Le pare-feu, la première ligne de défense de votre entreprise
Tout ce qui entre et sort de votre réseau passe par un point : le pare-feu. S'il est absent, mal configuré ou laissé à l'abandon, c'est une porte ouverte. Bien posé et supervisé, c'est ce qui arrête une attaque avant qu'elle n'atteigne vos données.
Demander un audit réseau offertSécurisez votre réseau dès maintenant
- Audit de votre infrastructure, sans engagement
- Un expert vous rappelle sous 24h
- 3 mois d'essai, réversible à tout moment
Une question directe ? Appelez le 04 28 29 40 72
Audit réseau offert
Un expert vous rappelle sous 24h.
Données confidentielles. Aucun spam.
La box de votre opérateur n'est pas un pare-feu
Une box internet fait du filtrage minimal : elle bloque grossièrement, sans comprendre ce qui circule. Pas d'inspection des menaces, pas de segmentation, pas de VPN d'entreprise, pas de journaux exploitables. Pour un usage domestique, c'est suffisant. Pour une entreprise qui a des données, des clients et une obligation de continuité, non.
Un vrai pare-feu d'entreprise, dit nouvelle génération (NGFW), ne se contente pas d'ouvrir ou fermer des ports : il analyse le trafic, reconnaît les applications, stoppe les intrusions et isole les incidents.
- Sans pare-feu géré : intrusions invisibles, rançongiciel qui se propage de poste en poste, aucune trace pour comprendre.
- Avec un pare-feu géré : trafic filtré, réseau cloisonné, accès distant sécurisé, alertes traitées par une équipe.
Ce qu'un pare-feu d'entreprise doit faire
Au-delà du simple blocage de ports.
Filtrer le trafic
Blocage des sites dangereux, du phishing et des applications non autorisées, avec des règles propres à chaque service.
Segmenter le réseau
Postes, serveurs, Wi-Fi invité, objets connectés : séparés. Une machine compromise ne contamine pas tout le reste.
Sécuriser l'accès distant
VPN chiffré pour le télétravail, sans exposer vos serveurs directement sur Internet.
Détecter les intrusions
Système de prévention d'intrusion (IPS) et inspection du trafic pour stopper ce qui passerait inaperçu.
Le matériel ne suffit pas, c'est l'exploitation qui protège
Un pare-feu sorti du carton, configuration par défaut, protège mal. La sécurité vient des règles métier, des mises à jour, de la surveillance des journaux et de la réaction quand un événement anormal survient. C'est exactement ce qu'Infranat prend en charge : dimensionnement, installation, configuration sur mesure, maintien en condition de sécurité et supervision.
Côté équipement, nous déployons des pare-feux nouvelle génération de référence. Pour la solution que nous recommandons le plus souvent, voyez notre page dédiée FortiGate de Fortinet.
Pare-feu infogéré Infranat
- Audit réseau et dimensionnement
- Configuration sur mesure
- Mises à jour de sécurité continues
- Supervision et intervention
- Évolutions au fil de votre croissance
Box, pare-feu, NGFW, UTM : remettre les mots à leur place
Le vocabulaire de la sécurité réseau entretient la confusion, parfois volontairement. Clarifions, car le choix dépend de cette compréhension.
La box opérateur est un routeur fourni par votre fournisseur d'accès. Elle assure une translation d'adresses et un filtrage minimal, sans inspection applicative, sans supervision, sans mises à jour de sécurité dédiées. Elle protège un foyer, pas une entreprise.
Le NGFW, pare-feu nouvelle génération, ajoute au pare-feu classique le contrôle applicatif en couche 7, la prévention d'intrusion et la visibilité par utilisateur et par équipement. C'est la catégorie attendue pour une entreprise.
L'UTM, gestion unifiée des menaces, désigne une appliance tout-en-un (pare-feu, VPN, filtrage web, antivirus de flux, IPS) pensée pour être simple à exploiter, souvent positionnée sur les TPE et PME. Dans les faits, la frontière entre NGFW et UTM est aujourd'hui largement marketing : ce qui compte n'est pas l'étiquette, c'est ce que la solution inspecte réellement et qui l'exploite.
