PROJET TUTORE DE FIN DE FORMATION

OPTION : SYSTEMES D’INFORMATION

SPECIALITE : SECURITE DES SYSTEMES D’INFORMATION

PALO ALTO
Du 28 Octobre au 24 Novembre 2024

Présenté et soutenu par Sous la direction de

❖ Mlle. Fatoumata Nakoyan CONDE Dr. Youssef KHLIL

❖ Mlle. Fatoumata DIA

❖ Mlle. Ramatoulaye DIA

Promotion 2022-2024
Novembre 2024

1
 REMERCIEMENTS

Nous tenons à exprimer notre profonde gratitude à notre tuteur de projet, Dr Youssef KHLIL, pour son
accompagnement attentif et ses conseils précieux tout au long de ce travail. Sa compétence et son expertise en
cybersécurité ont été déterminantes pour la réalisation de ce projet sur les solutions de sécurité Palo Alto. Grâce
à son encadrement rigoureux, nous avons pu approfondir nos connaissances dans les aspects techniques et
stratégiques de la protection des réseaux.

Nous souhaitons remercier en particulier certains professeurs dont les enseignements ont été cruciaux dans
l’acquisition des compétences nécessaires pour ce projet.

Nos remerciements vont tout d’abord à M. Doudou FAYE, dont l’expertise en virtualisation, cloud et stockage
a contribué de manière significative à notre compréhension des technologies et architectures informatiques
avancées. Sa maîtrise de ces domaines nous a permis d’élargir notre vision des infrastructures nécessaires pour
déployer des solutions de sécurité robustes.

Nous remercions également M. KABORE pour ses enseignements en audit des systèmes d’information. Sa
vision critique et ses méthodes d’évaluation de la conformité nous ont aidés à structurer ce projet dans un cadre
rigoureux, conforme aux meilleures pratiques et aux standards de sécurité.

Notre reconnaissance va également à M. El Hadji Mouhamadou Lamine DRAME, spécialiste des normes de
sécurité et de la supervision via SOAR, pour la transmission rigoureuse des normes et standards du secteur. Son
expertise nous a permis d’adopter une approche méthodique et structurée, essentielle dans la conception de
stratégies de sécurité efficaces.

Nous adressons aussi un remerciement particulier à M. El Hadji Mohameth Kissima DIABOULA, expert en
sécurité avancée des réseaux, pour ses cours approfondis et ses explications claires sur la sécurité réseau. Son
savoir-faire nous a permis de renforcer notre compréhension des menaces actuelles qui pèsent sur les
infrastructures d’entreprise et d’élaborer des solutions adaptées.

Nous tenons également à exprimer notre reconnaissance à nos collègues et camarades de promotion pour leur
soutien constant et les échanges enrichissants qui ont jalonné cette année. Leur esprit de collaboration et leurs
retours constructifs ont contribué à améliorer la qualité de notre travail.

Enfin, nous souhaitons exprimer nos sincères remerciements à nos familles et à nos proches pour leur soutien
inconditionnel et leur encouragement tout au long de notre parcours.

À toutes les personnes qui ont contribué, directement ou indirectement, à la réalisation de ce travail, nous
adressons notre profonde gratitude.

2
 DEDICACES

À tous ceux qui nous ont soutenus et accompagnés dans la réalisation de ce projet, pour les sacrifices consentis,
les compétences partagées, et le temps consacré : nous vous dédions ce travail.

À nos chers parents, pour leur amour inconditionnel, leur confiance indéfectible et leur soutien constant, sans
lesquels ce parcours n’aurait pu être accompli.

À nos frères et sœurs, pour leur encouragement et leur présence rassurante tout au long de nos études, nous
offrant une source constante de motivation.

À nos familles, pour leur appui, leurs conseils et leur compréhension.

À tous nos amis, et à toutes celles et ceux qui, de près ou de loin, ont contribué à la réalisation de ce projet en
nous offrant leur aide et leur soutien.

Que ce travail soit le reflet de notre gratitude et de notre affection envers vous tous.

3
 RESUME
Face à l’évolution constante des menaces et à la complexité accrue des réseaux et des applications, les
entreprises doivent adapter leur approche de sécurité pour répondre aux besoins de leurs utilisateurs tout en
garantissant une protection optimale. Ce projet tutoré s’inscrit dans cet objectif en explorant l’utilisation des
solutions de sécurité Palo Alto pour une sécurisation avancée des réseaux. L’accent est mis sur
l’implémentation de politiques de sécurité permettant une utilisation contrôlée des applications, fondée sur
l’identification des utilisateurs, des applications, et des types de contenu.

Ce projet aborde la mise en place de mesures de sécurité proactive, incluant l’inspection approfondie des
paquets et la gestion des menaces, afin de protéger contre les attaques connues et inconnues sans perturber les
opérations. En intégrant les meilleures pratiques de sécurité, telles que la segmentation LAN, WAN et DMZ,
ainsi que le filtrage et l’analyse du trafic applicatif, ce travail vise à démontrer comment une solution de pare-
feu de nouvelle génération peut répondre aux exigences de fiabilité, de performance et de sécurité d’une
infrastructure moderne.

Mots-clés : Sécurité réseau, Palo Alto, gestion des menaces, inspection du trafic, application sécurisée,
segmentation

4
GLOSSAIRES
SIGLES SIGNIFICATIONS
TCO Cost of Ownership
ROI Retour sur Investissent
VPN Virtual Private Network
DDoS Distributed Denial of Service
NGFW Next-Generation Firewalls
IPS Intrusion Prevention System
SASE Secure Access Service Edge
LAN Local Area Network
WAN Wide Area Network
WAF Web Application Firewall
DNS Domaine Name Service
AD Active Directory
DMZ Demilitarized Zone
URL Uniform Resource Locator
XSS Cross-site Scripting
ML Machine Learning
API Application Programming Interface
IOT Internet of Things
PAVM Palo Alto Virtual Machine
DOS Déni de Service
DPI Depp Package Inspection
IPS Intrusion Prévention System
IDS Intrusion Détection System
FTP File Transfert Protocol
SMTP Simple Mail Transfer Protocol
POP Post Office Protocol
IMAP Internet Message
HTTP Hypertext Transfer Protocol
SSH Secure Socket Shell
CLI Commande Line Interface
HTTPS Hyper Text Transfer Protocol Secure
LDAP Lightweight Directory Access Protocol
LDAPS Lightweight Directory Access Protocol Secure
IP Internet Protocol
C&C Commande and Contrôle
DMARC Message Authentication Reporting et Conformance
DKIM DomainKeys Identified Mail
SPF Sender Policy Framework
NAT Network Address Translation
SSL Secure Sockets Layer
TLS Transport Layer Security
ERP Enterprise Resource Planning

5
LISTE DES CAPTURES

Capture 1 : L'architecture de sécurité avec Palo Alto ................................................................................. 22

Capture 2 : Configuration Réseau de PALOP ALTO ................................................................................. 24
Capture 3 : Configuration vlan au niveau de SWLAN ................................................................................ 28
Capture 4 : Assignation des ports aux VLANs ............................................................................................ 28
Capture 5 : Activation des fonctionnalités de sécurité ................................................................................. 29
Capture 6 : Configuration vlan au niveau de SWDMZ ............................................................................... 29
Capture 7 : Assignation des ports aux VLANs ............................................................................................ 29
Capture 8 : Configurer les interfaces ........................................................................................................... 30
Capture 9 : Configuration NAT ................................................................................................................... 31
Capture 10 : Configuration du routage inter-VLAN ................................................................................... 31
Capture 11 : Configuration des Zones de Sécurité ...................................................................................... 31
Capture 12 : Configuration de l'interface Ethernet 1/1 ............................................................................... 32
Capture 13 : Configuration de l'interface Ethernet 1/2 - Pour la DMZ ..................................................... 32
Capture 14 : Configuration de l’interface Ethernet 1/3 – pour le WAN..................................................... 33
Capture 15 : Interfaces Up après commit .................................................................................................... 33
Capture 16 : Autorisation uniquement des ports nécessaires (HTTP, HTTPS, SMTP, DNS) ................... 34
Capture 17 : Bloquer tout autres trafics ...................................................................................................... 34
Capture 18 : Configuration du Trafic DMZ vers WAN .............................................................................. 35
Capture 19 : Trafic DMZ (Serveur Web) vers LAN (Serveur AD) ............................................................ 35
Capture 20 : Trafic DMZ (Serveur FTP) vers LAN (Serveur AD) ............................................................. 36
Capture 21 : Trafic DMZ (Serveur FTP) vers LAN (Serveur Courriel) .................................................... 37
Capture 22 : Blocage de tout autre trafic entre DMZ et LAN .................................................................... 37
Capture 23 : Activation du profil IPS/IDS ................................................................................................... 38
Capture 24 : Création du profil Anti-Spyware Web-FTP-Mail .................................................................. 39
Capture 25 : Création du profil Anti-Virus WEB-FTP-MAIL ................................................................... 39
Capture 26 : Création du profil de Filtrage d’URL ..................................................................................... 40

6
LISTE DES TABLEAUX

Tableau 1 : Tableau comparatif : PALO ALTO et ses concurrents ........................................................... 15

Tableau 2 : Configuration des interfaces réseau .......................................................................................... 26
Tableau 3 : Liste des Vlan associés ............................................................................................................... 27

