La sécurité du réseau est un terme général qui décrit la protection de toutes les ressources informatiques contre les attaques et les pannes liées à la disponibilité, à la confidentialité et à l’intégrité. Elle comprend les antimalware, les pare-feu, la détection des intrusions, la technologie de prévention des pertes de données et d'autres protections.
La sécurité du réseau implique des contrôles de protection spécifiques, ajoutés à un réseau. Ces contrôles ont évolué au fil des ans et vont continuer de se développer, à mesure que nous en apprenons davantage sur la défense d’un réseau et à mesure que les hackers découvrent de nouvelles méthodes d'attaque.
Si l'on veut avoir les meilleurs contrôles pour assurer la protection, il est nécessaire de commencer par comprendre le contexte actuel des menaces et les vulnérabilités des réseaux. Il est également important de comprendre quels types de contrôles sont disponibles, afin de pouvoir utiliser les fournisseurs, solutions et configurations appropriés pour votre réseau.
Les menaces sont des violations potentielles qui affectent la confidentialité, la disponibilité ou l’intégrité des ressources. Les menaces peuvent inclure la divulgation de données sensibles, l'altération des données, voire un refus d'accès à un service.
Le contexte actuel des menaces se compose d’informations sur les menaces, les acteurs malveillants et le vecteur de menace par lequel une attaque peut se produire. L'acteur malveillant est une personne ou un groupe de personnes qui veut causer du tort à l’aide de menaces existantes.
Par exemple, dans le cas d'un vol d'ordinateur portable, le voleur est l’acteur malveillant. Le vecteur de menace est le chemin qui permet la réalisation de l’attaque, comme une porte restée ouverte ou un ordinateur portable non fixé à une table.
Une vulnérabilité exploitable doit être présente pour qu’une menace puisse se concrétiser. Une vulnérabilité est un point faible ou une faille que les acteurs malveillants peuvent utiliser pour violer des politiques de sécurité.
Pour reprendre notre exemple sur l’ordinateur portable, un design léger, la facilité de transport et la commodité sont des caractéristiques qui attirent de nombreux clients. En parallèle, ces mêmes fonctionnalités sont des points faibles qui augmentent la probabilité de vol. Les contrôles de sécurité, comme les verrouillages de porte ou par câble, ralentissent l’acteur malveillant et réduisent la probabilité qu’un vol se produise, ce qui diminue le risque global.
La confidentialité, l’intégrité et la disponibilité (CIA, Confidentiality, Integrity and Availability) sont les principaux attributs qui définissent l’objectif d’un processus de sécurité des informations. Ce processus implique de nombreuses stratégies et activités. Chacune appartient à l’une de ces trois phases : prévention, détection et remédiation.
Les piliers de la phase de prévention sont les suivants et sont exécutés grâce à une politique bien documentée :
La détection consiste à utiliser des capacités qui surveillent et consignent l’activité du système. En cas de violation ou d'activité malveillante possible, les systèmes de détection doivent prévenir la partie ou la personne responsable. Le processus de détection n’a de sens que s'il est suivi d’une remédiation planifiée et en temps voulu.
La remédiation est une correction bien planifiée pour un incident, qui couvre l’arrêt d'une attaque en cours, la mise à jour d’un système avec le dernier correctif ou la modification de la configuration d’un pare-feu.
Il est important de comprendre les concepts essentiels liés à la sécurité du réseau. Si vous n’avez pas conscience des vulnérabilités et des acteurs malveillants, vous ne savez pas quels sont les meilleurs contrôles de sécurité à mettre en place. Par exemple, il faut comprendre que l’identité des utilisateurs doit être vérifiée avant l’accès au système. Il s'agit de connaissances essentielles qui vous permettent d’identifier le fournisseur et la solution appropriés.
Le contrôle des accès est un type de contrôle de sécurité que presque tout le monde connaît. De nos jours, la plupart des gens utilisent un mot de passe pour se connecter à un ordinateur. Vous l’avez peut-être fait vous-même il y a quelques minutes. Vous avez peut-être utilisé un mot de passe pour accéder à un réseau, à une application ou à un fichier. En moyenne, une personne doit suivre 10 mots de passe.
La mise en œuvre du contrôle des accès se divise en quatre parties : identification, authentification, autorisation et responsabilité (IAAA, identification, authentication, authorization et accounting). Ce processus confirme l’identité de l’utilisateur via un identifiant unique comme un ID utilisateur, un nom d'utilisateur ou un numéro de compte.
Le système authentifie l’identité de l’utilisateur en vérifiant les identifiants connus de l’utilisateur, comme le nom d’utilisateur et le mot de passe. Ils peuvent également être en possession de l'utilisateur, comme une carte d’identité ou un mot de passe à usage unique. Une fois que le système a vérifié un utilisateur, l'autorisation est le processus visant à accorder une autorisation d'accès.
