.

Sandboxing

Les fichiers inconnus (pièces jointes, téléchargements) sont exécutés dans un environnement isolé (sandbox) avant d'être délivrés à l'utilisateur. Si le fichier déclenche un comportement malveillant (connexion à un serveur C2, modification du registre, chiffrement de fichiers), il est bloqué et une signature est automatiquement créée pour protéger l'ensemble du réseau.

UTM vs NGFW : quelle différence ?

Les termes UTM (Unified Threat Management) et NGFW sont souvent confondus. La distinction est devenue floue, mais historiquement :

  • UTM : boîtier tout-en-un intégrant pare-feu, antivirus, antispam, VPN, filtrage web et IPS. Conçu pour les PME, avec une interface de gestion unifiée mais des performances limitées lorsque toutes les fonctions sont activées simultanément.
  • NGFW : focalisé sur l'inspection applicative et l'IPS, avec des performances élevées même en inspection complète. Les NGFW modernes intègrent désormais la plupart des fonctions UTM, rendant la distinction théorique.

En pratique, pour une PME de moins de 200 postes, les gammes UTM/NGFW d'entrée de gamme de Fortinet (FortiGate), Sophos (XGS) ou WatchGuard couvrent l'ensemble des besoins. La sécurité DNS vient compléter la protection offerte par le NGFW en bloquant les menaces au niveau de la résolution de noms.

Dimensionner et déployer un NGFW

Critères de dimensionnement

  1. Débit firewall : le débit annoncé avec toutes les fonctions activées (IPS + DPI + SSL). Le débit « marketé » est souvent mesuré avec l'IPS désactivé.
  2. Nombre de sessions simultanées : chaque poste génère des centaines de sessions TCP. Prévoyez un minimum de 5 000 sessions par poste.
  3. Débit de déchiffrement SSL : le facteur le plus limitant en pratique. Un NGFW à 1 Gbit/s peut tomber à 300 Mbit/s en déchiffrement SSL complet.
  4. Nombre de règles de politique : des dizaines de règles complexes avec DPI ralentissent le traitement. Optimisez et simplifiez vos règles.

Bonnes pratiques de déploiement

Déployez le NGFW en mode transparent (bridge) dans un premier temps pour analyser le trafic sans impacter les utilisateurs. Affinez les règles, identifiez les faux positifs, puis passez en mode inline (blocage actif). Prévoyez une période de rodage de 2 à 4 semaines avant d'activer le blocage strict. Complétez la protection avec les réflexes essentiels de cybersécurité pour une défense en profondeur.

FAQ

Un NGFW remplace-t-il l'antivirus sur les postes de travail ?

Non. Le NGFW et l'antivirus endpoint (EDR) sont complémentaires. Le NGFW inspecte le trafic réseau tandis que l'antivirus protège le poste localement (clés USB, fichiers locaux, comportements applicatifs). Le NGFW ne voit pas le trafic qui ne traverse pas le périmètre réseau (poste connecté en VPN split-tunnel, réseau Wi-Fi externe). La stratégie de défense en profondeur impose les deux couches.

Le déchiffrement SSL pose-t-il des problèmes légaux ou de confidentialité ?

Le déchiffrement SSL par l'employeur est légal en France dans le cadre de la protection du système d'information, à condition que les collaborateurs en soient informés (charte informatique) et que certaines catégories soient exclues du déchiffrement (banque en ligne, santé, sites syndicaux). La CNIL recommande une approche proportionnée : ne déchiffrez que ce qui est nécessaire à la sécurité.

À quelle fréquence faut-il renouveler un NGFW ?

Les licences de sécurité (IPS, filtrage URL, sandboxing) sont renouvelées annuellement. Le matériel a une durée de vie de 5 à 7 ans, mais la croissance du trafic chiffré et l'augmentation des débits internet imposent souvent un renouvellement tous les 4 à 5 ans. Un NGFW qui n'est plus couvert par les mises à jour de signatures devient rapidement obsolète face aux nouvelles menaces.

Chez ACME, nous sélectionnons, dimensionnons et déployons des firewalls nouvelle génération adaptés à la taille et aux exigences de chaque entreprise. Notre service managé inclut la supervision 24/7, la mise à jour des signatures, l'analyse des journaux et l'optimisation continue des politiques de sécurité.