Pour le technicien qui intervient.
Les firewalls sont des cibles privilégiées : une CVE critique sur Fortinet, Palo Alto ou Check Point est exploitee massivement dans les heures qui suivent sa publication. Le guide d'hygiene ANSSI mesure 35 impose un patching rapide des équipements perimetriques. Souscrire aux alertes editeur, tester en préprod si possible, et appliquer en production sous 48 heures pour toute CVE de severite critique.
Un firewall UTM dont la souscription IPS, antivirus ou filtrage URL est expirée perd ses capacites de detection des menaces recentes. La directive NIS2 et le guide d'hygiene ANSSI imposent un maintien en condition de sécurité continu. Surveiller la date d'expiration de la licence et la renouveler au moins 30 jours avant echeance pour eviter toute coupure de protection.
L'interface d'administration d'un firewall ne doit jamais etre accessible directement depuis internet, meme en HTTPS avec mot de passe fort. Les attaques par force brute et exploitation de CVE sont permanentes. Restreindre l'acces aux adresses IP de confiance ou via VPN avec MFA. Tracer chaque connexion d'admin dans le SIEM.
Un firewall en simple équipement est un point unique de defaillance. Une panne materielle ou un redémarrage pour patch provoque une coupure totale de la sortie internet et des services publiés. Deployer une paire active/passive avec synchronisation des sessions permet un basculement transparent. Le surcout materiel est largement justifie pour toute organisation depassant 20 utilisateurs.
Un attaquant qui prend le contrôle d'un firewall efface ses traces. Envoyer les logs en temps reel vers un SIEM ou un collecteur syslog distant garantit la conservation des preuves. Cette pratique est exigée par ISO 27001 A.12.4 et le guide d'hygiene ANSSI mesure 38. La durée de retention minimale recommandee est de 12 mois.
Un firewall mal configuré est aussi dangereux qu'un firewall absent : les faux negatifs (menaces non bloquees) ou faux positifs (services casses) sont fréquents. Conserver au moins deux personnes formees a l'administration de l'équipement, ou souscrire un contrat de support avec engagement de délai. La directive NIS2 met l'accent sur la competence des equipes.
Pour le responsable / gestionnaire.
Un firewall UTM dont la souscription IPS, antivirus ou filtrage URL est expirée perd ses capacites de detection des menaces recentes. La directive NIS2 et le guide d'hygiene ANSSI imposent un maintien en condition de sécurité continu. Surveiller la date d'expiration de la licence et la renouveler au moins 30 jours avant echeance pour eviter toute coupure de protection.
Un firewall en simple équipement est un point unique de defaillance. Une panne materielle ou un redémarrage pour patch provoque une coupure totale de la sortie internet et des services publiés. Deployer une paire active/passive avec synchronisation des sessions permet un basculement transparent. Le surcout materiel est largement justifie pour toute organisation depassant 20 utilisateurs.
Un attaquant qui prend le contrôle d'un firewall efface ses traces. Envoyer les logs en temps reel vers un SIEM ou un collecteur syslog distant garantit la conservation des preuves. Cette pratique est exigée par ISO 27001 A.12.4 et le guide d'hygiene ANSSI mesure 38. La durée de retention minimale recommandee est de 12 mois.
Une règle de firewall sans justification documentée devient impossible a auditer ou a supprimer. ISO 27001 A.13.1 et le guide ANSSI imposent une revue périodique des règles. Pour chaque règle, consigner le proprietaire métier, la date de creation, la justification et la date de revue prevue. Supprimer les règles obsoletes lors de chaque revue trimestrielle.
Pour l'auditeur et le contrôle de conformité.
Un firewall UTM dont la souscription IPS, antivirus ou filtrage URL est expirée perd ses capacites de detection des menaces recentes. La directive NIS2 et le guide d'hygiene ANSSI imposent un maintien en condition de sécurité continu. Surveiller la date d'expiration de la licence et la renouveler au moins 30 jours avant echeance pour eviter toute coupure de protection.
L'interface d'administration d'un firewall ne doit jamais etre accessible directement depuis internet, meme en HTTPS avec mot de passe fort. Les attaques par force brute et exploitation de CVE sont permanentes. Restreindre l'acces aux adresses IP de confiance ou via VPN avec MFA. Tracer chaque connexion d'admin dans le SIEM.
Une règle de firewall sans justification documentée devient impossible a auditer ou a supprimer. ISO 27001 A.13.1 et le guide ANSSI imposent une revue périodique des règles. Pour chaque règle, consigner le proprietaire métier, la date de creation, la justification et la date de revue prevue. Supprimer les règles obsoletes lors de chaque revue trimestrielle.