{"id":41379,"date":"2026-04-12T23:13:41","date_gmt":"2026-04-12T23:13:41","guid":{"rendered":"https:\/\/ramsdata.com.pl\/ngfw-de-nouvelle-generation-ce-qui-differencie-le-pare-feu-de-palo-alto-des-solutions-reseau-classiques\/"},"modified":"2026-04-12T23:13:41","modified_gmt":"2026-04-12T23:13:41","slug":"ngfw-de-nouvelle-generation-ce-qui-differencie-le-pare-feu-de-palo-alto-des-solutions-reseau-classiques","status":"publish","type":"post","link":"https:\/\/ramsdata.com.pl\/fr\/ngfw-de-nouvelle-generation-ce-qui-differencie-le-pare-feu-de-palo-alto-des-solutions-reseau-classiques\/","title":{"rendered":"NGFW de nouvelle g\u00e9n\u00e9ration – ce qui diff\u00e9rencie le pare-feu de Palo Alto des solutions r\u00e9seau classiques"},"content":{"rendered":"

Le terme \u00ab\u00a0pare-feu de nouvelle g\u00e9n\u00e9ration\u00a0\u00bb (NGFW) appara\u00eet dans le marketing de nombreux fournisseurs, mais tous n’ont pas la m\u00eame signification. La d\u00e9finition classique du NGFW (Gartner, 2009) inclut l’inspection de l’\u00e9tat, l’identification des applications et des utilisateurs et l’int\u00e9gration avec les syst\u00e8mes IPS. D\u00e8s le d\u00e9but, Palo Alto Networks a eu sa propre vision, plus ambitieuse, de ce que devrait \u00eatre un pare-feu de nouvelle g\u00e9n\u00e9ration – et cette vision a fa\u00e7onn\u00e9 ce qui diff\u00e9rencie Palo Alto Networks<\/a> des solutions de r\u00e9seau classiques aujourd’hui. <\/p>\n

Table des mati\u00e8res<\/h3>\n
    \n
  1. Quel \u00e9tait le pare-feu classique et quelles \u00e9taient ses limites ?<\/li>\n
  2. Comment Palo Alto Networks red\u00e9finit-il le NGFW ?<\/li>\n
  3. App-ID – identification des applications au lieu des ports<\/li>\n
  4. User-ID – politiques bas\u00e9es sur l’utilisateur<\/li>\n
  5. Content-ID – inspection du contenu et des risques<\/li>\n
  6. Acc\u00e8s au r\u00e9seau sans confiance par Palo Alto<\/li>\n
  7. Int\u00e9gration avec l’\u00e9cosyst\u00e8me Palo Alto (Prisma, Cortex)<\/li>\n
  8. Principales conclusions<\/li>\n
  9. FAQ<\/li>\n
  10. R\u00e9sum\u00e9<\/li>\n<\/ol>\n

    Quel \u00e9tait le pare-feu classique et quelles \u00e9taient ses limites ?<\/h3>\n

    Le pare-feu classique (inspection dynamique) contr\u00f4lait l’acc\u00e8s au r\u00e9seau sur la base des adresses IP, des ports et des protocoles de transport. La r\u00e8gle \u00ab\u00a0autoriser le port TCP 80 du r\u00e9seau local vers l’internet\u00a0\u00bb semblait judicieuse \u00e0 une \u00e9poque o\u00f9 le port 80 signifiait HTTP et HTTP signifiait navigation. Cette \u00e9poque est r\u00e9volue depuis longtemps. <\/p>\n

    Aujourd’hui, absolument tout passe par le port 443 (HTTPS) : Netflix, Dropbox, Salesforce, webmail, applications malveillantes, tunnels C2 de logiciels malveillants, donn\u00e9es vol\u00e9es. Un pare-feu classique voit : \u00ab\u00a0Trafic HTTPS vers l’internet – autoris\u00e9\u00a0\u00bb. Le NGFW Palo Alto voit : \u00ab\u00a0application X, utilisateur Y, contenant le fichier Z, avec le profil de risque W – autoriser\/bloquer\/restreindre\u00a0\u00bb. <\/p>\n

    Cette diff\u00e9rence de visibilit\u00e9 se traduit directement par la capacit\u00e9 d’appliquer des politiques de s\u00e9curit\u00e9 significatives. La combinaison avec les solutions NAC<\/a> cr\u00e9e une protection compl\u00e8te de la couche r\u00e9seau au point d’extr\u00e9mit\u00e9. <\/p>\n

