Pare-feu : votre première ligne de défense
Les pare-feu sont le premier des cinq contrôles techniques de Cyber Essentials. Ils créent une barrière protectrice entre votre réseau interne de confiance et les réseaux externes non fiables, contrôlant quel trafic peut entrer et sortir de votre organisation.
Points clés
| Point | Résumé |
|---|---|
| Toutes les connexions protégées | Chaque appareil se connectant à Internet a besoin d'une protection pare-feu |
| Refus par défaut entrant | Bloquer toutes les connexions entrantes sauf celles explicitement autorisées |
| Changer les mots de passe par défaut | Les credentials admin du pare-feu doivent être uniques et forts |
| Documenter les règles | Savoir pourquoi chaque règle pare-feu existe ; supprimer les règles inutiles |
| Les services cloud comptent | Les pare-feu cloud et security groups doivent aussi répondre aux exigences |
Réponse rapide : Cyber Essentials requiert des pare-feu sur tous les appareils connectés à Internet avec refus par défaut pour les connexions entrantes. Changez les mots de passe admin par défaut, désactivez les services inutiles, et documentez toutes les règles pare-feu.
Comprendre ce que font les pare-feu
Un pare-feu surveille et contrôle le trafic réseau entrant et sortant selon des règles de sécurité prédéterminées. Pensez-y comme un point de contrôle de sécurité qui examine le trafic et décide ce qu'il laisse passer.
Pour chaque tentative de connexion, le pare-feu applique des règles pour décider :
- Autoriser : Le trafic permis passe
- Bloquer : Le trafic refusé est arrêté
- Journaliser : Le trafic est enregistré pour surveillance
Ce que Cyber Essentials requiert
Exigences obligatoires
| Exigence | Détails |
|---|---|
| Toutes les connexions Internet protégées | Chaque appareil se connectant à Internet a besoin d'une protection pare-feu |
| Refus par défaut entrant | Bloquer les connexions entrantes sauf celles explicitement autorisées |
| Changer les mots de passe par défaut | Les credentials admin du pare-feu doivent être changés des paramètres d'usine |
| Désactiver ou bloquer les services non approuvés | N'autoriser que les services réseau nécessaires |
| Documenter les règles pare-feu | Savoir pourquoi chaque règle existe |
Standards de configuration
Règles de trafic entrant :
- L'action par défaut devrait être de refuser toutes les connexions entrantes
- N'autoriser explicitement que les services requis
- Chaque règle autorisée devrait avoir un objectif documenté
- Revoir régulièrement les règles et supprimer celles qui ne sont plus nécessaires
Règles de trafic sortant :
- Peuvent être moins restrictives que l'entrant
- Considérer le blocage des destinations malveillantes connues
- Documenter toute restriction
- Revoir périodiquement
Accès administratif :
- Changer tous les credentials par défaut
- Utiliser des mots de passe forts (14+ caractères recommandé)
- Limiter qui a accès admin
- Activer la journalisation des actions admin
- Accès uniquement depuis des emplacements de confiance
Types de pare-feu
Pare-feu de frontière/réseau
Ceux-ci protègent l'ensemble du réseau au périmètre :
| Type | Description | Cas d'usage typique |
|---|---|---|
| Pare-feu matériel | Appareil dédié | Réseaux d'entreprise |
| Pare-feu routeur | Intégré au routeur | Petits bureaux |
| UTM (Unified Threat Management) | Sécurité multi-fonction | Moyennes entreprises |
| Pare-feu nouvelle génération (NGFW) | Conscient des applications | Grandes entreprises |
Pare-feu basés sur l'hôte
Ceux-ci protègent les appareils individuels :
| Type | Description | Cas d'usage |
|---|---|---|
| Windows Firewall | Intégré à Windows | Tous les appareils Windows |
| Pare-feu macOS | Intégré à macOS | Tous les appareils Mac |
| Linux iptables/nftables | Intégré à Linux | Systèmes Linux |
| Logiciel tiers | Protection additionnelle | Contrôle amélioré |
Pare-feu cloud
Ceux-ci protègent l'infrastructure cloud :
| Type | Description | Cas d'usage |
|---|---|---|
| AWS Security Groups | Natif AWS | Workloads AWS |
| Azure NSGs | Natif Azure | Workloads Azure |
| GCP Firewall Rules | Natif GCP | Workloads GCP |
| Cloud WAF | Protection applications web | Services web |
Implémenter les contrôles pare-feu
Étape 1 : Identifier toutes les connexions Internet
Commencez par comprendre où votre réseau se connecte à Internet :
Emplacements fixes :
- Connexion Internet du bureau principal
- Connexions des bureaux secondaires
- Connexions data center
- Infrastructure cloud
Mobile/distant :
- Laptops employés (besoin de pare-feu hôte)
- Appareils mobiles
- Connexions bureau à domicile
- Utilisation WiFi public
Connexions tierces :
- Connexions VPN
- Liens réseau partenaires
- Accès distant fournisseurs
- Connexions services cloud
Étape 2 : Configurer les pare-feu de frontière
Pour votre périmètre réseau :
| Configuration | Action |
|---|---|
| Défaut entrant | Définir à REFUSER |
| Credentials admin | Changer du défaut |
| Accès gestion | Restreindre à interne/VPN |
| Journalisation | Activer la journalisation complète |
| Firmware | Mettre à jour vers la dernière version |
Étape 3 : Activer les pare-feu hôtes
