Le filtrage web consiste à contrôler et bloquer l'accès à certains sites Internet selon des règles définies, en analysant les URL visitées, le contenu des pages, et la réputation des sites. L'ISO 27002 mesure 8.23 recommande quatre contrôles principaux :

• Blocage des sites malveillants : empêcher l'accès aux sites connus pour distribuer des malwares, héberger du phishing, ou être contrôlés par des attaquants
• Filtrage par catégorie : bloquer des catégories entières de sites selon la politique d'utilisation (réseaux sociaux, jeux, streaming, sites adultes, paris)
• Protection HTTPS : inspecter le trafic chiffré pour détecter les menaces cachées dans les connexions sécurisées
• Journalisation et reporting : enregistrer toutes les tentatives d'accès pour analyser les comportements et détecter les compromissions

Ces contrôles visent à protéger les utilisateurs contre les menaces web tout en garantissant un usage approprié d'Internet conforme aux règles de l'organisation.

Sites de phishing

Les sites de phishing imitent l'apparence de sites légitimes (banques, services cloud, réseaux sociaux) pour voler les identifiants des utilisateurs. Un employé qui clique sur un lien dans un email prétendant venir de Microsoft et arrive sur une fausse page de connexion Office 365 saisit ses identifiants professionnels qui sont immédiatement transmis aux attaquants.

Protection : le filtre web identifie les domaines de phishing connus et les pages suspectes, bloque l'accès avant que l'utilisateur ne saisisse ses identifiants, affiche un avertissement clair expliquant pourquoi le site est bloqué.

Sites distribuant des malwares

Des sites web légitimes compromis ou des sites créés spécifiquement pour distribuer des malwares infectent les visiteurs automatiquement (drive-by download) ou proposent des téléchargements piégés (faux codecs vidéo, fausses mises à jour logicielles).

Protection : le filtre web bloque l'accès aux domaines et URL connus pour distribuer des malwares, analyse le contenu des pages téléchargées pour détecter du code malveillant, empêche les téléchargements de fichiers exécutables depuis des sources non fiables.

Sites de commande et contrôle (C&C)

Les malwares déjà installés sur les postes tentent de communiquer avec des serveurs de commande et contrôle pour recevoir des instructions, exfiltrer des données, ou télécharger des modules supplémentaires. Bloquer ces communications rend le malware inopérant.

Protection : le filtre web bloque les domaines et adresses IP identifiés comme serveurs C&C, empêche les malwares de recevoir des ordres ou d'envoyer des données volées, alerte immédiatement lorsqu'un poste tente de contacter un serveur C&C (signe d'infection).

Sites inappropriés et non professionnels

Sites de réseaux sociaux, streaming vidéo, jeux en ligne, paris, contenu adulte consomment de la bande passante, réduisent la productivité, et exposent potentiellement à des malwares ou du contenu inapproprié au travail.

Protection : le filtre web bloque par catégorie selon la politique d'utilisation, autorise des exceptions si justifiées (équipe marketing ayant besoin d'accéder aux réseaux sociaux), applique des règles différentes selon les plages horaires (relaxation pendant la pause déjeuner si souhaité).

Filtrage DNS

La méthode la plus simple : le serveur DNS de l'organisation (ou un DNS filtrant externe comme Cloudflare for Teams, Cisco Umbrella) refuse de résoudre les noms de domaine malveillants ou interdits. Lorsqu'un utilisateur tente d'accéder à un site bloqué, la résolution DNS échoue et le navigateur affiche une erreur.

Avantages : facile à déployer, fonctionne pour tous les appareils sans configuration, léger en ressources.

Limites : ne peut pas bloquer par URL (seulement par domaine complet), contournable si l'utilisateur change manuellement son DNS, ne peut pas inspecter le contenu HTTPS.

Proxy web

Tous les navigateurs sont configurés pour passer par un serveur proxy qui analyse chaque requête HTTP/HTTPS. Le proxy vérifie l'URL demandée contre des listes de blocage, inspecte le contenu téléchargé, applique des règles complexes (par utilisateur, par groupe, par horaire).

Avantages : contrôle granulaire par URL et contenu, possibilité d'inspection HTTPS, journalisation détaillée de toute l'activité web, peut bloquer des pages spécifiques sur un site autorisé.

Limites : nécessite configuration des navigateurs ou redirection réseau transparente, peut ralentir la navigation si mal dimensionné, contournable si l'utilisateur désactive le proxy.

Passerelle web sécurisée (SWG)

Solution professionnelle cloud ou on-premise qui combine proxy, antivirus web, anti-phishing, filtrage par catégorie, DLP (prévention de fuite de données) et inspection HTTPS. C'est la solution complète pour les organisations moyennes et grandes.

Exemples : Zscaler, Cisco Umbrella, Palo Alto Prisma Access, Fortinet FortiGate.

Filtrage intégré dans les pare-feu nouvelle génération

Les pare-feu NGFW (Next-Generation Firewall) incluent des modules de filtrage web avec base de données de réputation constamment mise à jour. Le filtrage est appliqué directement au niveau du pare-feu réseau.

Approche par catégories

Catégories toujours bloquées (sécurité) : malwares, phishing, hacking/proxy/anonymiseurs, violence/armes, contenu illégal, sites de commande et contrôle.

Catégories bloquées par défaut (productivité/approprié) : jeux en ligne, streaming vidéo/audio, réseaux sociaux personnels, paris/loterie, rencontres, contenu adulte.

Catégories autorisées : sites professionnels, recherche, actualités, banque/finance, éducation, santé.

Catégories selon contexte : réseaux sociaux professionnels (LinkedIn autorisé), médias sociaux (autorisé pour équipe marketing uniquement), téléchargements (autorisé pour IT uniquement).

