Zero Trust : quel rôle pour le pare-feu aujourd’hui ?

Les réseaux conçus en étoile et les pare-feu basés sur la notion de périmètre ont permis, pendant des années, à de très nombreuses organisations de se protéger contre les cyberattaques. Mais alors que l’approche Zero Trust séduit toujours plus d’entreprises, ces types de réseaux ne sont plus du tout adaptés. Ils utilisent en effet des règles obsolètes et sont dans l’incapacité d’offrir une protection efficace contre les programmes malveillants actuels ou de protéger les applications SaaS des déplacements latéraux.

« Ces architectures sont basées sur le principe de sécurité ‘vérifier, puis faire confiance’, qui fait entièrement confiance à tout utilisateur vérifié, lui permettant d’accéder à toutes les applications du réseau. Ce modèle obsolète est incapable de bloquer les acteurs malveillants qui se font passer pour des utilisateurs légitimes. Il ne sécurise pas non plus de manière efficace les utilisateurs distants, les données et les applications basées sur le cloud en dehors du périmètre du réseau », déclare Ankit Gupta, Senior. Product Marketing Manager chez Zscaler. « À l’inverse, le modèle Zero Trust repose sur le principe qui consiste à ‘ne jamais faire confiance, toujours vérifier’ et sur des accès selon le moindre privilège. Cela implique qu’aucun utilisateur ou application ne doit être intrinsèquement considéré comme fiable ».

La métamorphose des pare-feux

Dans ce contexte d’adoption de l’approche Zero Trust par les entreprises, les pare-feux sont-ils voués à disparaître ? Philippe Nault, SE Director Solutions in General chez Fortinet France, répond par la négative. « Dans une architecture Zero Trust, le pare-feu reste un pilier de la sécurité. Il subit une métamorphose pour devenir plus dynamique et s’intégrer étroitement à la sécurité applicative, main dans la main avec le Zero Trust. Le pare-feu nouvelle génération n’est plus une simple muraille figée : c’est une passerelle dynamique et intégrée, offrant une inspection avancée et un filtrage adaptatif du trafic, pour s’ajuster aux enjeux des réseaux actuels », note-t-il.

Les pare-feux continuent par ailleurs de jouer un rôle clé de segmentation du réseau, plus précisément de micro-segmentation, limitant ainsi la propagation des menaces en cas de compromission. Sur le volet « contrôle d’accès », ils se basent désormais sur des critères plus nombreux et précis que la seule adresse IP, intégrant l’identité de l’utilisateur, l’état de l’appareil… « Les pare-feux basculent également vers un rôle d’analyse du trafic et de détection des menaces. Les firewalls nouvelle génération (NGFW) intègrent des fonctionnalités d’analyse du trafic, de détection d’intrusion (IDS) et de prévention des intrusions (IPS). Ils deviennent ainsi des éléments essentiels dans la détection des menaces et la réponse aux incidents », ajoute Thiebaut Meyer, Directeur des stratégies de sécurité de Google Cloud.

La complémentarité des pare-feux et de l’approche Zero Trust s’applique aussi au sein des réseaux industriels (OT) et des infrastructures critiques. Au sein de ces installations, il est souvent impossible d’appliquer un Zero Trust pur sur chaque équipement. « De nombreux automates, capteurs ou systèmes SCADA anciens ne supportent pas les agents ou protocoles requis pour s’authentifier continuellement ou s’intégrer dans une politique Zero Trust globale. Pour certains de ces dispositifs essentiels (automates, contrôleurs industriels, etc.), le Zero Trust “end-to-end” n’est tout simplement pas praticable techniquement », commente Philippe Nault. Le pare-feu reste alors indispensable pour isoler ces équipements dans des segments de réseau étanches, contrôler strictement les communications vers et depuis ces systèmes et empêcher qu’une compromission localisée ne se propage au reste du SI.