Les fonctions d'un pare-feu nouvelle génération
Ce que fait réellement un NGFW bien exploité, fonction par fonction.
Contrôle applicatif
Le pare-feu ne raisonne plus en ports mais en applications. Il distingue un usage métier légitime d'un outil non autorisé qui passe par le même port, et applique des règles par service.
Prévention d'intrusion (IPS)
Détection et blocage des tentatives d'exploitation de failles, connues comme émergentes, avant qu'elles n'atteignent vos serveurs.
Inspection du trafic chiffré
La majorité du trafic est chiffré, et les attaques s'y cachent. L'inspection TLS lève le voile, à mettre en place avec le bon cadrage technique et RGPD, ce que nous faisons proprement.
Filtrage web et DNS
Blocage des sites malveillants et de phishing à la source, avant même que la page ne se charge sur le poste.
Segmentation réseau
Cloisonnement des postes, serveurs, Wi-Fi invité et objets connectés. Une zone compromise n'emporte pas tout le réseau, principe clé attendu par NIS2.
VPN et SD-WAN
Accès distant chiffré pour le télétravail et liaison sécurisée entre sites, avec optimisation et bascule automatique des liens.
Le piège du débit catalogue
Un point que les fiches commerciales évitent : le débit annoncé d'un pare-feu correspond au mode pare-feu simple. Activez l'IPS, le filtrage et surtout l'inspection du trafic chiffré, c'est-à-dire la sécurité réelle, et le débit utile chute fortement, souvent dans un rapport de trois à dix.
Un boîtier sous-dimensionné devient alors un goulot d'étranglement : les équipes se plaignent de lenteur, et la tentation est de désactiver la sécurité « pour que ça aille plus vite ». C'est pourquoi nous dimensionnons sur le débit avec sécurité active, pas sur le chiffre de la plaquette.
- Dimensionnement réel : sur le débit avec IPS, filtrage et inspection TLS activés.
- Abonnements de sécurité tenus à jour, sans quoi le boîtier vieillit en quelques mois.
- Supervision des journaux : un pare-feu qui ne remonte à personne ne protège qu'à moitié.
Pare-feu, NIS2 et assurance cyber
La sécurité réseau n'est plus seulement une bonne pratique, elle devient une obligation et une condition d'assurance. La directive européenne NIS2 attend des entreprises concernées une véritable segmentation réseau par niveau de risque, des règles de filtrage entre zones et une journalisation centralisée. Un simple VLAN ne suffit pas. Les sanctions prévues peuvent atteindre, selon les analyses de l'ENISA, jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles.
Côté menace, les chiffres sont sans ambiguïté. Selon le rapport Verizon DBIR 2025, le rançongiciel est présent dans 88 % des compromissions touchant les PME, contre 39 % pour les grandes entreprises. En France, l'ANSSI confirme année après année que les TPE, PME et collectivités constituent la catégorie la plus touchée par les rançongiciels, et Cybermalveillance.gouv.fr observe sur ses bilans récents une hausse continue des demandes d'assistance émanant des professionnels.
Conséquence concrète : les assureurs cyber ont durci leurs critères. Sans pare-feu géré, segmentation et journalisation, la couverture est refusée ou la prime fortement majorée. Le pare-feu n'est plus une ligne de budget discutable, c'est une condition d'assurabilité.
Comment une intrusion réseau se déroule quand il n'y a pas de pare-feu géré
On imagine souvent une attaque comme un coup de force spectaculaire. La réalité est beaucoup plus discrète, et c'est précisément ce qui la rend dangereuse. Sur un réseau qui n'a qu'une box opérateur ou un pare-feu posé une fois puis oublié, le scénario se répète avec une régularité déprimante. Voici ce que nous constatons sur le terrain, déroulé étape par étape.