La dernière partie, la responsabilité, concerne le suivi de l’activité de l’utilisateur, afin que les personnes bénéficiant d’un accès soient responsables de leurs actions sur un système. Les mots de passe ne sont pas la seule option à l’heure actuelle. Il existe de nombreuses options, notamment un appareil ou logiciel de génération de mot de passe à usage unique, des cartes à puce et la biométrie. Le choix de l’option correcte pour toute ressource réseau doit faire l’objet d’une réflexion attentive.
La segmentation du réseau divise un réseau en sous-parties logiques, ce qui permet d'ajouter des contrôles entre chaque. Cela améliore les performances et la sécurité. Les réseaux VLAN (Virtual local area network) sont une méthode de segmentation de réseau commune effectuée sur site ou avec l’infrastructure Cloud. Lorsqu’ils sont utilisés pour le Cloud, on parle de VPC (Clouds privés virtuels).
La gestion de réseau traditionnelle dans un data center physique possède un périmètre clairement défini. C’était le point où le data center avait une connexion avec le monde extérieur. Aujourd'hui, les périmètres sont plus difficiles à définir, mais nous utilisons tout de même de nombreuses technologies identiques.
Cela inclut les pare-feu (FW), les systèmes de détection des intrusions (IDS) et les systèmes de prévention des intrusions (IPS). Lorsque vous définissez un périmètre, il est nécessaire de déterminer quelles données, voix et vidéos peuvent passer. Lorsque vous avez compris quel type de trafic doit pouvoir circuler, vous pouvez configurer les mécanismes de contrôle en fonction.
Le chiffrement assure la confidentialité et l’intégrité des données en transit ou au repos, en les chiffrant à l'aide d’une clé. Les cryptographies symétrique et asymétrique constituent les deux types de base du chiffrement.
En Égypte antique, on utilisait le chiffrement symétrique pour protéger la confidentialité. Aujourd'hui, nous utilisons le même concept, mais employons des algorithmes bien plus complexes. Par exemple, si vous souhaitez qu’une session bancaire en ligne reste confidentielle, vous devez la chiffrer avec un chiffrement symétrique. Pour assurer l’authenticité du site Web de services bancaires, vous pouvez utiliser le chiffrement asymétrique afin d’échanger en toute sécurité les clés du chiffrement symétrique de cette session.
Le hachage utilise un algorithme pour générer une chaîne à longueur fixe de caractères aléatoires, en convertissant le message ou les données en une valeur courte. Cette chaîne sert de clé pour assurer l’intégrité du même message ou des mêmes données.
Les algorithmes de hachage permettent de vérifier l’intégrité d’une communication. C’est aussi simple que de lire cette phrase. Comment avoir l’assurance que c’est bien ce texte qui a été saisi ? A-t-il été modifié de manière accidentelle ou malveillante ?
Les algorithmes de hachage sont utilisés pour prouver que les lettres, ou les bits, n’ont pas été modifiés accidentellement. Le fait que le hachage soit protégé par le chiffrement vous permet d'avoir l'assurance qu’aucun hacker n'ait modifié le texte. Le hachage est souvent utilisé pour stocker des mots de passe en toute sécurité, surveiller des fichiers et assurer l'intégrité de la communication.
En savoir plus sur les notions de base sur la sécurité du réseau
Les personnes, les opérations et la technologie sont les principaux éléments qui contribuent à une sécurité de réseau approfondie. Une fois que vous avez identifié et évalué les risques qui menacent votre entreprise, vous pouvez déterminer vos besoins en sécurité du réseau. Cela inclut le type de technologie que vous devez utiliser pour la sécurité du périmètre, les réponses aux alertes générées depuis les pare-feu, la détection et la prévention des intrusions, et les journaux. Commençons par les pare-feu.
Les pare-feu sont une mesure de sécurité très traditionnelle, qui est ajoutée aux réseaux et aux systèmes finaux depuis plus de 25 ans. Le pare-feu classe le trafic dans deux catégories : le trafic souhaitable, qu'il laisse passer, et le trafic indésirable, qu’il bloque. Le filtre de paquets a été l’un des premiers pare-feu ayant éliminé le trafic indésirable.
Les fournisseurs ont trouvé de nombreuses façons de permettre aux pare-feu d'analyser et de classer automatiquement le trafic, ce qui a créé différentes variantes de pare-feu. Cela inclut les premiers filtres de paquets, les pare-feu nouvelle génération, et désormais, les pare-feu de génération Cloud.
Contrairement aux pare-feu, un système de détection et de prévention des intrusions (IDPS) surveille les activités malveillantes dans le réseau, et traite le reporting et la remédiation pour les incidents de sécurité réseau et les menaces potentielles. Un pare-feu cherche le trafic souhaitable et bloque le reste.
