L'avenir des firewalls : les NGFW nouvelle génération avec le deep learning

Découvrez comment les firewalls nouvelle génération utilisent le deep learning inline pour bloquer les attaques zero-day, détecter le trafic DGA et sécuriser les objets connectés non gérés en temps réel.

Mis à jour le
6 min de lecture
L'avenir des firewalls : les NGFW nouvelle génération avec le deep learning
Photo of William Blondel

William Blondel

Partie 12 de la sérieArchitectures de Défense assistées par IA

Introduction : l’évolution du périmètre

Le firewall est le concept le plus ancien de la sécurité réseau, mais il a subi des transformations considérables pour rester pertinent. La première génération reposait sur un simple filtrage de paquets (vérification des adresses IP et des ports). La deuxième génération a introduit l’inspection avec état (Stateful Inspection). La troisième, le Next-Generation Firewall (NGFW), a apporté l’inspection approfondie des paquets (Deep Packet Inspection, DPI) et la reconnaissance applicative, permettant aux défenseurs de bloquer des applications spécifiques (comme BitTorrent) plutôt que de simples ports.

Cependant, les NGFW traditionnels reposent toujours fondamentalement sur des signatures. Lorsqu’une nouvelle menace émerge, un analyste humain ou un sandbox cloud doit l’analyser, rédiger une signature et pousser une mise à jour vers le firewall. Dans ce modèle, il y a toujours un « Patient Zéro »—quelqu’un qui est infecté avant que la signature soit écrite.

Pour éliminer le Patient Zéro, l’industrie évolue vers la quatrième génération : les NGFW propulsés par le deep learning inline.

1. Le deep learning inline : des signatures sans délai

Historiquement, le machine learning dans les firewalls était « hors bande ». Si un firewall détectait un fichier suspect, il l’envoyait à un sandbox cloud pour détonation. Cinq minutes plus tard, le sandbox confirmait qu’il s’agissait d’un malware et mettait à jour la base de signatures du firewall. Mais à ce stade, le fichier malveillant était déjà téléchargé et s’exécutait sur la machine de la victime.

Les NGFW modernes (initiés par des éditeurs comme Palo Alto Networks et Check Point) intègrent des modèles de deep learning directement dans le plan de données du firewall.

  • Le mécanisme : Lorsqu’un fichier traverse le firewall, le réseau de neurones analyse ses caractéristiques structurelles et son entropie mathématique en quelques millisecondes, sans avoir besoin de le comparer à une signature connue.
  • Le résultat : Le firewall bloque une variante de ransomware zero-day entièrement nouvelle et polymorphique pendant qu’elle est encore en cours de téléchargement. C’est ce qu’on appelle l’« inspection en passe unique avec prévention inline » (Single Pass Inspection with Inline Prevention). Combinés à l’intelligence sur les menaces dans le cloud, ces firewalls peuvent générer et distribuer une signature personnalisée à l’échelle mondiale en quelques secondes (Zero-Delay Signatures).

2. Neutraliser les C2 grâce à la sécurité DNS neuronale

Les attaquants utilisent une technique d’évasion majeure pour permettre aux malwares de communiquer avec leurs serveurs de Command and Control (C2), que nous avons abordée dans notre analyse du trafic chiffré : l’algorithme de génération de domaines (Domain Generation Algorithm, DGA).

Un DGA permet à un malware de générer mathématiquement des milliers de noms de domaine à apparence aléatoire chaque jour (par exemple xeogrhxquuubt.com). L’attaquant n’enregistre qu’un seul de ces domaines pour envoyer ses commandes. Comme les domaines changent constamment, les listes de blocage d’URL traditionnelles sont inutiles.

Les firewalls à deep learning s’attaquent à ce problème grâce aux réseaux de neurones récurrents (RNN) et aux modèles de mémoire à long et court terme (LSTM) :

  • L’IA analyse la structure linguistique de chaque requête DNS quittant le réseau.
  • Plutôt que de consulter une liste de sites malveillants connus, le modèle de deep learning évalue la « prononçabilité », le ratio voyelles/consonnes et la distribution des N-grammes du nom de domaine.
  • Si le domaine ressemble mathématiquement à une génération automatique plutôt qu’à une création humaine, le NGFW abandonne instantanément la requête DNS, coupant la connexion du malware avec l’attaquant.

3. Visibilité IoT et microsegmentation

Le réseau d’entreprise moderne est inondé de dispositifs IoT (Internet des objets) non gérés : téléviseurs intelligents, caméras IP, capteurs médicaux et systèmes CVC connectés. Il est impossible d’installer un agent EDR sur une ampoule connectée, ce qui en fait des cibles de choix pour les botnets.

Les NGFW dotés d’IA agissent comme le gardien ultime de ces dispositifs « sans tête ».

  • Profilage comportemental : Le firewall utilise le machine learning pour écouter passivement le trafic réseau et identifier automatiquement chaque dispositif connecté. Il reconnaît le fabricant, le système d’exploitation et la version du firmware sans aucune configuration manuelle.
  • Génération automatique de politiques : Une fois que l’IA identifie une caméra IP, elle établit une référence de son comportement normal (par exemple, diffusion vidéo vers un serveur interne). Si cette caméra tente soudainement d’initier une connexion SSH sortante vers un serveur en Russie, le firewall la bloque instantanément. L’IA recommande et applique automatiquement des politiques de microsegmentation strictes, garantissant que les dispositifs IoT ne peuvent communiquer qu’avec leurs contrôleurs désignés.

4. La réalité matérielle : le traitement à l’échelle du cloud

L’analyse du trafic avec des réseaux de neurones profonds en temps réel exige une puissance de calcul considérable. Si un firewall introduit un délai de 500 millisecondes par paquet, les performances réseau s’effondrent.

Pour y parvenir, l’architecture matérielle a évolué. Les NGFW modernes utilisent des unités de traitement de données (DPU) et des unités de traitement tensoriel (TPU) spécialisées, conçues pour accélérer la multiplication matricielle (le calcul sous-jacent au deep learning). Par ailleurs, ils s’appuient massivement sur une architecture Secure Access Service Edge (SASE), déchargeant les calculs de deep learning les plus lourds vers des environnements cloud massifs tout en maintenant une latence quasi nulle pour l’utilisateur final.

Conclusion

Le firewall n’est plus simplement un mur ; c’est une passerelle intelligente et apprenante. En intégrant le deep learning inline, les NGFW sont passés de la reconnaissance de signatures connues comme malveillantes à la compréhension des caractéristiques fondamentales du code et des comportements malveillants. Ils constituent l’infanterie lourde indispensable de la Blue Team.

# NGFW# Deep Learning# Firewall# Zero-Day# DGA# Sécurité IoT# Blue Team

William Blondel

55 articles publiés

Développeur web full-stack senior et généalogiste amateur. Geek de naissance avec un Amstrad CPC 6128. Expert PHP & Laravel 🐘

Twitter / X GitHub LinkedIn williamblondel.fr