Premier temps, l'entrée. Personne ne force une porte blindée quand une fenêtre est ouverte. L'attaquant entre le plus souvent par un e-mail piégé ouvert par un collaborateur, par un service exposé directement sur Internet (un accès bureau à distance laissé ouvert, une interface d'administration accessible publiquement), ou par un identifiant volé ailleurs et réutilisé. À ce stade, une box opérateur ne voit rien : le flux ressemble à du trafic web normal, et elle ne sait pas inspecter ce qui circule réellement. Un pare-feu nouvelle génération bien exploité, lui, repère le service exposé qui n'aurait jamais dû l'être et bloque la connexion sortante vers le serveur de commande de l'attaquant.
Deuxième temps, la reconnaissance silencieuse. Une fois un premier poste sous contrôle, l'attaquant ne se précipite pas. Il observe : quels serveurs existent, où sont les sauvegardes, qui a des droits d'administrateur, où sont les données qui ont de la valeur. Cette phase peut durer des jours, parfois des semaines. Sur un réseau totalement plat, où tout communique avec tout, cette exploration est triviale et invisible. Sur un réseau segmenté et journalisé, ces mouvements latéraux génèrent des connexions inhabituelles entre zones qui n'ont aucune raison de se parler, et c'est exactement ce qu'une supervision attentive détecte avant le drame.
Troisième temps, l'extraction puis le chiffrement. Avant de tout chiffrer, les attaquants modernes volent d'abord les données pour faire un double chantage : payez, sinon nous publions. Cette exfiltration représente souvent plusieurs gigaoctets sortant du réseau vers un hébergement inconnu, parfois la nuit ou le week-end. Un pare-feu qui supervise les flux sortants voit ce volume anormal et peut couper. Sans cette surveillance, le premier signe visible est l'écran de rançon, le lundi matin, quand tout est déjà perdu.
Le point commun de toutes ces étapes : aucune n'est arrêtée par un boîtier en configuration d'usine ni par une box. Ce qui change le résultat, ce n'est pas le matériel seul, c'est la combinaison segmentation, inspection, journalisation et quelqu'un qui regarde les alertes. C'est précisément le périmètre que nous prenons en charge.
Segmentation réseau : pourquoi un VLAN seul ne suffit pas, et ce qu'attend NIS2
Beaucoup d'entreprises pensent être segmentées parce que leur switch découpe le réseau en VLAN : un VLAN pour les postes, un pour la voix, un pour le Wi-Fi invité. C'est un bon début, mais c'est une cloison de papier si rien ne contrôle ce qui passe d'un VLAN à l'autre. Un VLAN sépare logiquement des machines, il ne décide pas qui a le droit de parler à qui. Or, dans la plupart des configurations que nous reprenons, tous les VLAN se rejoignent sur un routeur qui les laisse communiquer librement. Résultat : un poste compromis dans le VLAN bureautique atteint sans obstacle les serveurs, les sauvegardes et le système de téléphonie. La segmentation existe sur le papier mais pas dans la pratique.
La vraie segmentation, celle qui ralentit un attaquant, repose sur des règles de filtrage explicites entre zones, portées par le pare-feu. On définit des zones par niveau de sensibilité : poste de travail, serveurs métier, sauvegardes, administration, Wi-Fi invité, objets connectés, accès distant. Puis on écrit, zone par zone, ce qui est autorisé et tout le reste est refusé par défaut. Le Wi-Fi invité ne voit qu'Internet. Les objets connectés ne parlent qu'à leur service précis. La zone de sauvegarde n'accepte qu'un flux entrant maîtrisé et n'initie aucune connexion sortante. Un poste qui tombe reste enfermé dans son périmètre au lieu de devenir une autoroute vers tout le système d'information.
C'est exactement la lecture de la directive NIS2. Pour les entités concernées, elle attend une segmentation par zones de risque, des règles de filtrage inter-zones et une journalisation centralisée et exploitable, pas seulement un découpage VLAN cosmétique. Les analyses publiées par l'ENISA rappellent que les sanctions peuvent atteindre jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles. Quelle que soit l'avancée précise de la transposition française et des référentiels qui l'accompagnent, le fond ne change pas : un VLAN seul ne suffira pas à démontrer une segmentation conforme, et l'anticiper coûte beaucoup moins cher que de la rattraper dans l'urgence.