    Comment Palo Alto Networks red\u00e9finit-il le NGFW ?<\/h3>\n

    Palo Alto Networks a construit son NGFW autour de trois moteurs d’identification : App-ID (identification des applications), User-ID (identification des utilisateurs) et Content-ID (inspection du contenu). Ces trois moteurs fonctionnent simultan\u00e9ment, sur chaque paquet, sans qu’il soit n\u00e9cessaire de configurer des modules distincts. Il s’agit d’une architecture \u00e0 \u00ab\u00a0passage unique\u00a0\u00bb – chaque paquet est analys\u00e9 par tous les moteurs en une seule fois, au lieu de passer par une cha\u00eene d’unit\u00e9s distinctes. <\/p>\n

    Dans la pratique, cela signifie qu’une politique de s\u00e9curit\u00e9 peut \u00eatre formul\u00e9e comme suit : \u00ab\u00a0Autoriser Salesforce pour le groupe Salesforce, uniquement pendant les heures de travail : \u00ab\u00a0autoriser Salesforce pour le groupe Salesforce, uniquement pendant les heures de travail, analyser le contenu pour DLP, bloquer les t\u00e9l\u00e9chargements de PDF\u00a0\u00bb. Aucun pare-feu classique ni aucune combinaison pare-feu + proxy + IPS ne permettra de d\u00e9finir une telle r\u00e8gle en un seul endroit et de l’appliquer en une seule fois. <\/p>\n

    App-ID – identification des applications au lieu des ports<\/h3>\n

    App-ID est une technologie de Palo Alto qui identifie une application en analysant son comportement plut\u00f4t que son num\u00e9ro de port ou son protocole. App-ID dispose d’une base de donn\u00e9es de plus de 3 000 signatures d’applications – des entreprises (Salesforce, SAP, Teams) aux m\u00e9dias sociaux (Facebook, TikTok) en passant par les applications potentiellement malveillantes (outils de tunneling, anonymisateurs, applications P2P). <\/p>\n

    L’identification se fait \u00e0 plusieurs niveaux : le port et le protocole de transport comme indices, le d\u00e9codage du protocole de l’application, l’analyse de la signature de l’application et, lorsqu’elle est insuffisante, l’analyse heuristique du comportement. App-ID fonctionne m\u00eame pour le trafic HTTPS crypt\u00e9 en analysant SNI, les certificats TLS et les mod\u00e8les de comportement. <\/p>\n

    Il en r\u00e9sulte la possibilit\u00e9 de r\u00e9diger des politiques orient\u00e9es vers les applications : \u00ab\u00a0bloquer BitTorrent quel que soit le port\u00a0\u00bb au lieu de \u00ab\u00a0bloquer le port 6881-6889\u00a0\u00bb (que BitTorrent peut de toute fa\u00e7on contourner). Les politiques orient\u00e9es vers les applications sont plus s\u00e9mantiques et plus permanentes – elles n’ont pas besoin d’\u00eatre mises \u00e0 jour lorsqu’une application change de port. <\/p>\n

    User-ID – politiques bas\u00e9es sur l’utilisateur<\/h3>\n

    User-ID associe des adresses IP \u00e0 des identit\u00e9s d’utilisateurs provenant d’Active Directory, de LDAP, de syst\u00e8mes SSO et d’autres sources d’identit\u00e9. Il en r\u00e9sulte la possibilit\u00e9 de r\u00e9diger des politiques bas\u00e9es sur l’utilisateur et le groupe plut\u00f4t que sur l’adresse IP. <\/p>\n

    \u00ab\u00a0Autoriser YouTube pour le groupe Marketing, bloquer pour tous les autres\u00a0\u00bb. – est une r\u00e8gle qu’un pare-feu classique ne peut pas ex\u00e9cuter correctement lorsque les adresses IP des utilisateurs sont dynamiques (DHCP) ou lorsque plusieurs utilisateurs partagent un m\u00eame appareil. User-ID r\u00e9sout ce probl\u00e8me en mappant continuellement l’identit\u00e9-IP \u00e0 partir des logs AD, des agents sur les stations et de l’int\u00e9gration avec les syst\u00e8mes de Portail Captif. <\/p>\n

