Une génie de la sécurité chez Palo Alto Networks

Changement de métier avec Palo Alto Networks. Si la sécurité est encore à l'ordre du jour, la société spécialisée dans la conception de firewall a été créée en mars 2005 par des gens qui pensaient qu'il y avait de graves lacunes dans ce domaine. La tête pensante de cette entreprise installée à Sunnyvale est bien connue dans le petit monde des firewalls : il s'agit du percutant Nir Zuk. Prodige des mathématiques, cet Israélien a fait parti de l'équipe qui a conçu la technologie d'inspection des paquets IP chez CheckPoint Software à la fin des années 90. Depuis il est passé par NetScreen et Juniper avant de fonder Palo Alto Networks à partir d'une idée simple : « toutes les technologies de sécurité utilisaient aujourd'hui pour protéger Internet datent des années 90. Toutes les compagnies utilisent des dérivés de la technologie d'inspection des paquets que j'ai développée pour les firewalls Check Point ».



Mais depuis les usages et les attaques ont bien changé. « Les firewalls ne protègent que le web et les emails et ignorent les autres usages : SalesForce, WebEX ou encore SharePoint. Facebook pose également un problème particulier en terme de sécurité. Les entreprises bloquent ou laissent passer le service avec tous les problèmes. Personne ne sécurise aujourd'hui Facebook tout comme Linkedin ou Viadeo en France. Skype est un autre exemple de bad application. Nous recommandons à tous nos clients de bloquer ce service ainsi que LogMeIn ou Tor mais s'ils le font les utilisateurs trouveront le moyen de contourner le blocage. Il est donc nécessaire de protéger les utilisateurs ».

Suivre les évolutions des usages

Provocateur, Nir Zuk finit toutefois par avouer qu'il ne s'agit plus aujourd'hui de bloquer des services devenus courants dans les entreprises, mais bien de sécuriser les accès. « Il faut reconnaître les nouvelles applications et les bloquer avant d'obtenir leur signature et d'établir une règle. » A l'usage, la société propose des firewalls aux défenses  personnalisables et plus seulement périmétriques. Le moteur Pan-OS 4 des boitiers analyse les paquets émis par les applications actives sur le réseau et sur l'exploitation des profils utilisateur contenus dans Active Directory. Cela permet d'appliquer des règles de sécurité au niveau de chacun des utilisateurs en fonction de leur profil. Ce n'est plus l'adresse IP sur laquelle repose la politique de sécurité, mais sur l'identité de l'utilisateur. De plus, ces appliances sont capables d'identifier les applications web actives sur le réseau en analysant les paquets qui y transitent.



Aujourd'hui, Palo Alto Networks possède une base forte de 20 000 signatures qui continue de s'enrichir. Elle propose bien sûr d'utiliser des black listes avec son algorithme baptisé NGFWs Scan. Développé par Nir Zuk, ce dernier équipe les firewalls de nouvelle génération de Palo alto Networks. Très fier de son moteur d'analyse, le fondateur et CTO de la compagnie, précise que ce dernier ne contrôle pas tous les paquets, mais seulement ceux qui lui paraissent suspects. « C'est l'intelligence de notre moteur ». La firme a lancé un firewall 20 Gigabits, le PA-5060, capable d'adresser jusqu'à 100 000 utilisateurs environ et prépare une version 40 Gigabits et même 240 Gigabits (6 x 40 Gigabits en fait dans un même châssis). Ces équipements reposent sur un OS spécifique Pan-OS sur lequel le directeur technique ne désire guère s'attarder. On saura juste qu'une release majeure est proposée tous les six mois et qu'il s'agit d'un OS robuste qui peut sembler ressembler à Linux.