Un système de détection des intrusions (IDS) cherche le trafic qui ne devrait pas se trouver là. Il se concentre sur la recherche de trafic provenant d’un hacker ou d’un autre acteur malveillant. À mesure que la technologie a progressé, quelqu’un a dû poser une question pertinente : si nous savons que le trafic provient d’un hacker, pourquoi se contenter de le consigner dans le journal ? Pourquoi ne supprimons pas ce trafic dès son identification ? C’est là que la technologie est passée aux systèmes de prévention des intrusions (IPS).
Un IPS est actif par nature. Lorsqu’il déterminer que le trafic provient d’un hacker, il agit et détruit ce trafic. Le plan paraît excellent. Dans la réalité, ces systèmes sont difficiles à régler. Et s'ils ne sont pas réglés correctement, ils rejettent el bon trafic et laissent entrer le trafic provenant de hackers. La plupart des entreprises s'arrêtent donc à l’IDS et mettent en place des journaux, un SIEM (security information event manager) et des plans et équipes de remédiation d’incidents.
Un réseau privé virtuel (VPN) protège la confidentialité des données lorsqu’elles traversent votre réseau. Le cœur du VPN est le chiffrement, même s'il utilise encore l’authentification. Il existe trois options de chiffrement pour un VPN, en particulier pour les applications que les utilisateurs utilisent sur leur ordinateur portable ou leur téléphone pour se connecter à leur bureau à distance. Les trois options sont IPSec, SSL/TLS et SSH. Ces trois protocoles de chiffrement sont également utilisés pour d'autres applications.
IPSec est un protocole de chiffrement qui peut être utilisé dans quasi tous les scénarios : il fonctionne sur la couche 3 du modèle OSI (Open System Interconnect) de l’ISO (International Standards Organization). La couche 3 est la couche du réseau qui reçoit les données, la voix ou la vidéo dans la destination de réseau correcte. Si vous ajoutez IPSec, vos données seront envoyées à leur destination sous un format chiffré et confidentiel. Un usage courant, autre que les VPN, est la connectivité de site à site entre les locaux commerciaux.
TLS (Transport Layer Security) est la mise à niveau vers SSL. Il se serait nommé SSL 4.0 si International Engineering Task Force (IETF) n’en était pas devenu le propriétaire en 1999, en faisant suite à Netscape. TLS fournit une option de chiffrement pour les VPN, mais aussi pour les connexions basées sur le Web. Ces connexions peuvent être une connexion basée sur navigateur à une banque, à Amazon ou à tout autre site qui possède un verrou dans l'angle de votre navigateur.
Le SSH (Secure Shell) est principalement utilisé pour les connexions à distance d’un ordinateur à l’autre. Il est fréquemment utilisé par les administrateurs réseau pour la connexion aux serveurs, routeurs et commutateurs à des fins administratives. Ces connexions sont destinées à la configuration et à la surveillance.
Lorsque votre société possède du contenu, des livres, des manuels, etc., que vous souhaitez partager avec vos clients de manière contrôlée, la DRM (digital rights management, gestion des droits numériques) est la solution idéale. Les logiciels DRM sont bien connus de la plupart des personnes équipées d’un PC actuellement.
Si vous regardez Netflix ou Amazon Prime Video, ou écoutez de la musique sur Spotify ou iTunes, vous avez déjà vu un DRM. Si vous lisez un livre sur Kindle, vous ne pouvez pas partager ce livre avec n’importe qui. Le logiciel DRM de l’application Kindle ne le permet pas, en règle générale, mais tout dépend des droits du livre.
Si votre société a peur que les utilisateurs envoient un email contenant des informations sensibles, comme un numéro de carte de crédit, à une personne extérieure à l’entreprise, la prévention contre la fuite de données (DLP) est la bonne solution.
Les outils DLP surveillent le trafic qui ne devrait pas quitter l’entreprise, car il pourrait s'agir d'une fuite. Ils arrêtent donc cette transmission. En théorie, en tout cas. Il est très difficile de configurer correctement les DLP, mais cela vaut la peine de s’y intéresser pour protéger votre société des fuites de données accidentelles.
La surveillance est le contrôle le plus important à ajouter à toutes les entreprises. Il est important de surveiller les attaques, les menaces, les violations, les hackers, etc. En matière de sécurité, mieux vaut partir du principe que votre entreprise se fera pirater et que les utilisateurs feront des erreurs. Puis, surveillez les attaques et préparez-vous à y remédier. L’un des problèmes majeurs que peut rencontrer une entreprise classique est qu’elle ne sait même pas si elle a été attaquée.
Les appareils doivent consigner les événements, afin que vous puissiez savoir ce qui s’est passé et ce qui se passe sur votre réseau. Une fois les événements enregistrés, ils doivent être envoyés à un serveur syslog central pour y être analysés.
L’outil d'analyse est nommé SIEM (Security Information Event Manager). Son rôle est de mettre en corrélation les événements et de chercher des indicateurs de compromission (IOC). En cas de présence d’un IOC, quelqu’un doit réviser l’événement et déterminer si une action doit être mise en œuvre pour arrêter une attaque, ou réparer et restaurer les systèmes après une attaque.