Même raisonnement dans l’IT pour de nombreuses technologies existantes qui ne se prêtent pas facilement au modèle Zero Trust. Une grande partie des applications legacy sont dépourvues de mécanismes d’authentification modernes (SSO, SAML, certificats, etc.). Elles ne peuvent dès lors pas être intégrées nativement dans une architecture Zero Trust. Le Zero Trust n’est efficace que sur les éléments qu’il peut connaître et maîtriser ; les composants qui ne s’y intègrent pas créent des failles exploitables.

Pare-feux et modernisation de la stratégie de cybersécurité des entreprises

La question de la place des pare-feux au sein d’un dispositif de cyberdéfense Zero Trust pose en réalité la question de la modernisation de la stratégie de cybersécurité des entreprises. « Une transition réussie vers le Zero Trust doit se faire en douceur, en renforçant la sécurité sans exposer les actifs critiques durant le processus. Autrement dit, il s’agit de moderniser l’approche cybersécurité sans affaiblir les dispositifs éprouvés, en faisant coexister efficacement les nouvelles solutions Zero Trust avec les protections réseau traditionnelles (pare-feu, segmentation, etc.) », précise Philippe Nault.

Pour Thiebaut Meyer, les recommandations générales à suivre sont les suivantes :

• Une évaluation et une planification claires : évaluer l’état actuel de la sécurité et définir une feuille de route claire pour la transition vers le Zero Trust. Identifier les priorités (les actifs critiques, les zones à risque) et les étapes.
• Une approche progressive et itérative : il ne faut pas chercher à tout changer en même temps, mais favoriser une mise en œuvre progressive d’une architecture Zero Trust, en commençant par les applications ou les systèmes les plus critiques.
• Une gestion rigoureuse des identités et des accès (IAM) : mettre en place une solution robuste de gestion des identités et des accès, déployer une authentification multifacteur (MFA) – au moins pour les comptes privilégiés – et appliquer le principe du moindre privilège.
• Une micro-segmentation : mettre en œuvre une micro-segmentation du réseau pour limiter l’impact des failles de sécurité et des éventuelles intrusions
• Une supervision complète et une automatisation des opérations de sécurité : déployer des outils de supervision pour obtenir une visibilité complète sur le trafic réseau, pour détecter les anomalies et automatiser les réactions et les réponses aux incidents.
• Une formation et une sensibilisation : former les équipes de sécurité et sensibiliser les utilisateurs aux bonnes pratiques de sécurité.
• Des technologies ad hoc : mettre en place au fur et à mesure des technologies de sécurité répondant aux besoins de Zero Trust. 

Mais attention, prévient Philippe Nault, une architecture Zero Trust n’est pas un dispositif que l’on met en place puis que l’on oublie. Cela doit au contraire s’inscrire dans une amélioration continue de la posture de sécurité. « Préparez-vous à mesurer et ajuster régulièrement vos contrôles. Par exemple, surveillez les accès et le trafic de près (via un SIEM, un SOAR…) pour vérifier que les nouvelles politiques Zero Trust n’engendrent pas de comportements anormaux ou de contournements. Définissez des indicateurs de sécurité (nombre de tentatives d’accès bloquées, taux d’appareils non conformes détectés, etc.) et suivez-les dans le temps. Cette vigilance permanente, combinée à la polyvalence des pare-feux et autres dispositifs classiques maintenus en parallèle, vous assure de ne pas baisser la garde durant la transition et au-delà », alerte-t-il.

En définitive, l’essor du Zero Trust ne signe pas la fin du pare-feu, mais transforme profondément son rôle. Loin d’être un dispositif figé, il devient une brique dynamique intégrée à la sécurité applicative, à la micro-segmentation et à la supervision du trafic. Dans les environnements complexes, qu’il s’agisse d’OT, d’applications legacy ou d’infrastructures critiques, le pare-feu reste indispensable pour combler les zones où le Zero Trust ne peut s’appliquer pleinement. La véritable évolution consiste donc moins à opposer les deux approches qu’à les faire coexister dans une logique de défense en profondeur, où l’adaptation continue et la complémentarité des mécanismes assurent une posture de sécurité durable.