Chaque appareil a besoin de son propre pare-feu. Pour les appareils Windows :
- Accès via Panneau de configuration → Pare-feu Windows Defender
- S'assurer qu'il est activé pour tous les types de réseaux (Domaine, Privé, Public)
- Utiliser les Paramètres avancés pour les règles personnalisées
Pour les appareils macOS :
- Accès via Préférences Système → Sécurité et confidentialité → Coupe-feu
- Activer le pare-feu
- Configurer les Options de coupe-feu pour les applications spécifiques
- Considérer l'activation du mode furtif
Étape 4 : Documenter vos règles
Pour chaque règle pare-feu, documenter :
| Champ | Exemple |
|---|---|
| Nom de règle | Allow-HTTPS-Inbound |
| Direction | Entrant |
| Action | Autoriser |
| Source | Any |
| Destination | IP Serveur Web |
| Port | 443/TCP |
| Objectif | Accès site web public |
| Créé par | Admin IT |
| Date | 2024-01-15 |
| Date de revue | 2024-07-15 |
Règles pare-feu courantes
Autorisations entrantes typiques
| Service | Port | Objectif |
|---|---|---|
| HTTPS | 443/TCP | Trafic web sécurisé |
| HTTP | 80/TCP | Trafic web (rediriger vers HTTPS) |
| SMTP | 25/TCP | Réception email (serveurs mail) |
| IMAPS | 993/TCP | Accès email sécurisé |
| VPN | Divers | Accès distant |
Autorisations sortantes typiques
| Service | Port | Objectif |
|---|---|---|
| HTTP/HTTPS | 80, 443/TCP | Navigation web |
| DNS | 53/UDP/TCP | Résolution de noms |
| NTP | 123/UDP | Synchronisation horaire |
| SMTP | 587/TCP | Envoi email |
Règles à éviter
| Règle | Risque |
|---|---|
| Allow Any → Any | Aucune protection du tout |
| Allow All Inbound to Workstations | Exposition inutile |
| Accès distant non chiffré | Credentials à risque |
| Telnet (port 23) | Non chiffré, obsolète |
| FTP (port 21) | Non chiffré, utiliser SFTP à la place |
Travailleurs à domicile et distants
Pour les organisations avec des travailleurs distants, il y a des considérations supplémentaires :
Appareils d'entreprise :
- Le pare-feu hôte doit être activé (obligatoire)
- VPN pour l'accès corporate
- Mêmes standards de sécurité que les appareils du bureau
- La gestion des appareils mobiles (MDM) peut aider à appliquer les politiques
Réseaux domestiques :
- Pas directement dans le périmètre pour la certification
- Mais recommander de bonnes pratiques au personnel peut aider :
- Le firmware du routeur devrait être mis à jour
- Le mot de passe par défaut du routeur devrait être changé
- Réseau invité pour les appareils IoT
- Chiffrement WiFi WPA3 ou WPA2
WiFi public :
- Le pare-feu hôte est essentiel
- VPN fortement recommandé
- Éviter les transactions sensibles
- Traiter comme un réseau hostile
Erreurs courantes à éviter
Erreurs de configuration
| Erreur | Impact | Solution |
|---|---|---|
| Mot de passe par défaut inchangé | Compromission admin facile | Changer immédiatement |
| Allow Any entrant | Aucune protection | Supprimer, ajouter des règles spécifiques |
| Pare-feu hôte désactivé | Appareils non protégés | Activer sur tous les appareils |
| Pas de documentation des règles | Audit difficile | Documenter toutes les règles |
| Règles obsolètes | Exposition inutile | Revue/nettoyage régulier |
Erreurs de gestion
| Erreur | Impact | Solution |
|---|---|---|
| Pas de contrôle des changements | Changements non autorisés | Implémenter un processus d'approbation |
| Pas de sauvegarde config | Problèmes de récupération | Sauvegardes régulières |
| Pas de mises à jour firmware | Vulnérabilités connues | Planning de mise à jour |
| Accès gestion ouvert | Risque de compromission admin | Restreindre l'accès |
Checklist pré-certification
Avant votre évaluation Cyber Essentials, vérifier :
- Toutes les connexions Internet ont une protection pare-feu
- La règle par défaut entrante est REFUSER
- Tous les mots de passe par défaut sont changés
- L'accès administratif est restreint
- Toutes les règles pare-feu sont documentées
- Les règles inutiles sont supprimées
- Le firmware est à jour
- La journalisation est activée
- Les pare-feu hôtes sont activés sur tous les appareils
Comment Bastion peut aider
La configuration des pare-feu peut être complexe, surtout quand il s'agit d'équilibrer les exigences de sécurité avec les besoins business.
| Défi | Comment nous aidons |
|---|---|
| Évaluation pare-feu | Nous révisons votre configuration actuelle et identifions les lacunes |
| Optimisation des règles | Nous aidons à identifier les règles inutiles qui créent de l'exposition |
| Documentation | Nous créons une documentation complète des règles |
| Développement de politique | Nous aidons à établir des politiques de gestion des pare-feu |
| Surveillance continue | Nous pouvons alerter sur les activités suspectes |
Travailler avec un partenaire de services managés signifie que votre configuration pare-feu est revue par des gens qui ont vu de nombreux environnements et savent à quoi ressemble une bonne configuration. Nous aidons à s'assurer que les choses sont bien faites du premier coup, évitant les allers-retours qui viennent de l'apprentissage par essais et erreurs.
Besoin d'aide pour configurer vos pare-feu pour Cyber Essentials ? Parlez à notre équipe