Toute entreprise connectée à internet a besoin d'un pare-feu. C'est pas un argument de vente — c'est la base de la sécurité réseau. Mais « pare-feu » est un terme utilisé de façon assez large, qui couvre autant le logiciel sur ton portable que des équipements d'entreprise à plusieurs dizaines de milliers de dollars. Comprendre ce que chaque type fait (et ne fait pas) t'aide à déterminer ce dont ton entreprise a vraiment besoin.

Ce qu'un pare-feu fait

Un pare-feu surveille le trafic réseau et décide ce qu'il laisse passer ou bloque selon un ensemble de règles. Le trafic circule dans deux directions — vers ton réseau depuis internet, et depuis ton réseau vers internet — et un pare-feu contrôle les deux.

Dans sa version la plus simple, un pare-feu bloque les connexions entrantes vers des services que t'as pas. Si ton entreprise n'a pas de serveur web public, il y a aucune raison que du trafic web entrant atteigne ton réseau interne. Le pare-feu fait respecter ça.

À un niveau plus sophistiqué, un pare-feu inspecte le contenu du trafic, pas juste son origine et sa destination. Il peut détecter des patterns associés à des attaques, bloquer des destinations malveillantes connues, appliquer des politiques sur ce que les utilisateurs internes peuvent accéder, et tout journaliser pour révision.

Les types de pare-feux

Les pare-feux à filtrage de paquets sont le type le plus ancien. Ils regardent l'adresse IP source et destination et le port de chaque paquet pour décider de le laisser passer ou le bloquer. Rapides et simples, mais ils n'inspectent pas le contenu du trafic — ils regardent l'enveloppe, pas ce qu'il y a dedans.

Les pare-feux à inspection d'état suivent l'état des connexions réseau. Ils savent si un paquet fait partie d'une connexion établie et légitime ou s'il est arrivé de nulle part. Ça attrape toute une gamme d'attaques que le filtrage de paquets rate, et c'est le minimum standard pour les réseaux d'entreprise.

Les pare-feux de nouvelle génération (NGFW) font tout ce que les pare-feux à inspection d'état font, plus l'inspection approfondie des paquets (regarder le contenu réel du trafic), la reconnaissance des applications (identifier quelle application génère le trafic, pas juste quel port elle utilise), la prévention des intrusions, l'inspection SSL/TLS, et l'intégration avec des flux de renseignements sur les menaces. C'est le standard pour une sécurité d'entreprise sérieuse.

Les pare-feux pour applications web (WAF) sont un type spécialisé conçu pour protéger les applications web. Si ton entreprise opère une application web accessible au public — un portail client, un site de commerce électronique, un système de réservation — un WAF se place devant et filtre les attaques web courantes comme l'injection SQL et les scripts intersites. Un pare-feu réseau ne fait pas ça.

Matériel vs. logiciel

La plupart des ordinateurs et serveurs viennent avec un pare-feu logiciel intégré — le Pare-feu Windows Defender, par exemple. Il offre une protection de base au niveau de l'appareil, filtrant le trafic vers et depuis cette machine spécifique.

Un pare-feu matériel (ou un appareil pare-feu dédié) se place au périmètre de ton réseau, entre ton réseau interne et internet. Il protège tous les appareils de ton réseau d'un coup, et peut faire une inspection plus sophistiquée parce que c'est du matériel dédié qui fait tourner un logiciel conçu pour ça.

Pour une entreprise, tu veux les deux : un pare-feu de périmètre qui protège le réseau, et des pare-feux logiciels sur les appareils individuels comme deuxième couche.

Ce qu'un pare-feu ne fait pas

C'est là que les entreprises se trompent. Un pare-feu est nécessaire mais pas suffisant.

Un pare-feu n'arrête pas les attaques de hameçonnage. Quand un employé clique sur un lien malveillant dans un courriel, cette connexion est initiée depuis l'intérieur de ton réseau — elle ressemble à du trafic sortant légitime pour le pare-feu.