7
SOMMAIRE
REMERCIEMENTS ....................................................................................................................................... 2
DEDICACES ................................................................................................................................................... 3
RESUME ......................................................................................................................................................... 4
GLOSSAIRES ................................................................................................................................................. 5
LISTE DES CAPTURES ................................................................................................................................ 6
LISTE DES TABLEAUX ............................................................................................................................... 7
SOMMAIRE ................................................................................................................................................... 8
INTRODUCTION ........................................................................................................................................... 9
CHAPITRE I : PRESENTATION GENERALE ......................................................................................... 10
1.1.1. Objectif Général......................................................................................................................... 10
1.1.2. Objectifs spécifiques .................................................................................................................. 10
CHAPITRE II : PRESENTATION COMMERCIALE DE PALO ALTO ................................................ 14
2.1. Introduction à la solution Palo Alto Networks dans un contexte d'entreprise .................................. 14
2.2. Avantages concurrentiels et différenciation sur le marché .............................................................. 14
2.2.1. Avantages concurrentiels ........................................................................................................... 14
2.2.2. Positionnement et Différenciation de Palo Alto Networks dans le Marché .................................. 16
Position de Leader sur le Segment SASE ................................................................................... 16
Reconnaissance de Gartner pour les Pares-feux Réseau .............................................................. 16
Une Différenciation par l’Innovation et la Complétude de l’Offre .............................................. 16
2.3. Cas d’utilisation de Palo Alto Networks dans des environnements d’entreprise.............................. 16
2.3.1. Segmentation LAN/WAN/DMZ et Protection Zero Trust........................................................... 17
2.3.2. Inspection Applicative et Sécurité des Attaques Ciblées ............................................................. 17
2.3.3. Protection des Applications et du Trafic de Messagerie .............................................................. 17
2.3.4. Une Offre Commerciale Complète et Adaptée aux Entreprises ................................................... 17
2.4. Perspectives et évolutions futures des pare-feu Palo Alto ............................................................... 17
CHAPITRE III : ARCHITECTURE ET DEPLOIEMENT ....................................................................... 19
3.1. Architecture et Conception du Système de Sécurité .............................................................................. 19
3.1.1. Objectifs de la sécurité réseau ........................................................................................................ 19
3.1.2. Principes de conception de la sécurité réseau.............................................................................. 19
3.1.3. Composants critiques de l'architecture de sécurité ...................................................................... 20
3.2. Segmentation du réseau (LAN, WAN, DMZ) ................................................................................ 21
3.3. Conception de l'architecture de sécurité avec Palo Alto.................................................................. 22
3.2. Déploiement et Configuration Initiale ............................................................................................ 23
3.2.1. Création des zones de sécurité (LAN, DMZ, WAN) ...................................................................... 23

8
INTRODUCTION
Face à l’augmentation exponentielle des cybermenaces, la sécurité des réseaux d’entreprise est devenue un enjeu
stratégique pour les organisations, qui doivent à la fois protéger leurs données sensibles et assurer la continuité
de leurs activités. À l’heure où les attaques informatiques se diversifient et s’intensifient, les solutions de sécurité
traditionnelles, basées uniquement sur le filtrage des ports et des protocoles, montrent leurs limites et laissent le
réseau vulnérable à des techniques d’intrusion de plus en plus sophistiquées.

C’est dans ce contexte que les pares-feux de nouvelle génération, tels que ceux proposés par Palo Alto Networks,
s’imposent comme des outils essentiels pour les entreprises soucieuses de sécuriser leurs infrastructures de
manière plus fine et plus proactive.

Les pares-feux de nouvelle génération de Palo Alto vont bien au-delà des fonctionnalités classiques de filtrage,
en offrant des capacités avancées d’identification des applications, de prévention des menaces et de contrôle
d’accès basées sur les utilisateurs et les flux critiques.

Cependant, le déploiement d’une telle solution pose plusieurs questions : Comment concevoir une architecture
de sécurité performante et adaptée aux besoins spécifiques d’une organisation ? Quels sont les avantages
concurrentiels et les bénéfices opérationnels de Palo Alto par rapport aux autres solutions du marché ? Comment
assurer une gestion efficace des accès distants et une protection optimale contre les menaces actuelles, tout en
garantissant une surveillance continue du réseau ?

Pour répondre à ces questions, ce document s’articule autour de quatre chapitres.

Dans le chapitre I, nous présenterons le contexte de la sécurité des réseaux, les objectifs du projet, ainsi qu’un
aperçu des fonctionnalités et des technologies clés de Palo Alto Networks qui permettent de répondre aux défis
actuels de la cybersécurité.

Le chapitre II se concentre sur l’aspect commercial de la solution Palo Alto, en mettant en évidence ses avantages
concurrentiels et sa différenciation sur le marché, ainsi que les cas d’utilisation typiques dans les entreprises.
Nous y aborderons également l’analyse du coût total de possession (TCO) et du retour sur investissement (ROI)
pour évaluer la rentabilité de la solution.

Dans le chapitre III, nous détaillerons l’architecture et le déploiement de la solution, depuis l’analyse des besoins
en sécurité jusqu’à la conception de l’architecture réseau, la configuration des politiques de sécurité, la gestion
des menaces et l’accès distant via VPN. Ce chapitre inclut également la gestion des logs et la surveillance en
temps réel, ainsi que les tests de performance pour valider l’efficacité des configurations.

Enfin, le chapitre IV conclura cette étude en résumant les travaux réalisés, les défis rencontrés et les perspectives
d’amélioration possibles pour optimiser la sécurité réseau et les performances de l’infrastructure, en mettant en
perspective le rôle essentiel des pares-feux de nouvelle génération dans les infrastructures modernes de
cybersécurité.

9
CHAPITRE I : PRESENTATION GENERALE
À mesure que les cybermenaces évoluent, la sécurisation des réseaux d’entreprise devient essentielle pour
protéger les données sensibles et assurer la continuité des opérations. Ce chapitre présente le contexte et les enjeux
de la sécurité réseau, les objectifs du projet Palo Alto, et les caractéristiques fondamentales de cette solution de
pare-feu de nouvelle génération. En explorant ses fonctionnalités avancées comme App-ID, Threat-ID, et User-
ID, nous poserons les bases d’une compréhension approfondie de Palo Alto Networks et de son rôle dans la
sécurisation des infrastructures modernes.

1.1. Contexte et enjeux de la sécurité des réseaux

La sécurité des réseaux est devenue une priorité stratégique pour les entreprises à mesure que la transformation
numérique et la connectivité croissante augmentent les risques de cyberattaques. Les menaces telles que les
malwares, ransomwares, attaques par déni de service (DDoS) et les intrusions sont de plus en plus complexes et
ciblées, mettant en danger la confidentialité et l'intégrité des données sensibles. Parallèlement, l'adoption du
télétravail et des infrastructures hybrides, avec des accès distants aux réseaux, complique davantage la gestion
des risques.

Les attaques informatiques sont de plus en plus fréquentes et de plus en plus destructrices, et il est devenu essentiel
pour les entreprises de disposer d'une protection de pointe pour sécuriser leur réseau. Face à cette évolution, les
entreprises doivent renforcer leur sécurité en déployant des solutions adaptées pour protéger leurs infrastructures
critiques tout en maintenant une performance optimale. C'est là que Palo Alto Networks intervient. Ses solutions
de sécurité offrent une protection de nouvelle génération qui dépasse les capacités des pare-feu traditionnels. En
effet, celles-ci sont conçues pour offrir une visibilité et un contrôle complets sur les activités de réseau, détecter
les menaces potentielles en temps réel et appliquer des politiques de sécurité pour renforcer la sécurité du réseau.

Les pares-feux de nouvelle génération, comme ceux proposés par Palo Alto Networks, permettent de répondre à
ces enjeux en offrant une détection proactive des menaces, un contrôle précis des applications et une gestion
avancée des flux réseau.

1.1. Objectifs du projet

1.1.1. Objectif Général

L'objectif général de ce projet est de déployer et évaluer une solution de sécurité réseau avancée basée sur les
pares-feux de nouvelle génération de Palo Alto Networks, afin de renforcer la protection des infrastructures
d’entreprise contre les menaces cybernétiques tout en optimisant les coûts et les performances.

1.1.2. Objectifs spécifiques

Pour atteindre cet objectif, plusieurs actions spécifiques seront menées :

• Étudier le contexte de la sécurité des réseaux et les défis actuels en cybersécurité, en détaillant les
objectifs du projet ainsi que les fonctionnalités et technologies innovantes de Palo Alto Networks pour
relever ces défis.

• Analyser l’aspect commercial de la solution Palo Alto, en examinant ses avantages concurrentiels, ses
cas d’utilisation typiques en entreprise, et en réalisant une évaluation du coût total de possession (TCO)
et du retour sur investissement (ROI) pour apprécier la rentabilité de la solution.

• Définir et déployer l’architecture de sécurité de Palo Alto Networks, en détaillant l’analyse des
besoins en sécurité, la conception de l’architecture réseau, la configuration des politiques de sécurité et
des accès distants via VPN, ainsi que la gestion des menaces et des journaux pour un suivi en temps réel.

10
 • Tester et valider l’efficacité des configurations et performances de la solution déployée, en évaluant
les résultats obtenus pour ajuster et améliorer les configurations et garantir une sécurité optimale.

• Présenter un bilan final de l’implémentation et des perspectives d’amélioration en récapitulant les

travaux accomplis, les défis rencontrés et les axes potentiels d’optimisation des performances et de la
sécurité pour répondre aux besoins évolutifs de l’entreprise.

1.2. Présentation de la solution Palo Alto Networks

Palo Alto Networks est une solution de cybersécurité de pointe, reconnue pour ses pares-feux de nouvelle
génération (Next-Génération Firewalls ou NGFW) qui allient sécurité avancée et performance optimale pour les
entreprises. Cette solution permet aux organisations de gérer et de sécuriser leurs réseaux en intégrant des
technologies d'inspection approfondie du trafic, d'identification des applications, et de contrôle des utilisateurs.

