UTM vs NGFW : de vraies différences ?

La comparaison entre systèmes de gestion unifiée des menaces et pare-feu de nouvelle génération peut prêter à confusion : la différence est-elle vraiment autre que sémantique ?

Il est souvent difficile de faire la différence entre les systèmes de gestion unifiée des menaces (UTM) et les pare-feu de nouvelle génération (NGFW). Les experts reconnaissent que les lignes sont devenues floues entre les deux. Mais chercher à clairement définir l’un et l’autre peut être une erreur.

Les NGFW sont apparus il y a plus de dix ans en réponse aux entreprises qui cherchaient à combiner les capacités de filtrage traditionnelles par ports et protocoles avec des fonctionnalités de détection et prévention des intrusions (IDS/IPS) ainsi que d’analyse du trafic au niveau de la couche applicative. Avec le temps, des capacités supplémentaires d’analyse des paquets en profondeur (DPI) et de détection de code malveillant sont venues s’ajouter.

En parallèle, les UTM sont nés du besoin des PME pour une protection plus complète que celle qu’offre un simple pare-feu. D’où l’intégration de capacités d’IDS/IPS, ainsi que de filtrage des contenus et des courriels, au sein d’une unique appliance facile à administrer. D’autres fonctionnalités sont venues enrichir l’ensemble : serveur VPN, équilibrage de charge ou encore protection contre les fuites de données (DLP).

Selon Jody Brazil, Pdg de FireMon, les PME et les succursales ont été séduites par les UTM alors que les grandes entreprises ont préféré déployer des pare-feu de nouvelle génération. Greg Young, vice-président recherche chez Gartner, relève en outre que les grandes organisations disposaient des budgets nécessaires à l’acquisition des meilleures technologies, ainsi que des personnels capables de tirer profit des fonctionnalités avancées et des performances plus élevées des NGFW. De leur côté, non seulement les PME préféraient disposer d’une produit tout-en-un en limitant le recours au support de leurs fournisseurs. Et tant pis si les fonctions de leurs UTM étaient seulement bonnes et pas au mieux de ce qu’offrait le marché.

Young relève en outre que les équipementiers tendent à exceller soit dans un marché, soit dans l’autre, mentionnant Fortinet pour les UTM ou encore Palo Alto Networks pour les NGFW. Peu réussissent dans les deux, mais c’est selon lui le cas de Check Point. « La confusion vient du fait que les spécialistes des PME cherchent à convaincre les grandes entreprises sans effectuer de changements dans leur distribution ni dans la qualité de leurs produits. La confusion est le fait d’une campagne intentionnelle, mais très peu d’utilisateurs finaux se trompent sur ce dont ils ont réellement besoin. C’est soit une voiture de sport (NGFW), soit une berline familiale (UTM) ».

De son côté, Brazil reconnaît bien le risque de confusion, même pour les experts les plus expérimentés, mais il décrit l’UTM comme une compilation de fonctions de sécurité sans lien entre elles, dont le pare-feu : « l’UTM correspond généralement à un pare-feu doté d’une série de fonctions de sécurité ajoutées, comme l’anti-virus et le filtrage des pourriels. On n’y trouve pas les fonctions de contrôle d’accès qui définissent généralement un pare-feu ».

Pour lui, ce qui définit traditionnellement un NGFW, ce sont des contrôles d’accès robuste au niveau de la couche 7 du modèle ISO. Et cela même si de plus en plus de pare-feu de nouvelle génération sont enrichis de capacités de gestion du renseignement sur les menaces qui leur permettent de repousser les menaces connus à l’aide de règles actualisées automatiquement. Dès lors, il estime qu’un UTM devrait être considéré comme un NGFW lorsqu’il intègre les contrôles de la couche 7, et qu’un NGFW devrait être vu comme un UTM lorsqu’il intègre la protection contre les logiciels malveillants.

A terme, Brazil s’attend à ce que les NGFW se banalisent, faisant de pare-feu et de pare-feu de nouvelle génération des synonymes. Mais les UTM devraient continuer de constituer des produits importants pour les PME, tout particulièrement pour les organisations qui privilégient simplicité de déploiement. Et justement, les différences de performances et d’administration devraient empêcher la convergence entre UTM et NGFW.

« L’idée d’une passerelle de sécurité réseau convergée va continuer de séduire. Et les équipementiers vont continuer d’ajouter des fonctionnalités pour réduire le coût total de possession pour les clients et augmenter leur chiffre d’affaires. Mais les questions de performances et d’administration vont continuer de pousser au déploiement de systèmes dédiés dans les réseaux des entreprises. Dès lors, il continuera d’y avoir des pare-feu d’entreprise qu’il ne convient pas de considérer comme des UTM ».

Mike Rothman, analyste et président de Securosis, a une approche plus radicale. Pour lui, UTM et NGFW sont pour l’essentiel la même chose ; les différences relèvent pour l’essentiel de la sémantique marketing. Un marketing qu’il considère d’ailleurs responsable de la confusion. Mais uniquement : pour lui, l’adoption du terme NGFW par les analystes n’a pas aidé.

Rothman relève ainsi que les premiers UTM souffraient de problèmes de performances lorsqu’il s’agissait de passer des besoins d’une PME à ceux d’une grande entreprise, et tout particulièrement lorsqu’il s’agissait d’appliquer à la fois des règles positives (contrôle d’accès au niveau du pare-feu), et négatives (IPS). Mais selon lui, les premiers NGFW peinaient avec la prévention de menaces. Dès lors, il estime que les disparités perçues ont été utilisées pour segmenter le marché, et continuent de l’être alors même que ces questions ne sont plus pertinentes.

Et pour Rothman, la confusion ne tient pas uniquement à la comparaison de types de produits, mais également au terme de pare-feu de nouvelle génération, dont il pense qu’il minimise les fonctions des équipements : « ce que fait un NGFW va bien au-delà du pare-feu. Un pare-feu est là pour contrôler les accès. Un NGFW cherche aussi les menaces, comme un IPS, pour les bloquer. Nous préférons parler de passerelle de sécurité réseau. C’est un terme plus descriptif ».

Au-delà, Rothman estime que les UTM modernes peuvent faire tout ce que font les NGFW, à condition d’être configurés de manière adéquate. « Du point de vue d’un client, ces appareils font les mêmes choses. Le NGFW assure contrôle d’accès et prévention des menaces, comme l’UTM, simplement de manière un peu différente dans certains appareils. Au final, l’industrie doit se concentrer sur ce qui compte : l’appareil va-t-il supporter les volumes de trafic qu’il sera appelé à gérer lorsque tous les services sont activés ? C’est la seule question qui compte ».

Malgré leurs divergences, ces experts s’accordent à considérer que les entreprises ne devraient pas chercher à faire la différence entre UTM et NGFW : elles doivent se concentrer sur la recherche de produits qui correspondent à leurs besoins. Et à plus forte raison, selon Rothman, que les différences sont appelées à s’estomper encore plus avec des spécialistes de l’UTM qui enrichissent leurs produits de capacités d’inspection au niveau applicatif, et des constructeurs de NGFW qui élargissent leurs gammes afin de séduire les PME.

Et pour Young, en définitive, « il n’est pas question que de technologie. Le sujet est la différence entre la sécurité d’une PME et celle d’une grande entreprise. C’est une question d’usages ».

Adapté de l’anglais.

Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)

Close