Outil d'audit de règles firewall
Votre policy de pare-feu a grandi pendant des années. Des règles fantômes, des autorisations any/any et des règles obsolètes de projets désactivés se cachent dedans. ConnectMyAssets audite l'intégralité de votre jeu de règles automatiquement, trouvant ce qui est redondant, ce qui est dangereux et ce qui n'a pas été utilisé depuis des mois, pour que vous puissiez nettoyer et rester conforme.
- ✓Détection des règles fantômes : règles cachées par des autorisations de priorité supérieure
- ✓Détection des règles permissives : any/any, sources et services trop larges
- ✓Détection des règles inutilisées : zéro hit sur une période configurable
- ✓Conformité des policies : PCI-DSS, CIS Firewall Benchmark, règles personnalisées
- ✓Multi-constructeurs : Fortinet, Palo Alto, Cisco ASA/FTD, Check Point, Juniper SRX
- ✓Piste d'audit complète avec historique des changements et export de rapport de conformité
Votre policy de pare-feu est probablement un passif de sécurité
La policy de pare-feu d'entreprise moyenne contient des centaines à des milliers de règles, accumulées au fil des années de projets, de changements d'équipe et de correctifs d'urgence. Les études montrent constamment qu'une part significative des règles de pare-feu en production est soit fantôme (jamais évaluée), soit trop permissive (trop large), soit complètement inutilisée. Chacune représente un risque de sécurité, une constatation de conformité et une complexité opérationnelle qui rend le dépannage plus difficile. Une révision manuelle des règles de pare-feu est laborieuse, sujette aux erreurs et se produit généralement une ou deux fois par an au mieux. ConnectMyAssets automatise l'ensemble de l'analyse en continu, identifiant les problèmes avant que votre prochain audit externe ne le fasse.
Capacités complètes d'audit de règles de pare-feu
De la détection de règles fantômes aux rapports de conformité PCI-DSS, tout ce dont votre équipe sécurité a besoin pour maintenir une policy de pare-feu propre et auditable.
Détection des règles fantômes
Les règles fantômes sont des règles de pare-feu qui ne peuvent jamais être matchées car une règle plus générale au-dessus d'elles dans la policy intercepte déjà tout le même trafic. Elles sont un signe de surcharge de policy, d'erreurs de configuration et de risque de conformité, les auditeurs les signalent comme preuve d'une mauvaise hygiène de pare-feu. ConnectMyAssets analyse l'intégralité de votre jeu de règles de haut en bas, identifie chaque règle entièrement couverte par une règle de priorité supérieure, et vous montre exactement quelle règle fait l'ombre. Le résultat est une liste claire de règles mortes que vous pouvez supprimer en toute sécurité pour simplifier votre policy.
Détection des règles trop permissives
Les règles avec source "any", destination "any" ou service "any" sont un signal d'alarme dans tout audit de sécurité. ConnectMyAssets analyse vos policies de pare-feu pour les règles plus larges qu'elles ne devraient l'être, détectant les règles any-to-any, les règles avec des plages source trop larges (ex: 0.0.0.0/0), les règles qui autorisent tous les services sur des hôtes spécifiques et les règles qui contournent les zones de sécurité. Chaque constatation est catégorisée par sévérité et accompagnée d'une remédiation suggérée : restreindre la source, limiter le service ou remplacer la règle par une plus spécifique.
Détection des règles inutilisées
Les règles de pare-feu s'accumulent avec le temps. Les ingénieurs ajoutent des règles pour des projets, des accès temporaires ou du dépannage, et oublient de les supprimer. ConnectMyAssets corrèle les configurations des règles de pare-feu avec les données de compteurs de hits pour identifier les règles qui n'ont eu aucune correspondance sur une fenêtre de temps configurable (7, 30, 90 jours). Ces règles inutilisées élargissent votre surface d'attaque et rendent votre policy plus difficile à gérer. ConnectMyAssets les signale pour révision et génère une liste de candidats au nettoyage avec les détails des règles, les derniers horodatages et l'action recommandée.