Les fonctionnalités phares de Palo Alto Networks, telles qu’App-ID, Threat-ID et User-ID, apportent une
granularité inédite dans la gestion des flux réseau, permettant d’identifier les applications et de détecter les
menaces, indépendamment des protocoles ou des ports utilisés.

Les pares-feux de Palo Alto Networks se distinguent par leur capacité à effectuer une inspection complète des
paquets et à appliquer des politiques de sécurité adaptées à chaque application et utilisateur en temps réel. Ils
permettent également une prévention proactive contre les menaces, grâce à une base de données de menaces mise
à jour en continu, et offrent des options de connexion VPN sécurisée pour les utilisateurs distants. En intégrant
des capacités de surveillance et de reporting avancés, cette solution garantit aux administrateurs réseau une
visibilité complète et un contrôle renforcé sur l’ensemble du trafic réseau, contribuant ainsi à réduire les risques
et à optimiser la sécurité de l’infrastructure.

1.2.1. Les services proposés par Palo Alto Networks

Palo Alto Networks propose une gamme complète pour une protection avancée et une visibilité complète sur les
activités de réseau pour une sécurité renforcée. Voici un aperçu des principales solutions proposées :

• Firewall nouvelle génération : Palo Alto Networks est surtout connu pour son pare-feu nouvelle génération,
qui offre une protection avancée contre les menaces réseau. Les pares-feux de Palo Alto Networks utilisent
une combinaison de techniques de sécurité avancées pour identifier et bloquer les menaces, y compris la
détection des signatures, l'analyse comportementale, la détection des vulnérabilités et la prévention des
intrusions.

• Système de prévention des intrusions (IPS) : Palo Alto Networks propose également un système de
prévention des intrusions (IPS) qui permet de détecter et de bloquer les attaques de réseau avant qu'elles ne
puissent causer des dommages. L'IPS utilise une analyse en temps réel pour identifier les menaces, ainsi que
des politiques de sécurité pour empêcher les attaques.

• Sécurité pour les clouds publics et privés : Avec l'adoption croissante du cloud computing, la sécurité des
clouds est devenue une préoccupation majeure pour de nombreuses entreprises. Palo Alto Networks propose
une solution de sécurité cloud qui protège les données et les applications des entreprises dans les clouds
publics et privés, en offrant une visibilité et un contrôle complets sur les activités de réseau.

• Sécurité des points de terminaison : La sécurité des points de terminaison est devenue une préoccupation
majeure pour les entreprises, car les employés travaillent de plus en plus à distance et utilisent des appareils
personnels pour accéder aux réseaux de l'entreprise. Palo Alto Networks propose une solution de sécurité
des points de terminaison qui protège les ordinateurs portables, les smartphones et les tablettes contre les
menaces de sécurité.
• Sécurité de la messagerie électronique : Les attaques de phishing et de spam sont de plus en plus fréquentes,
et les entreprises ont besoin d'une protection de pointe pour protéger leurs utilisateurs contre ces menaces.
Palo Alto Networks propose une solution de sécurité de la messagerie électronique qui détecte les attaques

11
 de phishing et de spam, bloque les courriers indésirables et offre une protection avancée contre les menaces
de sécurité.

1.2.2. Le choix de Palo Alto

Palo Alto Networks se démarque parmi les solutions de sécurité réseau pour plusieurs raisons qui en font un choix
privilégié pour les entreprises souhaitant une protection robuste et performante contre les menaces modernes.
En résumé, nous pouvons citer les raisons suivantes :

• Protection de nouvelle génération : Les pares-feux proposées par la société offrent une sécurité avancée
pour les réseaux informatiques. Ils intègrent des fonctionnalités de prévention des intrusions, de filtrage des
URL, de détection des logiciels malveillants et de contrôle des applications pour une protection complète
contre les menaces réseau.

• Visibilité et contrôle : Les produits de Palo Alto Networks offrent une visibilité et un contrôle complets sur
les activités de réseau en temps réel. Les outils de gestion de la sécurité permettent aux entreprises de détecter
les menaces potentielles, de bloquer les attaques en temps réel et d'appliquer des politiques de sécurité pour
renforcer la sécurité de leur réseau.

• Évolutivité : Les produits de Palo Alto Networks sont conçus pour s'adapter à l'évolution des besoins de
sécurité des entreprises. Les solutions de sécurité peuvent être facilement étendues pour prendre en charge
les besoins de croissance et de diversification de l'entreprise.

• Innovation continue : Palo Alto Networks investit continuellement dans la recherche et le développement
pour fournir des solutions de sécurité innovantes et à la pointe de la technologie. L'entreprise est également
active dans la communauté de la sécurité informatique pour partager ses connaissances et contribuer à la
lutte contre les menaces réseau.

1.3. Aperçu des fonctionnalités avancées : App-ID, Threat-ID, User-ID

Palo Alto Networks intègre des fonctionnalités avancées qui renforcent la sécurité et le contrôle des réseaux, en
permettant une gestion granulaire du trafic réseau et une protection proactive contre les menaces.

Les trois technologies clés App-ID, Threat-ID, et User-ID constituent l’essence même de la sécurité adaptative
de Palo Alto Networks.

• App-ID (Application Identification) est une technologie qui identifie et gère le trafic réseau en fonction
des applications, indépendamment des ports, protocoles ou techniques d’évasion utilisées. Grâce à App-
ID, les administrateurs peuvent définir des politiques de sécurité précises qui s’appliquent spécifiquement
aux applications autorisées ou non, réduisant ainsi les risques liés à l’utilisation d’applications non
contrôlées ou potentiellement malveillantes. App-ID permet ainsi une visibilité complète sur les
applications qui circulent dans le réseau et facilite un contrôle détaillé du trafic, même pour les
applications masquées.
• Threat-ID (Threat Identification) est un système de prévention des menaces qui détecte, identifie, et
bloque les attaques connues et inconnues en temps réel. Grâce à une base de données de signatures de
menaces mise à jour en continu, Threat-ID analyse le trafic pour détecter les logiciels malveillants, les
menaces de type zero-day, et les techniques d'exploitation. Cette technologie assure une réponse proactive
contre les menaces en les bloquant avant qu’elles n'atteignent les ressources critiques du réseau, ce qui
contribue à réduire la surface d’attaque de l’entreprise.
• User-ID (User Identification) associe l’activité réseau aux identités des utilisateurs spécifiques,
permettant ainsi une application des politiques de sécurité basée sur les rôles ou les privilèges utilisateurs.
User-ID simplifie la gestion des accès en appliquant des règles de sécurité en fonction des identités, ce
qui limite l'accès aux ressources en fonction des besoins réels et renforce la sécurité de l’infrastructure.
Ce contrôle basé sur les utilisateurs offre une approche personnalisée de la sécurité, augmentant la
transparence et la traçabilité des activités réseau.
12
En combinant ces trois fonctionnalités, Palo Alto Networks offre une solution de sécurité réseau robuste, capable
de faire face aux défis actuels en cybersécurité. App-ID, Threat-ID, et User-ID permettent une visibilité et un
contrôle complets, assurant une protection efficace des ressources tout en optimisant la gestion des accès et la
surveillance des applications.

13
CHAPITRE II : PRESENTATION COMMERCIALE DE PALO ALTO
À l’heure où les entreprises recherchent des solutions performantes pour faire face aux cybermenaces, Palo Alto
Networks s'impose comme un acteur majeur dans le domaine de la sécurité réseau. Ce chapitre examine les atouts
commerciaux de la solution Palo Alto, en mettant en lumière ses avantages concurrentiels et ses points de
différenciation sur le marché. Nous aborderons les cas d’utilisation typiques en entreprise, illustrant comment
Palo Alto répond aux besoins spécifiques de protection des infrastructures modernes. Enfin, une analyse du coût
total de possession (TCO) et du retour sur investissement (ROI) permettra de comprendre les perspectives
économiques et l’évolution future de cette solution de pare-feu de nouvelle génération.

2.1. Introduction à la solution Palo Alto Networks dans un contexte d'entreprise

Dans un environnement numérique où les cybermenaces sont en constante évolution, Palo Alto Networks se
distingue comme un partenaire stratégique de premier plan pour les entreprises souhaitant renforcer leur sécurité.
Grâce à une expertise avancée et à une innovation continue, Palo Alto Networks offre une gamme complète de
solutions de cybersécurité capables de protéger des infrastructures IT complexes, qu’elles soient sur site, dans le
cloud ou hybrides. Leur offre phare, les pares-feux de nouvelle génération (NGFW), combine performance et
visibilité, permettant aux entreprises d’identifier, contrôler et sécuriser les applications, y compris celles utilisant
des protocoles chiffrés.
Palo Alto Networks adopte une approche de sécurité proactive en intégrant des technologies d’intelligence
artificielle et de machine Learning pour détecter et neutraliser les menaces en temps réel. Ces solutions s’appuient
également sur une architecture Zero Trust, garantissant une sécurité renforcée et une surveillance stricte des accès.
L’unité de recherche Unit 42 analyses en continu les cybermenaces émergentes et alimente les solutions Palo
Alto avec des données actualisées, offrant ainsi une protection optimisée.
En outre, Palo Alto propose la plateforme Cortex, qui transforme les opérations de sécurité (SecOps) grâce à
l’automatisation et à l’IA, centralisant la détection et la réponse aux incidents pour réduire les risques tout en
optimisant l'efficacité des équipes de sécurité. Cette approche intégrée et avancée fait de Palo Alto Networks un
acteur essentiel pour assurer une sécurité robuste et adaptable aux besoins modernes des entreprises.

