Kecvn : Publication via Quaero Hub

2026-06-05T09:09:31Z

Publication via Quaero Hub

← Version précédente		Version du 5 juin 2026 à 05:09
Ligne 136 :		Ligne 136 :
	* [[Audit de cybersécurité]]		* [[Audit de cybersécurité]]
	* [[Gestion des identités et des accès]]		* [[Gestion des identités et des accès]]

			[[Catégorie:Cybersécurité]]

Kecvn : Publication via Quaero Hub

2026-06-05T07:26:57Z

Publication via Quaero Hub

← Version précédente		Version du 5 juin 2026 à 03:26
Ligne 7 :		Ligne 7 :
	En 1992, Bob Braden et Annette DeSchon, du USC Information Sciences Institute, développent le premier pare-feu à inspection à état (''stateful inspection''). Check Point Software Technologies commercialise en 1994 ''FireWall-1'', qui popularise cette technologie et s'impose pendant une décennie comme référence du marché. Cisco Systems lance la gamme PIX (''Private Internet Exchange'') en 1995.		En 1992, Bob Braden et Annette DeSchon, du USC Information Sciences Institute, développent le premier pare-feu à inspection à état (''stateful inspection''). Check Point Software Technologies commercialise en 1994 ''FireWall-1'', qui popularise cette technologie et s'impose pendant une décennie comme référence du marché. Cisco Systems lance la gamme PIX (''Private Internet Exchange'') en 1995.

	L'émergence du Web dynamique dans les années 2000 rend insuffisant le filtrage traditionnel basé sur les ports et adresses IP. Les éditeurs développent alors les pare-feu applicatifs (''Web Application Firewalls'', WAF), capables d'analyser le contenu des requêtes HTTP/HTTPS. La décennie 2010 voit l'émergence des ''Next-Generation Firewalls'' (NGFW), intégrant inspection SSL, identification des applications et moteurs de ~~[[Détection d'intrusion\|~~détection d'intrusion]] dans un équipement unique.		L'émergence du Web dynamique dans les années 2000 rend insuffisant le filtrage traditionnel basé sur les ports et adresses IP. Les éditeurs développent alors les pare-feu applicatifs (''Web Application Firewalls'', WAF), capables d'analyser le contenu des requêtes HTTP/HTTPS. La décennie 2010 voit l'émergence des ''Next-Generation Firewalls'' (NGFW), intégrant inspection SSL, identification des applications et moteurs de détection d'intrusion dans un équipement unique.

	== Fonctionnement technique ==		== Fonctionnement technique ==
Ligne 124 :		Ligne 124 :

	* [[Cybersécurité]]		* [[Cybersécurité]]
	* [[Détection d'intrusion]]		* Détection d'intrusion
	* [[Vulnérabilité informatique]]		* [[Vulnérabilité informatique]]
	* [[Modèle Zero Trust]]		* [[Modèle Zero Trust]]

Kecvn : Publication via Quaero Hub

2026-06-04T11:22:00Z

Publication via Quaero Hub

Nouvelle page

Un '''pare-feu''' (de l'anglais ''firewall'') est un dispositif de [[Cybersécurité|cybersécurité]] — logiciel, matériel ou combinaison des deux — chargé de contrôler les flux de données entrants et sortants d'un [[Réseau informatique|réseau]] ou d'un système en appliquant un ensemble de règles prédéfinies. Il constitue une barrière entre un réseau de confiance (réseau interne, LAN) et des réseaux non fiables tels qu'Internet, en autorisant ou bloquant les communications selon des critères configurés par l'administrateur. Standardisé à partir de la fin des années 1980, le pare-feu est aujourd'hui déployé dans la quasi-totalité des infrastructures numériques, des postes individuels aux datacenters des grandes entreprises.