Pare-feu et télétravail : VPN, accès distant et postes nomades
Le télétravail a effacé le périmètre confortable d'autrefois. Avant, on protégeait un bâtiment et ce qui était dedans était à l'intérieur. Aujourd'hui, des collaborateurs se connectent depuis chez eux, depuis un train, depuis un hôtel, sur des réseaux que vous ne maîtrisez pas, avec des machines qui transportent vos données hors de vos murs. Le pare-feu reste la bonne réponse à condition d'être pensé pour ce monde-là, et pas seulement pour le réseau local.
La brique de base est le VPN d'accès distant. Le poste nomade établit un tunnel chiffré vers le pare-feu de l'entreprise et n'accède aux ressources internes que par ce tunnel. Le bénéfice essentiel est ce qu'on évite : on ne publie plus directement sur Internet le serveur de fichiers, l'ERP ou l'accès bureau à distance. Tout passe par un point unique, contrôlé, qui authentifie, journalise et applique les mêmes règles de filtrage qu'au bureau. Un service exposé en direct est une cible permanente balayée en continu par des robots ; le même service derrière un VPN bien configuré disparaît de la surface d'attaque publique.
Mais un tunnel chiffré qui mène un poste compromis directement au cœur du réseau ne fait que déplacer le problème. C'est pourquoi nous adossons toujours l'accès distant à deux principes : l'authentification forte, pour qu'un mot de passe volé ne suffise pas à entrer, et le moindre privilège, pour qu'un utilisateur distant n'atteigne que les ressources dont il a réellement besoin via la segmentation décrite plus haut. Le VPN devient alors une zone à part entière, avec ses règles, et non une porte dérobée vers tout.
Reste le poste nomade lui-même. Un ordinateur portable qui sort des locaux n'est plus protégé par le pare-feu du site une fois déconnecté du VPN. La cohérence vient de l'ensemble : pare-feu réseau bien exploité, accès distant maîtrisé, protection du poste et discipline sur les connexions hors tunnel. Le pare-feu n'est pas un produit isolé, c'est la pièce qui tient l'architecture, et c'est pour cela qu'il doit être pensé avec le reste, pas acheté seul.
Multi-sites : le SD-WAN expliqué simplement
Dès qu'une entreprise a plusieurs implantations, agences, dépôts, boutiques, atelier et bureaux séparés, une question revient : comment relier ces sites de façon fiable et sécurisée sans exploser le budget réseau. La réponse moderne portée par les pare-feux nouvelle génération s'appelle le SD-WAN, et derrière ce sigle se cache une idée simple.
Historiquement, relier deux sites de manière garantie passait par une liaison opérateur dédiée, fiable mais coûteuse et longue à mettre en place. Le SD-WAN renverse la logique : on utilise les liens Internet courants, une fibre, parfois un second accès, voire un secours mobile, et c'est le pare-feu qui devient intelligent dans la façon de les utiliser. Concrètement, il monte des tunnels chiffrés entre les sites par-dessus ces liens et applique des règles selon la nature du trafic. La visioconférence et la téléphonie, sensibles aux coupures, partent sur le lien le plus stable. Les sauvegardes ou les transferts lourds empruntent l'autre. Si un lien se dégrade ou tombe, le trafic bascule automatiquement sur le lien restant, sans que l'utilisateur s'en aperçoive.
L'intérêt pour une PME est double. Côté continuité, un site qui perd son accès principal ne s'arrête plus de travailler. Côté sécurité, tout le trafic entre sites est chiffré et passe par les mêmes politiques de pare-feu : on ne crée pas un réseau étendu en oubliant la sécurité au passage. Le revers, c'est qu'un SD-WAN mal conçu, sans cohérence des règles d'un site à l'autre, devient un nid d'incohérences difficile à exploiter. C'est typiquement un sujet où le dimensionnement et la rigueur d'exploitation comptent autant que la technologie, et où un boîtier sous-dimensionné qui doit en plus chiffrer plusieurs tunnels montre vite ses limites.