2.2. Avantages concurrentiels et différenciation sur le marché

2.2.1. Avantages concurrentiels
Dans le secteur compétitif de la cybersécurité, Palo Alto Networks se distingue grâce à plusieurs caractéristiques
clés qui renforcent sa position de leader et son attrait pour les entreprises de toutes tailles.
Palo Alto Networks tire sa force d’une protection proactive et intelligente, alimentée par des technologies
avancées d’IA et de machine Learning. Contrairement à ses concurrents comme Fortinet ou Sophos, qui
emploient des analyses post-incident pour certaines applications, Palo Alto Networks propose une sécurité
prédictive et en temps réel, identifiant les menaces avant qu’elles ne deviennent critiques, y compris les attaques
zero-day. Cette capacité d’anticipation renforce la résilience des entreprises face à des menaces sophistiquées et
en constante évolution.
L’architecture Zero Trust intégrée de Palo Alto Networks est un autre avantage significatif. Tandis que certains
concurrents offrent des solutions Zero Trust de manière isolée, Palo Alto Networks intègre cette approche dans
toutes ses solutions. Cela permet une sécurité uniforme et exhaustive, qui contrôle continuellement les accès et
réduit le risque de menaces internes et externes. Ce niveau de sécurité est particulièrement apprécié par les
entreprises en transition vers des environnements hybrides et multicloud.
La plateforme de gestion centralisée Panorama assure une administration fluide et simplifiée de la sécurité sur
l’ensemble des environnements cloud, hybrides, et on-premises. Contrairement à Check Point ou Watch Guard,
qui ciblent souvent des environnements plus spécifiques, Panorama couvre toutes les configurations possibles et
permet une gestion unifiée, même pour des entreprises à grande échelle et à forte exigence de sécurité.
Avec Prisma Cloud, Palo Alto Networks propose une protection complète et pionnière pour les charges de travail
cloud, couvrant des plateformes multicloud telles qu’AWS, Azure, et Google Cloud. En dépassant la couverture

14
plus limitée des solutions de sécurité cloud de certains concurrents, Prisma Cloud garantit une sécurité étendue
pour les applications, les données, et les environnements Kubernetes, répondant aux besoins d’infrastructures
complexes et en pleine croissance.
En termes de modèle de tarification, Palo Alto Networks adopte un système flexible avec des options
d’abonnement cloud-native, adapté aux entreprises en transformation numérique. Ce modèle réduit les coûts
initiaux pour les entreprises, leur permettant d’adapter leur sécurité en fonction de leur croissance, contrairement
à des solutions plus coûteuses et statiques comme F5 BIG-IP.
Enfin, la consolidation des services de sécurité au sein de la plateforme unifiée de Palo Alto Networks réduit
les coûts opérationnels et la complexité de gestion des multiples solutions de sécurité. L’innovation continue et
les mises à jour automatiques garantissent une protection en temps réel, offrant aux entreprises une sécurité
avancée sans nécessiter des investissements fréquents dans de nouveaux outils.

Fournisseur Avantages Différenciation sur Cible Principale Modèle de

Concurrentiels le marché tarification

Palo Alto Protection proactive avec Plateforme de Grandes entreprises, Abonnement

Networks IA/ML Zero Trust, haute sécurité unifiée, multicloud flexible, options
performance innovation continue cloud-native

F5 BIG-IP Gestion avancée du trafic Spécialisation dans Entreprises Licences

applicatif, sécurité app l’optimisation de nécessitant sécurité permanentes,
trafic app options
d’abonnement

Check Point Large gamme de Expérience établie, PME et grandes Abonnement

NGFW solutions, gestion protection réseau entreprises flexible, gestion
centralisée approfondie unifiée

Sophos Simplicité d’utilisation, Unification sécurité PME, Abonnement

Firewall sécurité synchronisée Endpoint/réseau établissements abordable pour
éducatifs PME

Netgate Open source, Solution open PME, startups Gratuit, support

pfSense personnalisation, source, payant optionnel
flexibilité communauté active

Watch Guard Déploiement facile, Adapté aux PME, PME, Abonnement avec
Network services de sécurité pack de sécurité administrations packs de sécurité
complets inclus

Fortinet Hautes performances Intégration réseau- Grandes entreprises, Abonnement

(ASIC), faible sécurité (SD-WAN multisites flexible
consommation sécurisé)
énergétique

Tableau 1 : Tableau comparatif : PALO ALTO et ses concurrents

15
Palo Alto Networks, grâce à sa technologie proactive et intégrée, répond aux besoins complexes des grandes
entreprises, surpassant ses concurrents en matière de visibilité, de gestion centralisée, et de protection multicloud.

2.2.2. Positionnement et Différenciation de Palo Alto Networks dans le Marché

Palo Alto Networks se démarque de manière significative dans le domaine de la cybersécurité, en particulier
grâce à sa position de leader dans le nouveau quadrant magique de Gartner pour les solutions SASE (Secure
Access Service Edge) à fournisseur unique. Cette distinction est un indicateur fort de sa capacité à offrir une
solution de sécurité réseau intégrée, complète et de haute performance, répondant aux besoins des entreprises
modernes, en particulier celles en transition vers des environnements hybrides et multicloud.

[Link]. Position de Leader sur le Segment SASE

Selon le dernier rapport de Gartner, Palo Alto Networks est le seul acteur à figurer dans la catégorie des leaders
pour le SASE à fournisseur unique. Cela signifie que l’entreprise offre une solution unifiée qui combine de
manière transparente la sécurité des accès et les fonctionnalités réseau, incluant les technologies Prisma Access
et Prisma SD-WAN. Cette intégration assure une expérience utilisateur optimale tout en garantissant une sécurité
Zero Trust sur l'ensemble des applications et utilisateurs, où qu'ils soient localisés.
Cette position de leader confère à Palo Alto Networks un avantage unique par rapport à ses concurrents,
notamment grâce à sa capacité à simplifier et à consolider les solutions de sécurité, permettant ainsi aux
entreprises de réduire les coûts et la complexité associés à la gestion de multiples fournisseurs. En intégrant les
fonctionnalités réseau et de sécurité dans une seule et même offre, Palo Alto Networks réduit les risques de
sécurité liés aux architectures fragmentées, tout en optimisant la performance et l’agilité de ses clients.

[Link]. Reconnaissance de Gartner pour les Pares-feux Réseau

Dans le domaine des pares-feux réseau, Palo Alto Networks bénéficie également de la reconnaissance des
utilisateurs, comme en témoigne le niveau élevé des avis positifs sur les solutions de sécurité réseau proposées
par l’entreprise. Les utilisateurs apprécient particulièrement la robustesse de ses fonctionnalités de filtrage et
d’inspection approfondie des paquets, qui assurent une détection des menaces en temps réel. De plus, sa capacité
à intégrer l’intelligence artificielle pour anticiper les menaces avant qu’elles ne deviennent critiques renforce
encore sa réputation sur le marché.
Comparé à des concurrents alternatifs évalués dans les avis de Gartner, comme Fortinet et Check Point, Palo
Alto Networks est souvent préféré pour sa flexibilité et son approche unifiée, qui répondent mieux aux besoins
des grandes entreprises cherchant à adopter des solutions réseau et sécurité homogènes. Par ailleurs, l’architecture
Zero Trust de Palo Alto Networks est un différenciateur clé, car elle assure une protection constante,
indépendamment de la localisation des utilisateurs et des ressources.

[Link]. Une Différenciation par l’Innovation et la Complétude de l’Offre

Palo Alto Networks investit continuellement dans l'innovation, avec des solutions telles que Prisma Cloud pour
la sécurité des environnements multicloud et Prisma SASE pour une intégration optimisée de la sécurité réseau
dans les environnements de travail hybrides. Ces solutions permettent aux entreprises de répondre aux nouvelles
menaces tout en s’adaptant aux besoins changeants de leurs infrastructures.
Ce positionnement stratégique, soutenu par des distinctions telles que le titre de leader dans le quadrant SASE,
fait de Palo Alto Networks un choix de premier ordre pour les organisations cherchant une solution de sécurité
réseau consolidée et performante. En proposant une plateforme de sécurité unifiée, Palo Alto Networks offre
aux entreprises la possibilité d'évoluer en toute confiance dans un environnement de menace croissante et de
complexité technologique.

2.3. Cas d’utilisation de Palo Alto Networks dans des environnements d’entreprise
Palo Alto Networks est largement reconnu pour ses solutions avancées en matière de sécurité applicative et
réseau, intégrant des fonctionnalités de Web Application Firewall (WAF), de segmentation LAN/WAN/DMZ,
et de filtrage et inspection de trafic. Dans un environnement d’entreprise moderne, où les menaces évoluent
16
constamment, Palo Alto Networks se positionne comme un partenaire de confiance pour répondre aux défis de
sécurité.

2.3.1. Segmentation LAN/WAN/DMZ et Protection Zero Trust

En adoptant une architecture Zero Trust, Palo Alto Networks permet aux entreprises de mettre en œuvre une
segmentation efficace et proactive du réseau, incluant les environnements LAN, WAN et DMZ. Cela signifie
que l'accès aux ressources internes est strictement contrôlé, limitant la propagation des menaces internes. La
solution Prisma SASE, intégrée avec des partenaires tels qu’Orange Business et Orange Cyberdéfense,
propose une sécurisation complète des utilisateurs distants et des applications cloud. En combinant les capacités
de connectivité d’Orange Business avec Prisma SD-WAN et Prisma Access de Palo Alto, cette solution offre
une connectivité fluide, tout en appliquant des principes Zero Trust 2.0.