== Histoire et évolution ==

Les premiers mécanismes de filtrage réseau apparaissent en 1988, lorsque Digital Equipment Corporation (DEC) développe les premiers filtres de paquets dans le cadre du projet SEAL. En 1989, les chercheurs de Bell Laboratories Dave Presotto et Howard Trickey introduisent le concept de ''circuit-level gateway'', ancêtre de l'inspection à état. La même année, Bill Cheswick et Steven Bellovin publient des travaux fondateurs sur la sécurité des réseaux qui posent les bases théoriques des pare-feu de troisième génération.

En 1992, Bob Braden et Annette DeSchon, du USC Information Sciences Institute, développent le premier pare-feu à inspection à état (''stateful inspection''). Check Point Software Technologies commercialise en 1994 ''FireWall-1'', qui popularise cette technologie et s'impose pendant une décennie comme référence du marché. Cisco Systems lance la gamme PIX (''Private Internet Exchange'') en 1995.

L'émergence du Web dynamique dans les années 2000 rend insuffisant le filtrage traditionnel basé sur les ports et adresses IP. Les éditeurs développent alors les pare-feu applicatifs (''Web Application Firewalls'', WAF), capables d'analyser le contenu des requêtes HTTP/HTTPS. La décennie 2010 voit l'émergence des ''Next-Generation Firewalls'' (NGFW), intégrant inspection SSL, identification des applications et moteurs de [[Détection d'intrusion|détection d'intrusion]] dans un équipement unique.

== Fonctionnement technique ==

=== Filtrage par paquets ===

Le filtrage par paquets (''packet filtering'') constitue la forme la plus élémentaire de pare-feu. Il analyse chaque paquet [[Protocole TCP/IP|TCP/IP]] de manière indépendante selon des critères définis dans une liste de contrôle d'accès (ACL) : adresse IP source, adresse IP destination, port source, port destination et protocole de transport (TCP, UDP, ICMP). L'action appliquée est soit ''ACCEPT'' (autoriser le passage), soit ''DROP'' (bloquer silencieusement), soit ''REJECT'' (bloquer avec notification à l'émetteur).

Cette approche présente l'avantage d'une latence très faible — de l'ordre de quelques microsecondes — mais son incapacité à mémoriser l'état des connexions la rend vulnérable à des techniques comme l'usurpation d'adresse IP (''IP spoofing'') ou les attaques par fragmentation de paquets.

=== Inspection à état (stateful inspection) ===

L'inspection à état maintient une table d'état (''state table'') recensant toutes les connexions réseau actives. Pour chaque paquet entrant, le pare-feu vérifie s'il appartient à une session TCP déjà établie, en cours d'établissement ou attendue en réponse à une requête légitime. Les paquets qui ne correspondent à aucune session connue sont rejetés, même si leurs attributs réseau seraient autorisés par les règles statiques.

Cette méthode réduit sensiblement la surface d'[[Cyberattaque|attaque]] face aux techniques de balayage de ports (''port scanning'') et aux tentatives de connexion non sollicitées. Elle constitue le socle de la grande majorité des pare-feu déployés en production.

=== Filtrage applicatif (couche 7 du modèle OSI) ===

Le filtrage en couche applicative reconstitue les flux protocolaires complets — HTTP, FTP, DNS, SMTP — pour en analyser le contenu sémantique. Un pare-feu applicatif peut ainsi détecter des injections SQL, des attaques de type XSS (''cross-site scripting'') ou des tentatives d'exploitation de [[Vulnérabilité informatique|vulnérabilités]] connues, indépendamment du port réseau utilisé.

Les WAF sont une spécialisation de cette catégorie, positionnés en coupure devant des serveurs web ou des API REST. Ils s'appuient sur des signatures d'attaques régulièrement mises à jour (bases de données OWASP, référentiel CVE) et, pour les solutions modernes, sur des modèles d'[[Intelligence artificielle en cybersécurité|intelligence artificielle]] capables de détecter des comportements anormaux sans signature préalable.