    La cons\u00e9quence est \u00e9galement un meilleur audit : les journaux du pare-feu indiquent \u00ab\u00a0John Smith s’est connect\u00e9 \u00e0 Dropbox et a t\u00e9l\u00e9charg\u00e9 500 Mo\u00a0\u00bb au lieu de \u00ab\u00a0Adresse IP 192.168.1.45 connect\u00e9e \u00e0 IP 1.2.3.4 via le port 443\u00a0\u00bb.<\/p>\n

    Content-ID – inspection du contenu et des risques<\/h3>\n

    Content-ID est un moteur d’inspection approfondie des paquets (DPI) comprenant : IPS (Intrusion Prevention System) avec une base de donn\u00e9es de signatures d’exploits et d’attaques, analyse antivirus\/antimalware des fichiers dans le trafic r\u00e9seau, filtrage URL avec cat\u00e9gorisation de milliards d’URL, blocage de fichiers par type (pas seulement l’extension, mais le contenu r\u00e9el) et d\u00e9tection de donn\u00e9es sensibles (DLP de base dans le trafic r\u00e9seau).<\/p>\n

    Toutes ces fonctions fonctionnent \u00ab\u00a0en ligne\u00a0\u00bb – en temps r\u00e9el, sur le trafic en cours. Contrairement \u00e0 une architecture multi-box (IPS s\u00e9par\u00e9, proxy s\u00e9par\u00e9, anti-virus s\u00e9par\u00e9), l’architecture unifi\u00e9e de Palo Alto \u00e9limine les \u00ab\u00a0trous\u00a0\u00bb entre les produits \u00e0 travers lesquels les menaces peuvent passer inaper\u00e7ues. <\/p>\n

    L’int\u00e9gration avec la s\u00e9curit\u00e9 web de nouvelle g\u00e9n\u00e9ration<\/a> compl\u00e8te la protection avec un filtrage avanc\u00e9 du contenu web.<\/p>\n

    Acc\u00e8s au r\u00e9seau sans confiance par Palo Alto<\/h3>\n

    La confiance z\u00e9ro est un mod\u00e8le de s\u00e9curit\u00e9 qui consiste \u00e0 \u00ab\u00a0ne jamais faire confiance, toujours v\u00e9rifier\u00a0\u00bb. – Tous les acc\u00e8s doivent \u00eatre autoris\u00e9s, quel que soit l’endroit o\u00f9 se trouve l’utilisateur. Palo Alto Networks met en \u0153uvre le Zero Trust \u00e0 travers plusieurs produits : Prisma Access (ZTNA pour les utilisateurs distants), NGFW en tant que micro-p\u00e9rim\u00e8tre segmentant le r\u00e9seau interne et Prisma Cloud pour les environnements en nuage. <\/p>\n

    Le NGFW de Palo Alto dans un environnement Zero Trust sert \u00e0 appliquer les politiques d’acc\u00e8s entre les segments du r\u00e9seau – rempla\u00e7ant le mod\u00e8le traditionnel de r\u00e9seau plat avec un trafic est-ouest libre limit\u00e9 par des politiques App-ID + User-ID.<\/p>\n

    Int\u00e9gration avec l’\u00e9cosyst\u00e8me Palo Alto (Prisma, Cortex)<\/h3>\n

    Le NGFW de Palo Alto n’est pas un produit autonome, mais fait partie d’un \u00e9cosyst\u00e8me plus large. Cortex XDR collecte les donn\u00e9es t\u00e9l\u00e9m\u00e9triques du NGFW \u00e0 des fins d’analyse de corr\u00e9lation et de d\u00e9tection des menaces avanc\u00e9es (APT). Cortex XSOAR utilise les donn\u00e9es du NGFW pour automatiser la r\u00e9ponse aux incidents. Panorama est la gestion centralis\u00e9e de plusieurs dispositifs NGFW \u00e0 partir d’une seule console. <\/p>\n

    Partage de renseignements sur les menaces : tous les dispositifs Palo Alto dans le monde contribuent \u00e0 la base de donn\u00e9es sur les menaces WildFire – les fichiers inconnus sont analys\u00e9s dans un bac \u00e0 sable et les signatures des nouvelles menaces sont distribu\u00e9es \u00e0 l’ensemble de la flotte en l’espace de quelques minutes.<\/p>\n

    Principales conclusions<\/h3>\n