Exceptions et listes blanches

Certains sites légitimes sont parfois mal catégorisés et bloqués injustement. Mettre en place un processus de demande d'exception : l'utilisateur justifie le besoin professionnel, le manager valide, l'IT ajoute le site à la liste blanche.

Documenter toutes les exceptions : quel site, pourquoi, qui a validé, pour qui (utilisateur individuel ou groupe entier).

Différenciation par groupes d'utilisateurs

Appliquer des politiques différentes selon les fonctions : direction et cadres : filtrage sécurité uniquement (malwares, phishing), accès ouvert au reste, employés standards : filtrage complet selon politique, équipe IT : accès large pour besoins techniques mais journalisation renforcée, équipe marketing : accès autorisé aux réseaux sociaux et sites de publicité, invités et visiteurs : filtrage très strict, accès minimal.

Le défi du HTTPS

Aujourd'hui, 90% du trafic web utilise HTTPS (chiffré). Sans inspection, le filtre web ne peut voir que le nom de domaine (dans la requête DNS et SNI) mais pas l'URL complète ni le contenu de la page. Un site mixte (domaine légitime hébergeant du phishing sur une page spécifique) ne peut pas être bloqué finement.

Inspection SSL/TLS (décryptage)

La passerelle web génère un certificat à la volée pour chaque site visité, se positionne entre l'utilisateur et le site web, décrypte le trafic, l'inspecte, le rechiffre avant de le transmettre. L'utilisateur voit un certificat émis par la passerelle (pas celui du site original).

Prérequis : installer le certificat racine de la passerelle sur tous les postes comme autorité de confiance. Sans cela, les navigateurs affichent des avertissements de certificat invalide.

Limitations éthiques et légales : l'inspection HTTPS permet de voir tout le contenu des communications, y compris les données personnelles, mots de passe, contenus médicaux. Définir une politique claire : quels sites ne sont jamais inspectés (banques, santé, sites gouvernementaux sensibles), quelle utilisation est faite des données inspectées (uniquement sécurité, jamais surveillance RH), information transparente aux employés.

Logs à conserver

Enregistrer pour chaque requête web : date/heure, utilisateur (si identifiable), URL demandée, catégorie du site, action (autorisé/bloqué/averti), taille des données téléchargées.

Conserver les logs suffisamment longtemps pour les investigations d'incidents (généralement 90 jours à 1 an selon politique).

Analyse des comportements

Analyser régulièrement les logs pour détecter : tentatives répétées d'accès à des sites bloqués : utilisateur qui essaie constamment d'accéder à des sites interdits (contournement volontaire ?), accès à de multiples sites de phishing : poste probablement infecté qui suit des liens malveillants, téléchargements massifs : exfiltration de données ou téléchargement abusif, navigation inhabituelle : utilisateur qui visite soudainement des catégories jamais consultées auparavant.

Techniques de contournement

VPN et proxy externes : l'utilisateur utilise un VPN ou proxy pour contourner le filtrage. Le trafic passe par un tunnel chiffré que le filtre ne peut inspecter.

Protection : bloquer la catégorie "anonymiseurs/proxy", détecter et bloquer les connexions VPN non autorisées (inspection DPI), utiliser une solution de gestion des appareils (MDM) qui interdit l'installation de VPN personnels.

Utilisation du smartphone personnel : l'utilisateur bascule sur son smartphone en 4G/5G pour accéder aux sites bloqués.

Acceptation : difficile à empêcher totalement, l'important est de protéger le réseau de l'organisation et les postes professionnels.

Changement de DNS : l'utilisateur modifie manuellement le DNS de son poste pour utiliser un DNS public (8.8.8.8 Google, 1.1.1.1 Cloudflare)

Protection : bloquer au niveau du pare-feu toutes les requêtes DNS sortantes sauf celles vers le DNS de l'organisation, forcer l'utilisation du DNS interne par DHCP et GPO.

Faux positifs

Les systèmes de filtrage bloquent parfois des sites légitimes mal catégorisés. Mettre en place un processus simple de déblocage : formulaire de demande en ligne, traitement sous 1 heure pour les urgences, révision régulière des sites bloqués injustement pour améliorer la catégorisation.

• Pas de filtrage web : laisser un accès Internet totalement ouvert expose à toutes les menaces. Filtrage minimum des malwares et phishing obligatoire.
• Filtrage DNS uniquement : le filtrage DNS seul est facilement contournable et peu efficace contre les menaces modernes. Utiliser un proxy ou SWG pour un contrôle réel.
• Inspection HTTPS sans politique claire : inspecter le trafic chiffré sans règles sur les exceptions (banque, santé) et sans information aux employés pose des problèmes légaux et éthiques.
• Pas d'analyse des logs : collecter des logs sans jamais les analyser ne sert à rien. Revue mensuelle minimum pour détecter les comportements anormaux.

Le filtrage web protège contre les menaces Internet en bloquant l'accès aux sites malveillants (phishing, distribution de malwares, serveurs C&C) et aux sites inappropriés selon la politique d'utilisation. Les technologies de filtrage incluent le filtrage DNS (simple mais limité), les proxies web (contrôle granulaire), et les passerelles web sécurisées (solution complète professionnelle).

La politique de filtrage définit les catégories bloquées systématiquement (sécurité), bloquées par défaut (productivité), et autorisées, avec des règles différenciées par groupes d'utilisateurs. L'inspection HTTPS permet de détecter les menaces cachées dans le trafic chiffré mais nécessite une politique claire sur les exceptions et le respect de la vie privée. La journalisation et l'analyse régulière des tentatives d'accès permettent de détecter les infections et les comportements anormaux.