En juillet dernier, Fortinet lançait son offre Fortigate as a Service, un firewall à distance en mode abonnement. A l’occasion des Assises de la Cybersécurité, Solutions Numériques & Cybersécurité s’est entretenu avec Alain Sanchez, CISO EMEA de Fortinet, afin d’en savoir plus sur cette solution.
Solutions Numériques & Cybersécurité – Fortigate as a Service, en quoi ça consiste ?
Alain Sanchez – Tout part d’un besoin, soit en termes de redondance, soit en termes de pur hébergement, des services d’un pare-feu qui soit hébergé sur l’un de nos propres datacenters, par exemple en Espagne, en Angleterre ou en France. Deux cas de figure : soit les entreprises peuvent avoir besoin de l’intégralité des services d’un pare-feu (filtrage d’URL, antivirus, segmentation, gestion des VPN…) mais n’ont pas envie d’acheter un nouvel équipement. Soit elles ont déjà un pare-feu mais veulent en plus un pare-feu à distance, qui puisse prendre le relai si celui sur leur propre infrastructure venait à s’arrêter. Dans ce cas-là, le pare-feu à distance continue d’appliquer les règles de sécurité de l’entreprise, de faire de la télémétrie sur à l’ensemble du trafic dont il est chargé, de faire de la précédence entre les applications critiques et celles sui le sont moins.
Est-ce qu’on retrouve les mêmes fonctionnalités que sur un pare-feu installé sur l’infrastructure de l’entreprise ?
Tout à fait. Avertir, segmenter, interdire, filtrer les URL, analyser la nature des trafics qui passent, authentifier… L’authentification des objets aussi, parce qu’il faut pas oublier l’importance aujourd’hui des objets connectés. Il n’y a pas que les utilisateurs ou que les serveurs au sens classique. On a plusieurs milliards d’objets qui sont connectés aujourd’hui aux systèmes d’information et dans lesquels peuvent se loger des mauvaises configurations ou d’authentiques vulnérabilités. On doit être en mesure d’associer les informations liées à ces vulnérabilités à d’autres informations sur le trafic pour déclencher des scénarios d’alerte sophistiqués.
C’est très intéressant aussi dans le cadre du SD-Wan, où l’on a plusieurs applications concomitantes qui stressent une même infrastructure : on a des règles de priorisation, on considère que l’accès à telle application critique doit passer avant. Ce sont des règles qui peuvent être managées à distance puisque FortiAnalyzer est intégré au firewall, ce qui permet d’intervenir directement, comme s’il était « à la maison » si j’ose dire, sauf qu’il est à distance. Et comme n’importe quel pare-feu, il permet de récupérer des données de télémétrie pour comprendre ce qu’il se passe dans l’entreprise. Quels sont les départements qui se connectent à quels types de service ? Est-ce que les demandes d’administration, de modification sont bien valides ? Etc.
Cette offre As a Service se destine-t-elle plutôt à des grandes entreprises qui ont déjà des firewalls en place, pour des questions de redondance, ou à des entreprises qui n’ont pas les moyens d’acquérir et maintenir un pare-feu ?
Ça s’adresse aussi bien aux petites entreprises qu’à de gigantesques multinationales. Je discutais avec un client qui l’utilise en redondance pour venir, en cas de problèmes, seconder son architecture propriétaire, mais Fortigate as a Service peut être utilisé directement. Vous avez une petite entreprise, vous n’avez pas forcément l’envie, la place ou les compétences pour configurer, héberger, alimenter, protéger physiquement un firewall. On avait l’Infrastructure as a Service, on a maintenant le Firewall as a Service qui incarne un degré de plus vers la sécurisation des flux, pour des raisons qui peuvent être stratégiques ou économique, puisque il y a pas de capex, pas besoin d’acheter le firewall. En outre, c’est un modèle ultraflexible, l’entreprise peut choisir de tester Fortigate pendant un mois, puis décider d’arrêter ou de continuer. On peut aussi imaginer des usages pour des filiales qui se créent rapidement ou pour des événements. Prenez un salon comme celui-là par exemple, c’est une sorte de ville intelligente qui est là pour 4 jours. Avec Fortigate as a Service, vous pouvez provisionner à la volée pendant la durée du salon un firewall dont vous avez déjà maîtrisé la configuration lors d’une édition précédente.
La localisation, c’est au choix du client ?
Oui. Nos tests de performance sont généralement très très bons, mais l’utilisateur peut avoir des impératifs de temps de réponse de certains applicatifs critiques ou des impératifs légaux qui obligent certaines données clients qui vont transiter par le firewall à rester dans le pays.