2.3.2. Inspection Applicative et Sécurité des Attaques Ciblées

Les pares-feux nouvelle génération de Palo Alto Networks incluent un WAF puissant capable de détecter et de
bloquer les attaques applicatives, telles que les injections SQL et les attaques XSS (Cross-Site Scripting), en
analysant en profondeur les paquets pour identifier les menaces avant qu’elles n’atteignent leurs cibles. Cette
capacité de filtrage et d’inspection avancée des paquets permet de surveiller et de protéger le trafic applicatif en
temps réel, réduisant les risques liés aux vulnérabilités des applications web. Par exemple, l’intégration de Prisma
SASE avec des clients comme Beam Suntory démontre comment la technologie de Palo Alto améliore la sécurité
des applications et des données, tout en optimisant la performance réseau.

2.3.3. Protection des Applications et du Trafic de Messagerie

Les solutions de Palo Alto Networks offrent également une inspection approfondie du trafic de la messagerie,
essentielle pour détecter et bloquer les attaques par phishing et d'autres vecteurs d’infection par courriel. En
filtrant le contenu et en appliquant des contrôles basés sur les signatures et les comportements, les entreprises
peuvent bloquer les menaces ciblant directement les communications par courriel, souvent le point d'entrée pour
les attaques internes. Cette approche s’intègre parfaitement dans des environnements complexes, comme chez
Caesar Entertainment, où la sécurisation des données clients est essentielle.

2.3.4. Une Offre Commerciale Complète et Adaptée aux Entreprises

La collaboration entre Palo Alto Networks, Orange Business et Orange Cyberdéfense met en avant une offre
commerciale qui répond aux exigences actuelles des entreprises en matière de sécurité réseau et applicative.
L’alliance entre Prisma Access, Prisma SD-WAN et les services managés d’Orange permet aux organisations
de simplifier la gestion de la sécurité, tout en bénéficiant d'une performance réseau accrue. Grâce à un modèle de
tarification flexible et des options cloud-native, Palo Alto Networks permet aux entreprises de s'adapter
rapidement aux évolutions du marché et aux nouvelles menaces.
Les solutions de Palo Alto Networks, telles que Prisma SASE et le pare-feu nouvelle génération,
constituent une protection avancée et complète pour les environnements LAN/WAN/DMZ, le filtrage et
l’inspection de trafic applicatif et de messagerie. En s'associant à des partenaires stratégiques comme Orange,
Palo Alto Networks démontre sa capacité à fournir des solutions robustes, efficaces et adaptées aux besoins des
entreprises modernes, consolidant sa position de leader dans le secteur de la cybersécurité.

2.4. Perspectives et évolutions futures des pare-feu Palo Alto

Palo Alto Networks continue d'innover pour répondre aux nouveaux défis de cybersécurité. Voici les principales
évolutions à venir pour leurs pares-feux :

• Intégration de l’IA et du Machine Learning (ML)

• L’IA et le ML seront utilisés pour anticiper et détecter plus rapidement les menaces, permettant une
défense proactive contre les attaques émergentes.
• Automatisation et orchestration de la sécurité

17
 • L’automatisation des processus de détection et de réponse permettra de réduire le temps de réaction face
aux incidents, optimisant ainsi la gestion des menaces.
• Sécurité des environnements multicloud et des API
• Avec la croissance du multicloud et des API, Palo Alto renforce ses solutions pour protéger ces nouveaux
environnements vulnérables aux attaques.
• Adaptabilité aux réseaux 5G et à l’Internet des objets (IoT)
• Les solutions de Palo Alto évoluent pour sécuriser les réseaux 5G et le smillions d’appareils connectés de
l’IoT, afin de répondre à ces nouvelles menaces.
• Amélioration de la performance et de la stabilité
• Les pares-feux sont optimisés pour gérer de plus grands volumes de trafic, garantissant ainsi une sécurité
robuste sans sacrifier la performance.
• Conformité aux réglementations
• Palo Alto veille à ce que ses solutions restent conformes aux normes de cybersécurité internationales,
facilitant ainsi la gestion des exigences légales des entreprises.
Ces développements permettront à Palo Alto Networks de continuer à offrir des solutions de cybersécurité
adaptées aux défis futurs.
Dans ce chapitre, nous avons exploré les solutions de cybersécurité proposées par Palo Alto Networks, en
mettant en évidence les principaux produits, leur fonctionnement et leurs avantages pour les entreprises. Nous
avons également abordé les stratégies de sécurité avancées adoptées par l’entreprise, telles que le modèle Zero
Trust, ainsi que l’intégration de l’intelligence artificielle et du machine Learning dans la détection des menaces.

Dans le chapitre suivant, nous nous concentrerons sur l'architecture et le déploiement du système de sécurité, en
détaillant les étapes essentielles de la conception et de l'implémentation de la sécurité avec Palo Alto. Nous
analyserons les besoins en sécurité, la segmentation du réseau, ainsi que la conception de l'architecture de sécurité
et le déploiement des solutions adaptées. Nous aborderons également les étapes clés de configuration, de gestion
des politiques de sécurité, de contrôle du trafic et de prévention des menaces. Enfin, nous explorerons les
méthodes de gestion des accès distants, la surveillance des logs et les tests nécessaires pour valider l'efficacité du
système de sécurité mis en place.

18
CHAPITRE III : ARCHITECTURE ET DEPLOIEMENT
À l’ère de la transformation numérique, où les menaces contre les systèmes d’information évoluent en complexité
et en sophistication, la mise en place d’une architecture de sécurité robuste devient incontournable pour les
entreprises. Ce chapitre propose une exploration approfondie de l’architecture et du déploiement d’une solution
de sécurité intégrée avec Palo Alto Networks, en se concentrant sur la segmentation du réseau (LAN, WAN,
DMZ), la protection contre les attaques applicatives, et l’inspection avancée des paquets et des flux de
messagerie. À travers une conception adaptée aux besoins de sécurité des organisations modernes, cette solution
permet de protéger efficacement les données critiques et de renforcer la résilience de l’infrastructure face aux
menaces de plus en plus complexes.

3.1. Architecture et Conception du Système de Sécurité

Dans un environnement où les cyberattaques se multiplient et où la complexité des menaces exige des réponses
adaptées, la conception d'une architecture de sécurité robuste est un impératif pour les entreprises. Ce projet met
en œuvre une architecture de sécurité centrée sur le pare-feu applicatif WAF de Palo Alto Networks, avec un
accent particulier sur la segmentation du réseau (LAN, WAN, DMZ), la protection contre les attaques
applicatives, et des techniques avancées de filtrage et d’inspection des paquets, y compris le trafic de messagerie.

3.1.1. Objectifs de la sécurité réseau

L’objectif principal de cette architecture de sécurité est de protéger les ressources critiques de l’entreprise contre
les cybermenaces, tout en permettant un contrôle strict des flux de trafic au sein du réseau. Dans ce cadre, les
objectifs de sécurité sont définis comme suit :
• Prévention des intrusions : Identifier et bloquer les tentatives d’intrusion et les menaces avancées en
amont, en assurant une détection proactive et une réponse rapide aux attaques potentielles.
• Contrôle et segmentation du trafic : Appliquer une segmentation stricte des zones de réseau (LAN,
WAN, DMZ) afin de limiter les mouvements latéraux et d’isoler les sous-réseaux en fonction des niveaux
de sensibilité et des besoins d’accès.
• Protection des applications : Mettre en place des mécanismes de défense renforcés contre les attaques
applicatives (injections SQL, XSS, DoS) pour préserver l'intégrité et la disponibilité des applications
critiques.
• Inspection et filtrage du trafic : Garantir un filtrage précis et une inspection approfondie des paquets
pour détecter les contenus malveillants et assurer la sécurité des échanges de données, notamment dans le
trafic de messagerie.

3.1.2. Principes de conception de la sécurité réseau

L'architecture de sécurité repose sur des principes de défense en profondeur, assurant des couches de protection
multiples et complémentaires :
• Segmentation du réseau : La segmentation est un élément central de cette architecture, divisant le réseau
en zones de sécurité distinctes (LAN, WAN, DMZ) pour contenir les menaces et minimiser l’impact
potentiel d’une brèche. Le DMZ (zone démilitarisée) est dédié aux services accessibles au public, le LAN
protège les ressources internes, et le WAN relie l’organisation aux réseaux externes.
• Défense en profondeur : Chaque couche de l’architecture est protégée par des contrôles de sécurité
appropriés, offrant une résilience accrue grâce à la redondance des mécanismes de protection.
• Visibilité et contrôle : La solution de Palo Alto offre des fonctionnalités de visibilité en temps réel et de
contrôle granulaires sur les flux de données et les comportements applicatifs, permettant une détection
rapide et une réponse aux anomalies.

19
 • Inspection avancée des paquets : L’architecture intègre une inspection approfondie des paquets (DPI -
Deep Packets Inspection), permettant de filtrer et d’analyser les contenus pour détecter des menaces
cachées dans les échanges réseau et le trafic de messagerie.

3.1.3. Composants critiques de l'architecture de sécurité

Pour assurer une sécurité optimale, plusieurs composants critiques sont déployés dans l’architecture :

• Pare-feu de nouvelle génération (NGFW) de Palo Alto : Ce composant assure une défense avancée
contre les menaces en intégrant des fonctionnalités de WAF pour protéger les applications contre les
attaques ciblées. Il permet également un filtrage des URL, une détection des menaces connues et une
analyse des comportements réseau.

• Zones de sécurité (LAN, WAN, DMZ) : La segmentation en zones de sécurité permet de réguler les
accès en fonction des niveaux de risque et des besoins en protection de chaque sous-réseau.
• Inspection du trafic de messagerie : La messagerie étant un vecteur commun d’attaque, l’architecture
inclut une analyse approfondie des courriels pour détecter les menaces, le spam, et le phishing, protégeant
ainsi les utilisateurs et les données sensibles.
Cette architecture de sécurité, reposant sur la solution WAF de Palo Alto et une segmentation rigoureuse, répond
aux exigences modernes en matière de protection des infrastructures critiques. Par une approche intégrée, elle
permet de renforcer la résilience de l’organisation contre les menaces complexes tout en offrant une visibilité et
un contrôle précis des flux de trafic.