Inspection du trafic chiffré : indispensable et encadrée par le RGPD
Voici un sujet où il faut être honnête plutôt que vendeur, parce qu'il touche à la fois la sécurité et le droit. La quasi-totalité du trafic web est aujourd'hui chiffrée. C'est une excellente chose pour la confidentialité, mais cela crée une zone d'ombre : un pare-feu qui ne déchiffre rien voit passer un flux chiffré sans savoir s'il transporte une mise à jour légitime ou le téléchargement d'un rançongiciel. Les attaquants le savent parfaitement et se cachent massivement dans le chiffré. Sans inspection TLS, une grande partie de la valeur d'un pare-feu nouvelle génération, contrôle applicatif, filtrage, prévention d'intrusion, ne s'applique qu'à une fraction du trafic réel.
L'inspection TLS consiste à déchiffrer le flux le temps de l'analyser, puis à le rechiffrer vers sa destination. Techniquement, le pare-feu se place comme un intermédiaire de confiance grâce à un certificat déployé sur les postes. Bien menée, cette inspection redonne au pare-feu sa vision complète. Mal menée, elle pose de vrais problèmes : casse d'applications qui refusent l'intermédiaire, mais surtout question de vie privée, puisque le pare-feu voit alors le contenu de communications potentiellement personnelles.
C'est là que le RGPD entre en jeu, et nous le traitons frontalement. Une inspection TLS conforme suppose trois choses : informer clairement les utilisateurs que le trafic est inspecté, exclure de l'inspection les flux personnels et sensibles, typiquement la banque et la santé, et rester proportionné, c'est-à-dire ne déchiffrer que ce qui est nécessaire à la sécurité et pas davantage. Posée ainsi, l'inspection du trafic chiffré est à la fois indispensable et défendable. Posée à l'aveugle, elle expose l'entreprise à un risque juridique en plus du risque technique. Nous la mettons en place avec ce cadrage écrit, en concertation avec votre référent données, jamais en activant simplement une case.
Pare-feu géré par l'infogéreur ou géré en interne : le vrai débat
Une entreprise qui dispose d'une équipe informatique solide peut tout à fait exploiter elle-même son pare-feu. La question n'est donc pas de savoir qui est légitime, mais d'être lucide sur ce que demande réellement un pare-feu pour rester protecteur. Le matériel est la partie facile. La difficulté, c'est tout ce qui vient après l'installation et qui ne s'arrête jamais.
Un pare-feu géré sérieusement, c'est des règles qui évoluent à chaque changement d'applicatif, des abonnements de sécurité tenus à jour faute de quoi le boîtier vieillit en quelques mois, des signatures d'intrusion suivies, des journaux relus, des alertes triées entre faux positifs et vrais signaux, et une capacité à réagir vite quand quelque chose d'anormal apparaît, y compris un soir ou un week-end. En interne, cela suppose une personne compétente sur le sujet, disponible, qui ne part pas en congés au mauvais moment et qui ne se laisse pas absorber par les urgences du quotidien au point de ne plus regarder les journaux. Ce qui tue la plupart des pare-feux internes, ce n'est pas l'incompétence, c'est la continuité : le projet est bien fait, puis la veille se relâche, et au bout d'un an le boîtier route sans plus vraiment protéger.
L'intérêt d'un pare-feu infogéré n'est pas de retirer la main à votre équipe, c'est de garantir cette continuité : une équipe dédiée, des procédures, une supervision qui ne dépend pas d'une seule personne, et une responsabilité claire. Pour beaucoup de PME, le bon modèle est d'ailleurs hybride : votre équipe garde la connaissance métier et les arbitrages, nous portons l'exploitation de sécurité et la disponibilité. Notre position est simple : un pare-feu n'a de valeur que s'il est exploité dans la durée, et c'est sur cette durée que nous nous engageons.