== Types de pare-feu ==

=== Pare-feu réseau matériel ===

Le pare-feu réseau est un équipement dédié placé en coupure entre deux segments réseau, typiquement entre Internet et le réseau interne d'une organisation. Les principaux acteurs du marché en 2024 sont Fortinet (FortiGate), Palo Alto Networks, Check Point, Cisco (gammes ASA et Firepower) et Juniper Networks (SRX). Ces équipements traitent des débits allant de quelques centaines de mégabits par seconde pour les modèles d'entrée de gamme jusqu'à plusieurs centaines de gigabits par seconde pour les boîtiers destinés aux opérateurs télécoms.

La configuration repose sur des zones de sécurité distinctes : la zone LAN (réseau interne de confiance), la zone WAN (Internet) et, fréquemment, une [[DMZ (informatique)|DMZ]] (''Demilitarized Zone'') hébergeant les serveurs accessibles depuis l'extérieur — serveurs web, messagerie, serveurs DNS publics. Les règles de filtrage définissent les flux autorisés entre ces zones selon le principe du moindre privilège.

=== Pare-feu personnel (host-based) ===

Un pare-feu personnel est un logiciel installé directement sur le poste de travail ou le serveur qu'il protège. Il contrôle les connexions émises et reçues par l'hôte lui-même, indépendamment du pare-feu périmétrique d'entreprise. Sous Windows, ce composant est intégré nativement depuis Windows XP SP2 (2004) ; sous Linux, ''iptables'' (disponible depuis le noyau 2.4) et son successeur ''nftables'' (noyau 3.13, 2014) assurent cette fonction à travers le sous-système Netfilter.

Le pare-feu personnel est particulièrement utile dans les architectures à modèle [[Modèle Zero Trust|Zero Trust]], où chaque hôte est traité comme potentiellement compromis, et dans les contextes de télétravail où l'ordinateur portable se connecte à des réseaux non maîtrisés (Wi-Fi public, réseau domestique).

=== Next-Generation Firewall (NGFW) ===

Le NGFW intègre dans un équipement unique le filtrage traditionnel, l'inspection à état, la reconnaissance des applications (''application awareness''), l'inspection SSL/TLS déchiffrée, le filtrage URL par catégories, la prévention d'intrusion (IPS) et souvent un agent d'[[Authentification multifacteur|authentification]] permettant d'appliquer des politiques de sécurité par identité utilisateur plutôt que par adresse IP seule. Gartner a formalisé cette catégorie en 2009 dans son rapport ''Defining the Next-Generation Firewall''.

Selon le Magic Quadrant for Network Firewalls de Gartner 2023, Palo Alto Networks, Fortinet et Check Point dominent le segment des NGFW pour les entreprises de taille intermédiaire et les grands comptes.

=== Pare-feu cloud et FWaaS ===

Le ''Firewall as a Service'' (FWaaS) est une architecture dans laquelle les fonctions de pare-feu sont hébergées et opérées par un prestataire cloud, sans équipement physique à déployer sur site. Cette approche s'inscrit dans le modèle SASE (''Secure Access Service Edge''), qui converge réseau et sécurité dans un service distribué mondialement. Elle répond à la dissolution du périmètre réseau traditionnel consécutive à l'adoption massive du [[Sécurité du cloud|cloud]] et à la généralisation du travail à distance.

Les solutions natives des hyperscalers — AWS Security Groups, Azure Firewall, Google Cloud Firewall — offrent des fonctions de filtrage intégrées directement dans l'infrastructure cloud, facturées à la consommation.

== Règles et politiques de filtrage ==

Une politique de filtrage repose sur deux philosophies opposées :
* '''Politique permissive par défaut''' (''default allow'') : tout flux est autorisé sauf ce qui est explicitement interdit par une règle. Adaptée aux phases de migration ou aux environnements peu sensibles, elle est déconseillée pour les systèmes critiques.
* '''Politique restrictive par défaut''' (''default deny'') : tout flux est bloqué sauf ce qui est explicitement autorisé. Recommandée par l'[[ANSSI]] dans ses guides de sécurité réseau et conforme aux exigences de la [[Directive NIS2|directive NIS2]] pour les entités essentielles et importantes.