3.2. Analyse des besoins en sécurité

L’architecture réseau de l’entreprise doit répondre aux exigences de sécurité des différentes zones du réseau : le
réseau interne (LAN), la zone démilitarisée (DMZ), l’Internet et le réseau Wi-Fi, qui nécessite également une
attention particulière. Chaque zone a des niveaux de sensibilité et d’exposition différents, ce qui nécessite des
politiques de sécurité adaptées et une segmentation rigoureuse pour assurer une protection optimale.

• Sécurité du Réseau Interne (LAN)

Le LAN, cœur de l’infrastructure de l’entreprise, héberge des ressources critiques telles que les bases de données,
les fichiers sensibles et les postes utilisateurs. Étant donné la sensibilité des données et des applications qui y sont
stockées, il est essentiel de restreindre l’accès au réseau interne en mettant en place des politiques de sécurité
strictes. Le pare-feu Palo Alto assurera une protection complète en contrôlant les accès grâce à l’App-ID, à l'User-
ID et au filtrage des applications. Une surveillance proactive des utilisateurs et des applications permettra de
détecter toute activité suspecte pouvant indiquer une tentative d'intrusion ou une anomalie dans le réseau.

• Sécurité de la DMZ (Zone Démilitarisée)

La DMZ sert de zone tampon entre le LAN et l’Internet, hébergeant des services exposés au public comme les
serveurs web, FTP et de messagerie. Cette zone est plus vulnérable que le LAN, car elle est accessible depuis
l’extérieur, mais elle doit être protégée efficacement pour limiter l'impact des menaces externes. Le pare-feu Palo
Alto régira les connexions à la DMZ avec des politiques de sécurité strictes, autorisant uniquement le trafic
nécessaire. Grâce à l’App-ID, seules les applications légitimes seront autorisées à passer, et la fonctionnalité
Threat-ID permettra de bloquer les attaques potentielles en temps réel.

• Sécurité de l’accès Internet

L’Internet représente une source majeure de menaces pour le réseau de l’entreprise. Afin de protéger
+mécanismes tels que le filtrage d'URL, la prévention des intrusions (IPS) et le contrôle des applications seront
utilisés pour empêcher les connexions non autorisées, les tentatives d’intrusion et d'autres menaces évolutives
provenant de l’extérieur.

• Sécurité du Réseau Wi-Fi

20
Le réseau Wi-Fi de l’entreprise, servant de point d’accès pour les utilisateurs et appareils mobiles, passe
également par le pare-feu pour une sécurité renforcée. Ce réseau sans fil, potentiellement plus vulnérable aux
attaques, nécessitera des règles de filtrage strictes pour empêcher toute connexion non autorisée. Le pare-feu Palo
Alto appliquera des politiques basées sur l’User-ID pour assurer que seuls les appareils autorisés, correctement
authentifiés et sécurisés, puissent se connecter. L’App-ID permettra de filtrer le trafic réseau sans fil en fonction
des applications utilisées, garantissant que le Wi-Fi respecte les mêmes normes de sécurité que les autres zones
du réseau.

3.2. Segmentation du réseau (LAN, WAN, DMZ)

La segmentation du réseau dans cette architecture, intégrant un pare-feu Palo Alto, vise à séparer les différents
types de trafic et ressources pour optimiser la sécurité et la gestion du réseau. Voici un développement des trois
segments principaux : LAN, WAN, DMZ et Wifi en fonction de cette architecture avec un pare-feu Palo Alto :

• WAN (Wide Area Network) : Le WAN ici représente l'Internet, qui est relié directement au pare-feu
Palo Alto. Ce pare-feu contrôle toutes les connexions entrantes et sortantes du réseau interne vers
l'extérieur. Avec Palo Alto, nous allons configurer des règles de sécurité strictes pour filtrer le trafic
provenant de l'Internet afin de bloquer les attaques malveillantes et de permettre uniquement les
connexions autorisées vers et depuis le réseau interne. Le pare-feu peut utiliser des fonctionnalités
avancées comme le filtrage d'URL, la détection d'intrusion (IPS), et l'inspection des menaces pour
surveiller les activités potentiellement dangereuses.
• DMZ (Demilitarized Zone) : La DMZ est une zone intermédiaire située entre le réseau interne et le
WAN. Elle héberge des services (comme les serveurs FTP, Web, et Mail) accessibles depuis Internet
tout en restant isolée du réseau LAN. Le pare-feu Palo Alto peut être configuré pour appliquer des
politiques de sécurité strictes dans la DMZ, autorisant uniquement le trafic nécessaire aux serveurs, tout
en restreignant l’accès au reste du réseau interne. Par exemple, le pare-feu pourrait autoriser les
connexions entrantes HTTP/HTTPS pour le serveur Web et bloquer toute autre tentative d'accès à ces
serveurs.
• LAN (Local Area Network) : Le LAN regroupe plusieurs segments internes, chacun contenant différents
types de ressources (serveurs de fichiers, serveurs AD, stations de travail, etc.). Avec le pare-feu Palo
Alto, nous allons configurer des politiques de micro-segmentation au sein du LAN pour séparer les
différents sous-réseaux et limiter la communication entre eux selon les besoins. Par exemple :
• Un sous-réseau pour les utilisateurs ayant accès aux serveurs AD et aux fichiers.
• Un autre sous-réseau pour les postes de travail standards.
En utilisant des règles de segmentation, nous pouvons garantir que les utilisateurs d'un segment n'ont pas d'accès
direct aux ressources d'un autre, sauf si c’est explicitement permis. Cela réduit les risques de propagation latérale
d'attaques au sein du réseau.

• WIFI : Le segment Wifi est relié au pare-feu Palo Alto, permettant une séparation entre les périphériques
Wifi et les autres segments internes. Avec Palo Alto, nous allons imposer des restrictions sur le trafic Wifi,
permettant aux appareils connectés sans fil d’accéder uniquement aux ressources nécessaires, comme les
serveurs de fichiers ou les applications autorisées. Nous pouvons également configurer des politiques pour
isoler les invités du réseau interne, les autorisant uniquement à utiliser Internet.
Avec cette segmentation, le pare-feu Palo Alto agit comme un point de contrôle central, appliquant des politiques
de sécurité spécifiques pour chaque segment du réseau, réduisant ainsi les risques d'attaque et augmentant la
sécurité globale du réseau.

21
3.3. Conception de l'architecture de sécurité avec Palo Alto

Capture 1 : L'architecture de sécurité avec Palo Alto

22
3.2. Déploiement et Configuration Initiale
3.2.1. Création des zones de sécurité (LAN, DMZ, WAN)
Le LAN (Local Area Network) est subdivisé en deux espaces distincts :
L’Espace Serveurs et l'Espace Utilisateurs.

• L'Espace Serveurs
• SRV_AD / SRV_FILE
▪ Caractéristiques
o Memory : 2GB
o Processors : 2 CPU
o Hard Disk (NVMe) : 60 GB
o 2 Hard Disk (SCSI) : 10 GB
o Network : PALO_NETWORK
o OS : Windows Server 2019
o Services : Active Directory, DNS, Fichier
o IP : [Link]/24
o Domaine : [Link]
• SRV_MAIL
▪ Caractéristiques
o Memory : 4 GB
o Processors : 1 CPU
o Hard Disk (NVMe) : 20 GB
o Network : PALO_NETWORK
o OS : Ubuntu 23.04
o Service : Mail
o IP : 192.168.20 .3/24
o Domaine : [Link]
• L’Espace Utilisateurs
• CL10
▪ Caractéristiques
o Memory : 1 GB
o Processors : 1 CPU
o Hard Disk (NVMe) : 20 GB
o Network : PALO_NETWORK
o OS : Windows 10 Entreprise
o IP : [Link]/24
o Domaine : [Link]
La DMZ (Demilitarized Zone) héberge des services accessibles depuis l'extérieur tout en protégeant le réseau
interne (LAN) :

• Serveurs
• SRV_WEB
▪ Caractéristiques
o Memory : 4 GB
o Processors : 2 CPU
o Hard Disk (NVMe) : 60 GB
o Network : PALO_NETWORK
o OS : Ubuntu 20.04
o Services : Nginx, Odoo ERP
o IP : [Link]/24
o Domaine : [Link]
• SRFTP_SRVLOG
▪ Caractéristiques
23
 o Memory : 4 GB
o Processors : 2 CPU
o Hard Disk (NVMe) : 20 GB
o Network : PALO_NETWORK
o OS : Windows Server 2019
o Services : FTP, SMTP
o IP : [Link]/24
o Domaine : [Link]
Le WAN (Wide Area Network) représente l’accès à Internet et constitue la porte d’entrée et de sortie pour les
communications externes. Dans cette architecture, le pare-feu Palo Alto est directement connecté au WAN et
joue un rôle central dans la sécurisation du réseau.

• Serveurs
• PA-VM
▪ Caractéristiques
o Memory : 5.5 GB
o Processors : 2 CPU
o Hard Disk (NVMe) : 60 GB
o Network (3) : PALO_NETWORK
o Service : Palo Alto Network
o IP : [Link]/24

3.2.2. Installation du pare-feu Palo Alto

Dans le cadre de notre projet, nous avons ajouté l’Appliance Palo Alto dans GNS3 en utilisant directement
l'image de l’Appliance : PA-VM-KVM-10.1.0. Qcow2. Pour ce faire, nous avons importé l'image QCOW2
dans GNS3 en suivant le processus d'ajout d'une nouvelle Appliance. Une fois l’Appliance ajoutée et intégrée à
notre environnement virtuel dans GNS3, nous avons démarré la machine virtuelle.