Un pare-feu ne protège pas contre les identifiants compromis. Si un attaquant a un nom d'utilisateur et un mot de passe valides pour ton VPN ou ton système d'accès distant, il peut se connecter à travers le pare-feu de façon légitime.

Un pare-feu n'arrête pas les logiciels malveillants qui arrivent par clé USB, pièces jointes de courriel ouvertes sur un terminal, ou logiciels téléchargés et exécutés par les utilisateurs.

Un pare-feu ne remplace pas une sécurité des terminaux appropriée, la sécurité des courriels, l'authentification multifacteur, ou la formation des utilisateurs. C'est une couche dans une défense à plusieurs couches.

Ce dont la plupart des petites entreprises ont vraiment besoin

Pour une petite entreprise avec une configuration de bureau typique — quelques employés, un réseau local, Microsoft 365 ou Google Workspace, peut-être une application métier — le minimum devrait être :

Un pare-feu de nouvelle génération au périmètre réseau. Des fabricants comme Fortinet, Sophos et Cisco Meraki font des modèles adaptés aux environnements de petites entreprises. Ça tourne généralement entre 500 $ et 2 000 $ pour le matériel, plus les licences annuelles pour les mises à jour de renseignements sur les menaces.

Des pare-feux logiciels activés sur tous les terminaux. C'est déjà le défaut sur Windows et macOS — il faut juste s'assurer que ça n'a pas été désactivé.

Un service de pare-feu géré ou quelqu'un qui révise les journaux. Un pare-feu configuré puis jamais revu, c'est mieux que rien, mais pas de beaucoup. Les journaux du pare-feu montrent les tentatives d'attaques, les patterns de trafic inhabituels et les violations de politiques — cette information est utile seulement si quelqu'un la regarde.

Si ton entreprise a une application web accessible au public, ajoute un WAF à cette liste.

Télétravail et infonuagique

Si ton équipe travaille à distance ou utilise des services infonuagiques, le modèle traditionnel de pare-feu de périmètre doit être adapté. Quand les employés travaillent de la maison, ils sont en dehors de ton pare-feu de périmètre. Quand tes données vivent dans Microsoft 365 ou une application SaaS, elles sont en dehors aussi.

Ça a poussé beaucoup d'organisations vers des modèles de sécurité basés sur le nuage — où les contrôles de sécurité suivent l'utilisateur et les données, plutôt que de siéger au bord d'un réseau de bureau physique. Des outils comme les NGFW livrés par nuage (Fortinet, Palo Alto, Zscaler) et les solutions d'accès réseau à confiance zéro (ZTNA) gèrent ça.

Pour une petite entreprise, l'implication pratique : assure-toi que tes travailleurs à distance ont des pare-feux logiciels sur leurs appareils, utilise un VPN ou une solution d'accès à confiance zéro pour se connecter aux ressources internes, et vérifie que Microsoft 365 ou ta plateforme infonuagique a ses propres contrôles de sécurité activés — pas seulement le pare-feu réseau.

Comment évaluer ce que tu as en ce moment

Si t'es pas sûr de ce que ta protection pare-feu ressemble présentement, voici les questions à poser à ton équipe TI ou fournisseur :

Quel pare-feu protège le périmètre de notre réseau, et quand a-t-il été mis à jour pour la dernière fois ?
L'inspection approfondie des paquets et la prévention des intrusions sont-elles activées ?
Qui révise les journaux du pare-feu, et à quelle fréquence ?
Comment les travailleurs à distance sont-ils protégés quand ils sont hors du réseau du bureau ?
Avons-nous un WAF si on opère des applications web accessibles au public ?

Si les réponses sont vagues, c'est un signal qui mérite d'être pris au sérieux.

Qu'est-ce qu'un pare-feu et votre entreprise en a-t-elle besoin ?