Les règles de filtrage sont évaluées séquentiellement : la première règle correspondant au paquet s'applique. L'ordre est donc critique — une règle trop permissive placée avant une règle restrictive annule l'effet de cette dernière. Les bonnes pratiques préconisent en outre une révision périodique pour supprimer les règles obsolètes (phénomène de ''rule decay'') et réduire ainsi la surface d'exposition.

Les règles peuvent être organisées sous forme de tableau récapitulatif :

{| class="wikitable"
|-
! Critère !! Valeurs possibles !! Exemple d'application
|-
| Adresse IP source || Adresse unique, plage CIDR, groupe || 192.168.1.0/24 (LAN interne)
|-
| Adresse IP destination || Idem || 0.0.0.0/0 (tout Internet)
|-
| Port destination || Numéro (0–65535), plage || 443 (HTTPS), 80 (HTTP)
|-
| Protocole || TCP, UDP, ICMP, ESP... || TCP
|-
| Action || ACCEPT, DROP, REJECT || DROP
|}

== Journalisation et supervision ==

Chaque événement de filtrage — connexion autorisée, connexion refusée, tentative d'intrusion — peut être enregistré dans des journaux structurés (''logs'') horodatés. Ces journaux sont transmis à un système [[SIEM (informatique)|SIEM]] (''Security Information and Event Management'') qui les corrèle avec d'autres sources de sécurité pour détecter des comportements suspects ou des incidents en cours.

La supervision des règles de pare-feu s'intègre dans le processus d'[[Audit de cybersécurité|audit de cybersécurité]] de l'organisation. Un [[Test d'intrusion|test d'intrusion]] (''pentest'') inclut systématiquement une phase de vérification de la configuration du pare-feu pour identifier des règles trop larges, des ports superflus exposés ou des contournements possibles via des protocoles autorisés.

== Limites et complémentarité ==

Un pare-feu seul ne suffit pas à assurer la sécurité complète d'un système d'information. Ses limites principales sont :
* Il ne protège pas contre les attaques exploitant des flux autorisés : un message de [[Hameçonnage|hameçonnage]] ou un fichier infecté transportant un [[Ransomware|ransomware]] peut traverser un pare-feu correctement configuré si le protocole SMTP ou HTTPS est autorisé.
* Il est inefficace face aux menaces internes (utilisateur malveillant disposant d'un accès légitime au réseau interne).
* Le chiffrement généralisé TLS 1.3 complique l'inspection profonde des paquets (DPI), même si les NGFW effectuent une terminaison SSL pour analyser le trafic déchiffré avant de le re-chiffrer.
* Il ne remplace pas le [[Chiffrement des données|chiffrement des données]] au repos ni les solutions de type [[VPN (réseau privé virtuel)|VPN]] pour la protection des communications en transit sur des réseaux non maîtrisés.
* Il n'empêche pas les attaques par [[Ingénierie sociale|ingénierie sociale]] qui contournent les dispositifs techniques en ciblant les utilisateurs.

La [[Cybersécurité des PME|cybersécurité des PME]] repose souvent sur des boîtiers UTM (''Unified Threat Management'') combinant pare-feu, antivirus réseau, filtrage web et IPS dans un équipement unique, au prix d'une complexité d'administration accrue et d'un risque de point de défaillance unique.

== Aspects réglementaires et normatifs ==

La [[Directive NIS2|directive NIS2]] (UE 2022/2555), dont la transposition en droit français est effective depuis avril 2024, impose aux opérateurs d'entités essentielles et importantes de mettre en œuvre des mesures de sécurité réseau incluant explicitement le filtrage des flux. Le non-respect expose à des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel pour les entités essentielles.