Ensuite, nous avons accédé à la console du pare-feu via SSH en utilisant les identifiants par défaut
(admin/admin). Après nous être connectés, nous avons immédiatement changé le mot de passe par défaut pour
des raisons de sécurité, puis configuré l'adresse IP en utilisant les commandes de configuration appropriées.

Capture 2 : Configuration Réseau de PALOP ALTO

24
Ensuite via un Navigateur, nous sommes connectées à l’interface graphique de l’équipement via le lien :
# [Link]

Capture 3 : Accès à l’interface d’administration de PALO ALTO

Capture 4 : Tableau de bord de PA-VM

25
3.2.3. Configuration des interfaces réseau et assignation des zones
Composants Interfaces Zone Sous-réseau Description
Management WAN Obtenue via DHCP Connecté au routeur internet
(RTRINTERNET) pour accéder à
Internet.
Pare-feu Ethernet1/2 DMZ [Link]/24 Connecté au switch DMZ (SWDMZ) pour
(PA-VM) (e2) les serveurs accessibles depuis Internet
Ethernet 1/1 LAN [Link]/24 Connecté au switch LAN (SWLAN) pour
(e0) l'accès interne (utilisateurs et serveurs).
Switch LAN Gig0/1 à Gig0/3 LAN [Link]/24 Assure la connectivité entre les clients
(SWLAN) Windows (CL1, CL2) et les serveurs
internes (SRV_AD, SRV_MAIL).
Switch DMZ Gig0/0 à Gig0/2 DMZ [Link]/24 Connecté aux serveurs DMZ (SRV_WEB,
(SWDMZ) SRVFTP_SRVLOG).
Routeur Gig0/0 WAN IP Publique Connecté au pare-feu (PA-VM) via
Internet (RTR) Ethernet1/1 pour relayer le trafic vers
Internet.
Gig0/1 Internet Passerelle Publique Connecté au réseau extérieur (Internet).
Espace e0 via SWLAN LAN [Link]-[Link] Héberge les services internes (Active
Serveurs Directory, messagerie).
Serveurs DMZ e0 via SWDMZ DMZ [Link]-[Link] Héberge les services publics (web, FTP)
accessibles depuis l'extérieur.
Tableau 2 : Configuration des interfaces réseau
Détails complémentaires

• Architecture en trois zones principales :

• WAN : Connecté à Internet via le routeur et le pare-feu.

• LAN : Infrastructure interne sécurisée pour les utilisateurs et serveurs.

• DMZ : Sécurité renforcée pour les services accessibles depuis l'extérieur.

• Adresses IP suggérées :

• LAN :

▪ SRV_AD/SRV_FILE : [Link]
▪ SRV_MAIL : [Link]
▪ Clients Windows : [Link]-[Link]

• DMZ :

▪ SRV_WEB : [Link]
▪ SRVFTP_SRVLOG : [Link]

• Zones de Sécurité :

• De WAN vers DMZ : Autorisation uniquement pour les services web, FTP, et mail.

• De DMZ vers LAN : Limité aux flux de supervision et gestion technique.

• De LAN vers WAN : Accès sortant autorisé avec filtrage DNS et HTTPS uniquement.

26
 VLAN ID Nom du VLAN Zone Périphériques associés Plage IP Adresse
10 VLAN_UTILISATEURS Réseau Interne CL10 [Link]/24
20 VLAN_SERVEURS Réseau Interne SRV_AD, SRV_FILE, SRV_MAIL [Link]/24
(Serveurs LAN)
30 VLAN_DMZ DMZ SRV_WEB, SRVFTP_SRVLOG [Link]/24
(Serveurs DMZ)
40 VLAN_MANAGEMENT Administration PA-VM (Pare-feu), SWLAN, SWDMZ [Link]/24
50 VLAN_INTERNET WAN RTRINTERNET IP publique / DHCP
Tableau 3 : Liste des Vlan associés

• VLAN 10 (UTILISATEURS) :
• Sépare les terminaux utilisateurs des autres ressources réseau pour améliorer la sécurité et la
gestion.
• VLAN 20 (SERVEURS) :
• Ce VLAN isole les serveurs critiques (SRV_AD, SRV_FILE, SRV_MAIL) dans un sous-
réseau sécurisé.
• VLAN 30 (DMZ) :
• Assure une séparation entre les serveurs exposés à Internet et le réseau interne pour minimiser
les risques.
• VLAN 40 (MANAGEMENT) :
• Permet aux administrateurs de gérer les équipements réseau et de sécurité de manière centralisée.
1. VLAN 50 (INTERNET) :

• Fait la passerelle entre le réseau local et l'accès à Internet via le routeur RTRINTERNET.

Schéma de liaison des équipements :

• SWLAN : Connecté aux espaces utilisateurs et serveurs internes.
• SWDMZ : Gère les équipements situés dans la DMZ.
• PA-VM : Fournit les services de sécurité (IPS/IDS, pare-feu, filtrage Web).
• RTRINTERNET : Connecte le réseau local au fournisseur d'accès Internet.

3.2.4. Configuration des Switch (SWLAN et SWDMZ)

SWLAN (Switch pour le réseau interne) :

• Objectif : Segmentation des VLANs internes (Utilisateurs, Serveurs, Management).

• Configuration CLI (Exemple) :

• VLAN Configuration

#vlan 10
#name VLAN_UTILISATEURS
#vlan 20
#name VLAN_SERVEURS
#vlan 40

#name VLAN_MANAGEMENT

27
 Capture 3 : Configuration vlan au niveau de SWLAN

• Assignation des ports aux VLANs

#interface range g0/0 - 1

#switchport mode access

#switchport access vlan 10

#interface g0/2
#switchport mode trunk
#switchport trunk allowed vlan 20,40
#interface g0/3
#switchport mode access
#switchport access vlan 40

Capture 4 : Assignation des ports aux VLANs

28
 • Activer les fonctionnalités de sécurité

#Spanning-tree portfast bpduguard enable

#ip dhcp snooping

Capture 5 : Activation des fonctionnalités de sécurité

SWDMZ (Switch pour la DMZ) :

• Objectif : Connecter les serveurs DMZ (SRV_WEB, SRVFTP, SRVLOG) et le pare-feu.

• Configuration CLI (Exemple) :

• VLAN Configuration
#vlan 30
#name VLAN_DMZ

Capture 6 : Configuration vlan au niveau de SWDMZ

• Assigné les ports aux VLANs

#interface range g0/0 - 2

#switchport mode access
#switchport access vlan 30

Capture 7 : Assignation des ports aux VLANs

29
# Activer les fonctionnalités de sécurité
#spanning-tree portfast bpduguard enable

3.2.5. Configuration du Routeur Internet (RTRINTERNET)

• Objectif : Connecter le réseau interne à Internet, NAT, routage inter-VLAN et sécuriser le

trafic WAN.
• Configuration CLI :

• Configurer les interfaces

#interface g0/0
#description LAN Side
#Ip address [Link] [Link]
#no shutdown

#interface g0/1
#description WAN Side
#ip address dhcp
#no shutdown

Capture 8 : Configurer les interfaces

• Configuration NAT

#ip nat Inside source List 1 interface g0/1 Overlord

#access-list 1 permit [Link] [Link]
30
#access-list 1 permit [Link] [Link]
#access-list 1 permit [Link] [Link]

Capture 9 : Configuration NAT

• Configuration du routage inter-VLAN

#ip route [Link] [Link] dhcp

Capture 10 : Configuration du routage inter-VLAN

3.2.6. Configuration du Pare-feu Palo Alto (PA-VM)

• Objectif : Inspection du trafic, segmentation DMZ, sécurisation des services (Web, Mail, FTP, AD,
Syslog), et gestion des attaques applicatives.

Étape 1 : Zones de Sécurité

• Création des zones

• LAN : Pour le réseau interne (VLAN 10, VLAN 20).

• DMZ : Pour les serveurs exposés (VLAN 30).

• WAN : Pour la connexion Internet.

Capture 11 : Configuration des Zones de Sécurité

31
Étape 2 : Interfaces
• Associer chaque VLAN à une interface du pare-feu :

• Interface e1/1 → Zone LAN, IP : [Link]/24

• Interface e1/2 → Zone DMZ, IP : [Link]/24

• Interface e1/3 → Zone WAN, IP : Obtenue en DHCP.

Capture 12 : Configuration de l'interface Ethernet 1/1

Capture 13 : Configuration de l'interface Ethernet 1/2 - Pour la DMZ

32
 Capture 14 : Configuration de l’interface Ethernet 1/3 – pour le WAN

Capture 15 : Interfaces Up après commit

Étape 3 : Règles de Sécurité

Trafic LAN vers WAN (Accès Internet) :

• Autoriser uniquement les ports nécessaires : HTTP (80), HTTPS (443), SMTP (25), DNS (53).
• Bloquer tout autre trafic.
• Créez une règle dans Policies > Security :
o Source Zone : LAN
o Destination Zone : WAN
o Services : HTTP, HTTPS, SMTP, DNS
o Action : Allow
• Bloquez le trafic non nécessaire en ajoutant des règles de type deny pour d'autres services.

33
 Capture 16 : Autorisation uniquement des ports nécessaires (HTTP, HTTPS, SMTP, DNS)

• Bloquez le trafic non nécessaire en ajoutant des règles de type deny pour d'autres services.