Contrôles de conformité des policies
Vérifiez votre jeu de règles de pare-feu contre les standards de sécurité établis et les policies internes. ConnectMyAssets inclut des packs de contrôle intégrés pour PCI-DSS (segmentation de l'environnement des données de titulaires de cartes, exigences de révision des règles), les contrôles CIS Firewall Benchmark et les directives NIST SP 800-41. Vous pouvez également définir des règles de conformité personnalisées : "aucune règle ne doit autoriser le trafic entrant directement vers le VLAN de base de données depuis internet", "tous les accès de management doivent être restreints au sous-réseau de management", "les règles deny doivent avoir une action de journalisation". Chaque contrôle produit un verdict PASS/FAIL avec preuves.
Support multi-constructeurs de pare-feu
Analysez les jeux de règles sur tous les pare-feux de votre environnement quel que soit le constructeur. ConnectMyAssets supporte Fortinet FortiGate (FortiOS), Palo Alto Networks (PAN-OS), Cisco ASA et Firepower (FTD), Check Point (GAIA), Juniper SRX (JunOS) et d'autres. Le jeu de règles de chaque constructeur est parsé nativement, la plateforme comprend les objets de policy FortiOS, les zones de sécurité Palo Alto, les listes de contrôle d'accès Cisco et les objets réseau Check Point. Toutes les constatations sont présentées dans une vue unifiée pour que vous puissiez comparer l'hygiène des pare-feux entre constructeurs et sites.
Piste d'audit et rapports de changements
Chaque changement de règle est capturé, horodaté et attribué. ConnectMyAssets maintient un historique complet de vos jeux de règles de pare-feu dans le temps, pour que vous puissiez voir ce qui a changé, quand c'est arrivé et qui a effectué le changement. Pour les audits de conformité, PCI-DSS exige des révisions des règles de pare-feu au moins tous les six mois, vous pouvez exporter un rapport d'audit complet montrant l'analyse du jeu de règles actuel, un historique des changements de règles et les actions de remédiation prises sur les constatations précédentes. Les rapports sont disponibles en PDF pour les soumissions d'audit et en CSV pour une analyse approfondie.
Comment ça fonctionne
Connecter vos pare-feux
Ajoutez vos pare-feux à ConnectMyAssets en utilisant des identifiants API en lecture seule ou un accès SSH. La plateforme supporte la collecte sans agent, aucun logiciel à déployer sur le pare-feu lui-même. ConnectMyAssets récupère le jeu de règles complet, les objets de policy, les groupes d'adresses et les données de compteurs de hits de chaque équipement. Les environnements multi-constructeurs sont gérés de manière transparente : FortiGate, Palo Alto, Cisco ASA, Check Point et Juniper SRX sont tous connectés via le même workflow d'onboarding.
Exécuter l'analyse automatisée des règles
ConnectMyAssets analyse vos jeux de règles automatiquement selon un planning que vous définissez, quotidien, hebdomadaire ou déclenché par un changement de règle. Le moteur d'analyse vérifie chaque règle pour les conditions de shadow, la permissivité et l'utilisation. Il applique tous les contrôles de policy de conformité et corrèle les données de compteurs de hits pour identifier les règles inutilisées. Les résultats sont disponibles immédiatement dans le tableau de bord avec un filtrage basé sur la sévérité. Vous pouvez approfondir n'importe quelle constatation pour voir la règle exacte, sa position dans la policy, la raison pour laquelle elle a été signalée et l'action recommandée.
Nettoyer, documenter et se conformer
Agissez sur les constatations via des workflows de remédiation guidés : désactivez une règle fantôme, resserrez une source permissive, supprimez une règle inutilisée ou ouvrez un ticket de changement dans votre ITSM. Après la remédiation, relancez l'analyse pour confirmer que le problème est résolu. Générez un rapport de conformité pour votre prochaine revue de pare-feu PCI-DSS, votre évaluation NIS2 ou votre audit de sécurité interne. Le rapport inclut l'état avant et après de votre jeu de règles, les preuves de toutes les constatations et un enregistrement des actions de remédiation, tout ce dont votre auditeur a besoin.
Fonctionnalités de plateforme associées
Questions Fréquentes
Questions courantes sur l'audit de règles de pare-feu
Nettoyez votre policy de pare-feu avant que votre prochain audit ne le fasse
Des règles fantômes, des autorisations any/any et des années de règles obsolètes accumulées se cachent dans votre policy de pare-feu. ConnectMyAssets les trouve automatiquement, pour que votre équipe sécurité puisse agir avant qu'un auditeur ou un attaquant ne le fasse.