Le référentiel ISO/IEC 27001 (version 2022, contrôle 8.20 « Sécurité des réseaux ») exige la mise en place de pare-feu pour la segmentation du réseau et la protection des zones de confiance. La norme [[ISO/IEC 27017]] étend ces exigences aux environnements cloud. La [[Conformité RGPD|conformité RGPD]] impose la mise en œuvre de mesures techniques appropriées pour protéger les données personnelles traitées, ce qui inclut le filtrage réseau parmi d'autres contrôles.

Le standard PCI-DSS (''Payment Card Industry Data Security Standard''), version 4.0 applicable depuis mars 2024, impose dans son exigence 1 le déploiement et la maintenance de pare-feu entre les réseaux non fiables et l'environnement des données des titulaires de cartes de paiement, avec documentation des règles et révision semestrielle.

En France, l'[[ANSSI]] publie des guides de recommandations régulièrement mis à jour — notamment le guide « Sécurité des architectures réseau » — qui détaillent les bonnes pratiques de configuration et d'exploitation des pare-feu pour les administrations et les opérateurs d'importance vitale (OIV).

== Gestion des identités et intégration dans l'architecture de sécurité ==

Les pare-feu modernes s'intègrent avec les annuaires d'entreprise (Active Directory, LDAP) pour appliquer des politiques de filtrage basées sur l'identité de l'utilisateur, et non sur la seule adresse IP de son poste. Cette capacité est complémentaire des solutions de [[Gestion des identités et des accès|gestion des identités et des accès]] (IAM) et renforce le principe du moindre privilège à l'échelle réseau.

Dans une architecture [[Modèle Zero Trust|Zero Trust]], le pare-feu n'est plus le seul point de contrôle : chaque flux est authentifié et autorisé individuellement, quelle que soit sa provenance (réseau interne ou externe). Cette évolution architecturale réduit la notion de « périmètre de confiance » au profit de contrôles distribués sur l'ensemble du système d'information.

== Métiers et formations ==

La configuration, l'exploitation et l'audit des pare-feu relèvent du profil d'[[Ingénieur en cybersécurité|ingénieur en cybersécurité]] ou d'administrateur réseau et sécurité. Ces compétences sont également requises pour les analystes SOC (''Security Operations Center'') chargés de la surveillance temps réel des événements de sécurité.

Des [[Certification professionnelle|certifications professionnelles]] spécialisées attestent de ces compétences : CCNP Security (Cisco), NSE 4 à 7 (Fortinet), PCNSE (Palo Alto Networks), ou généralistes comme CISSP (ISC²) et CEH (EC-Council). Ces certifications s'obtiennent dans le cadre de [[Formation professionnelle|formations professionnelles]] financées via le CPF (Compte Personnel de Formation) ou le [[Plan de développement des compétences|plan de développement des compétences]] mis en place par l'employeur.

Les [[Organisme de formation|organismes de formation]] spécialisés en sécurité informatique proposent des parcours allant de l'initiation à la configuration avancée, souvent articulés autour de laboratoires pratiques simulant des scénarios d'[[Cyberattaque|attaque]] réels sur des environnements virtualisés. Ces formations répondent à une demande croissante : selon le rapport ISC² Cybersecurity Workforce Study 2023, le déficit mondial de professionnels en cybersécurité est estimé à 4 millions de postes.

== Voir aussi ==

* [[Cybersécurité]]
* [[Détection d'intrusion]]
* [[Vulnérabilité informatique]]
* [[Modèle Zero Trust]]
* [[Test d'intrusion]]
* [[ANSSI]]
* [[Directive NIS2]]
* [[Chiffrement des données]]
* [[Sécurité du cloud]]
* [[Cyberattaque]]
* [[Ransomware]]
* [[Audit de cybersécurité]]
* [[Gestion des identités et des accès]]

Pare-feu - Historique des versions

Kecvn : Publication via Quaero Hub

Kecvn : Publication via Quaero Hub

Kecvn : Publication via Quaero Hub

Kecvn : Publication via Quaero Hub

Kecvn : Publication via Quaero Hub

Kecvn : Publication via Quaero Hub