Trois idées reçues qui coûtent cher
« Notre box pro suffit largement. » C'est l'idée la plus répandue et la plus dangereuse. Une box, même estampillée pro, reste un routeur d'opérateur dont le métier est de fournir un accès Internet, pas de protéger une entreprise. Elle ne fait pas d'inspection applicative, ne segmente pas réellement, ne supervise rien et ne produit pas de journaux exploitables en cas d'incident. Le jour où il faut comprendre ce qui s'est passé, il n'y a tout simplement rien à analyser. La box répond à un besoin de connectivité, pas à un besoin de sécurité, et confondre les deux est précisément ce sur quoi comptent les attaquants.
« On n'a rien à voler, on n'intéresse personne. » Cette phrase repose sur une vision dépassée de la menace. Les attaques contre les PME ne sont presque jamais ciblées par intérêt pour vos données en particulier : elles sont automatisées et opportunistes. Des robots balaient en permanence Internet à la recherche de réseaux faibles, peu importe le secteur ou la taille. Quand un rançongiciel chiffre vos serveurs, l'attaquant ne vole pas un secret industriel, il vous prend en otage votre propre capacité à travailler : votre comptabilité, vos devis, vos plannings, vos sauvegardes. Vous avez toujours quelque chose à perdre, c'est votre activité elle-même. Les données publiques convergent sur ce point, nous y revenons juste après.
« Un pare-feu, ça s'installe une fois et c'est réglé. » C'est l'idée reçue la plus coûteuse à long terme, car elle ne se voit pas. Un pare-feu bien posé puis laissé tel quel se dégrade silencieusement : abonnements de sécurité périmés, signatures dépassées, règles devenues incohérentes au fil des changements d'applicatifs, journaux que personne ne lit. Tout fonctionne en apparence, le réseau marche, et c'est exactement le piège : la protection a disparu sans que rien ne le signale. Un pare-feu n'est pas un produit qu'on achète, c'est un service qu'on entretient.
Notre méthode : audit, dimensionnement réel, déploiement, supervision
Nous ne vendons pas un boîtier sur catalogue, nous engageons une protection qui doit tenir dans le temps. C'est pourquoi notre démarche suit toujours le même fil, sans étape sautée, parce que chacune protège la suivante.
Audit réseau d'abord. Avant toute proposition, nous regardons votre réalité : combien de sites, combien d'utilisateurs, quels accès distants, quels services exposés, quelles applications métier, quelles obligations réglementaires, quel niveau d'exigence d'assurance. C'est cet audit, et non une grille tarifaire, qui détermine la solution. Un pare-feu juste pour une entreprise est un pare-feu faux pour une autre.
Dimensionnement réel ensuite. Nous taillons le boîtier sur le débit avec la sécurité activée, IPS, filtrage et inspection du trafic chiffré compris, jamais sur le chiffre de la plaquette qui correspond au mode pare-feu simple. Le débit utile chute fortement une fois ces fonctions actives, dans un rapport qui va couramment de trois à dix. Un boîtier sous-dimensionné finit toujours de la même façon : on désactive la sécurité « pour que ça aille plus vite », et la protection payée disparaît. Nous prévoyons aussi la marge de croissance pour ne pas remplacer l'équipement dans dix-huit mois.
Déploiement maîtrisé. Configuration sur mesure des règles métier, mise en place de la segmentation par zones, du VPN d'accès distant, du filtrage et, lorsque c'est pertinent, de l'inspection TLS avec son cadrage RGPD écrit. La bascule est préparée pour limiter l'interruption, avec un retour arrière prévu.
Supervision dans la durée enfin, parce que c'est elle qui protège réellement. Maintien à jour des abonnements de sécurité et des signatures, relecture des journaux, traitement des alertes, ajustement des règles à chaque évolution de votre informatique et intervention quand un événement anormal survient. Le tout sur devis, établi selon votre débit, votre nombre de sites et les options retenues, parce qu'un prix annoncé sans audit ne veut rien dire. Vous pouvez démarrer par un audit réseau offert : c'est sans engagement et cela vous donne déjà une image claire de votre exposition.