Capture 17 : Bloquer tout autres trafics

Trafic DMZ vers WAN (Exposition Internet) :

• Autoriser uniquement les services Web : HTTP (80), HTTPS (443), FTP (21), SMTP (25).
• Créez une règle dans Policies > Security :
o Source Zone : DMZ
o Destination Zone : WAN
o Services : HTTP, HTTPS, FTP, SMTP
o Action : Allow

34
,

Capture 18 : Configuration du Trafic DMZ vers WAN

Trafic DMZ (Serveur Web) vers LAN (Serveur AD)

Le serveur Web doit probablement communiquer avec le Serveur AD pour :

• Résolution DNS,

• Authentification (Kerberos ou LDAP).

Configuration de la règle :
• Source Zone : DMZ.

• Destination Zone : LAN.

• Source Address : IP du Serveur Web [Link]

• Destination Address : IP du Serveur AD [Link]

Service/Application :

o LDAP (port 389) ou LDAPS (port 636) pour les annuaires.

• DNS (port 53) pour la résolution DNS.

o Kerberos (port 88) pour l'authentification.

• Action : Allow.

Capture 19 : Trafic DMZ (Serveur Web) vers LAN (Serveur AD)

35
Trafic DMZ (Serveur FTP) vers LAN (Serveur AD et Serveur Courriel)

Le serveur de fichiers dans la DMZ doit peut-être accéder à :

• Le Serveur AD pour des authentifications (LDAP, Kerberos),

• Le Serveur Courriel pour l'envoi ou la réception de courriels.

Configuration de la règle pour AD :

• Source Zone : DMZ.

• Destination Zone : LAN.

• Source Address : IP du Serveur de Fichiers [Link]

• Destination Address : IP du Serveur AD [Link]

Service/Application :
o LDAP (port 389) ou LDAPS (port 636).

o Kerberos (port 88).

o DNS (port 53).

• Action : Allow.

Capture 20 : Trafic DMZ (Serveur FTP) vers LAN (Serveur AD)

Serveur FTP → Serveur Courriel

Si le Serveur FTP doit envoyer des fichiers en pièces jointes via courriel ou notifier des utilisateurs :

• Source Zone : DMZ.

• Destination Zone : LAN.

• Source Address : IP du Serveur FTP [Link]
• Destination Address : IP du Serveur Courriel [Link]

Service/Application :

36
 o SMTP (ports 25, 587) pour envoyer des courriels.

o IMAP (port 993) ou POP3 (port 995) si le Serveur FTP reçoit des courriels.

• Action : Allow.

Capture 21 : Trafic DMZ (Serveur FTP) vers LAN (Serveur Courriel)

Blocage de tout autre trafic entre DMZ et LAN

Pour des raisons de sécurité, tout autre trafic non autorisé entre la DMZ et le LAN doit être bloqué :

• Source Zone : DMZ.

• Destination Zone : LAN.

• Source Address : Any.

• Destination Address : Any.

• Service/Application : Any.

Action : Deny.

Capture 22 : Blocage de tout autre trafic entre DMZ et LAN

37
Étape 4 : Inspection des Paquets et Sécurisation du Trafic
Inspection de niveau 7 (Application)

• Activer l'IPS/IDS (Intrusion Prevention System/Intrusion Détection System) pour détecter les intrusions.

o Créer un Profil IPS/IDS sous : Object > Security Profiles > Vulnerability Protection.
o Activer les actions de blocage (Block) et d'alerte (Alert) pour les signatures pertinentes
comme SQL Injection, XSS, et autres vulnérabilités.
o Appliquer le Profil IPS/IDS aux Règles de Sécurité sous : Policies > Security

Capture 23 : Activation du profil IPS/IDS

Création du Profil Anti-Spyware :
Accédez à la section Anti-Spyware :

• Allez dans Object > Security Profiles > Anti-Spyware.

Ajouter un Nouveau Profil Anti-Spyware :

• Cliquez sur Add pour créer un nouveau profil.

• Donnez un Nom au profil, par exemple : "Profil Anti-Spyware Web-FTP-Mail".
• Ajoutez une Description : "Profil Anti-Spyware pour le trafic Web, FTP et Mail".

Configurer les Politiques de Signature :

• Dans la section Politiques de signature, vous devez choisir les signatures spécifiques que vous souhaitez
appliquer pour détecter et bloquer les menaces. Par exemple :
o Web Malware : Cette option détecte les malwares liés au trafic Web.
o Spyware : Cible les programmes espions (spyware) dans tous les types de trafic.
o Command and Control (C&C) : Détecte les communications avec les serveurs de commande et de
contrôle.
o Botnets : Bloque les tentatives de communication avec les botnets.

38
 Capture 24 : Création du profil Anti-Spyware Web-FTP-Mail
Configuration du Profil Anti-Virus

• Nom du Profil : Anti-Virus Web-FTP-Mail.

• Description : Ce profil est configuré pour scanner et bloquer les fichiers malveillants sur les flux Web,
FTP et Mail.
• Action : Configurez les actions pour chaque protocole scanné : HTTP, HTTPS, FTP, SMTP, IMAP,
POP3.

Capture 25 : Création du profil Anti-Virus WEB-FTP-MAIL

39
Inspection du Trafic Web et URL Filtering :

• Filtrage URL : Pour bloquer les sites malveillants ou non autorisés.

o Accédez à Object > Security Profiles > URL Filtering.

o Créez un profil de filtrage URL et appliquez-le à vos règles de sécurité.

Capture 26 : Création du profil de Filtrage d’URL

Après la création des profils, nous les avons associés aux règles de sécurité correspondant au trafic Web, FTP,
et Mail sous Policies > Security.

Capture 27 : Règles de Sécurité associées aux profils

40
Étape 5 : Configuration du NAT (Network Address Translation)
Traduction d'adresses réseau (NAT) pour les serveurs dans la DMZ.

• Créez une règle NAT pour traduire l’adresse privée des serveurs DMZ en une adresse publique (si
nécessaire).
• Exemple pour SRV_WEB (serveur Web) :
▪ Source : DMZ

▪ Destination : WAN

▪ Service : HTTP, HTTPS

▪ Action : NAT vers l’adresse publique.

Capture 28 : Configuration du NAT

3.2.7. Sécurisation des Services

• Serveur Web (NGINX + Odoo ERP)
▪ Certificat SSL : Importer ou Générer un certificat SSL valide pour chiffrer les connexions
HTTPS : Devices > Gestion des certificats > Certificat
▪ Configurer les certificats pour les services :
o Associer le certificat à l’Inspection SSL (Policies > Décryptage)

41
 Capture 29 : Sécurisation des Services
Limiter les requêtes par IP : Pour prévenir les attaques DDoS.

Sur le Palo Alto, nous avons configuré une protection DoS pour limiter les requêtes et prévenir les attaques
DDoS. Cela a été réalisé en créant un profil de protection DoS (type agrégé ou classé) avec des seuils spécifiques
pour les connexions, comme le SYN Flood, où nous avons défini des taux d'alarme, d'activation et maximum
(par exemple, 10 000 connexions/s avec une limite de 40 000 connexions/s). Ensuite, une règle DoS a été mise
en place dans les politiques pour appliquer ce profil à une source, une destination ou une plage d'adresses IP
spécifiques, permettant ainsi de surveiller et de bloquer les trafics malveillants en temps réel.

Capture 30 : Limitation des requêtes par IP

42
1. Configuration NGINX :

• Limiter les requêtes par IP pour prévenir les attaques DDoS ;

• Bloquer les méthodes HTTP non sécurisées (ex. TRACE, OPTIONS).

• Serveur Mail (Axigen)

• Activer le chiffrement TLS pour les connexions SMTP/IMAP ;

• Configurer SPF, DKIM, DMARC pour prévenir les attaques par phishing.

• Serveur FTP

• Limiter l’accès FTP à certaines IP autorisées (via le pare-feu) ;

• Activer FTP (FTP sur SSL).

• Serveur Syslog
• Vérifier que les logs système sont acheminés au serveur Syslog via une connexion sécurisée.

43
CONCLUSION

Ce projet a permis de démontrer l'importance stratégique des pares-feux de nouvelle génération, tels que ceux
proposés par Palo Alto Networks, dans la sécurisation des infrastructures réseau face aux cybermenaces
croissantes. En réponse à la diversification et à la sophistication des attaques informatiques, nous avons exploré
des solutions avancées capables d'aller au-delà des approches traditionnelles, en intégrant des fonctionnalités
d'identification fine des applications, de prévention des menaces, et de contrôle d'accès contextualisé.
Le travail mené a permis de répondre aux questions essentielles concernant la conception d’une architecture de
sécurité performante, les avantages concurrentiels de Palo Alto, et les bénéfices opérationnels pour les
organisations. À travers une analyse approfondie des aspects commerciaux, techniques et opérationnels, nous
avons démontré comment cette solution peut offrir une protection proactive et une gestion optimale des accès
distants, tout en garantissant une surveillance continue du réseau.
Malgré les défis rencontrés, notamment dans l’élaboration et le test des configurations, ce projet a confirmé la
pertinence des pares-feux Palo Alto pour relever les défis actuels de la cybersécurité. Les résultats obtenus
soulignent l’efficacité de l’approche adoptée pour concevoir une architecture réseau adaptée, sécuriser les flux
critiques, et valider les performances des configurations.
Enfin, ce projet ouvre des perspectives intéressantes pour améliorer encore la sécurité et l’efficacité des
infrastructures, en intégrant des solutions complémentaires comme des outils d’intelligence artificielle pour une
détection prédictive, ou en automatisant davantage les processus de réponse aux incidents. Il réaffirme le rôle
central des pares-feux de nouvelle génération dans les stratégies modernes de cybersécurité.

44