Que sont les notions de base sur la sécurité du réseau ?

Les notions de base sur la sécurité du réseau sont les éléments essentiels de la sécurité du réseau ou de la cybersécurité. Elles doivent être implémentées dans tous les réseaux, notamment à domicile, en entreprise et sur Internet. Une sécurité efficace du réseau requiert la protection des réseaux filaires et sans fil avec des pare-feu, des logiciels antimalware, des systèmes de détection des intrusions, un contrôle des accès, etc.

Notions de base sur la sécurité du réseau

La sécurité du réseau est un sujet complexe, qui implique de nombreuses technologies différentes avec des configurations parfois compliquées.

Le problème de sécurité à gérer est la séparation entre les éléments sur le réseau et les endpoints ou systèmes hôtes qui y sont attachés. La technologie pour le réseau et les endpoints comprend le contrôle des accès et le chiffrement. Néanmoins, sur le réseau, on retrouve également la segmentation et la sécurité du périmètre.

Sécurité du réseau et sécurité des endpoints

La sécurité du réseau n’est qu’une partie de l’équation de la sécurité. On considère généralement qu’elle s'applique aux appareils qui protègent le réseau en lui-même. Un pare-feu peut être un appareil autonome placé à côté de l'équipement de gestion de réseau, comme les routeurs ou les commutateurs, ou un logiciel présent dans le même boîtier physique, qui achemine et/ou commute. Sur le réseau, on trouve des pare-feu, des système de détection des intrusions (IDS), des systèmes de prévention des intrusions (IPS), des appliances de réseau privé virtuel (VPN), des systèmes de prévention des pertes de données (DLP), etc.

Le réseau est là pour connecter les systèmes les uns aux autres. Il vous permet par exemple de naviguer sur Amazon ou de faire des achats en ligne auprès de votre boutique locale. Les systèmes finaux doivent néanmoins être protégés eux aussi ; c’est ce que l’on appelle la sécurité des endpoints. Ces appareils comprennent les ordinateurs portables, les tablettes, les téléphones, mais aussi les appareils de l’Internet des objets (IdO).

L’IdO comprend les appareils tels que les thermostats, les caméras, les réfrigérateurs, les serrures de porte, les ampoules, les pompes de piscine, les couvertures intelligentes, etc., le tout connecté. Ces appareils requièrent eux aussi des contrôles de sécurité. Tous ne sont cependant pas assez sophistiqués pour contenir, par exemple, un pare-feu basé sur l’hôte ou un agent antimalware. Si l’endpoint est une ampoule, sa protection réside sans doute dans la sécurité du réseau.

Contrôle des accès

Le contrôle des accès constitue le point de départ. Les entreprises parlent souvent de gestion des identités et des accès (IAM). Le contrôle des accès n’est pas une nouveauté. Les humains contrôlent les accès aux bâtiments depuis l’installation de la première serrure sur une porte, il y a plus de 6 000 ans. Le contrôle des accès est désormais effectué sur les réseaux, les ordinateurs, les téléphones, les applications, les sites Web et les fichiers.

Le contrôle des accès repose sur les principales IAAA :

  • I : l’Identification est l'affirmation du nom ou de l’identification d'un utilisateur, comme l’ID ou l'adresse email de l’utilisateur.
  • A : l’Authentification fournit la preuve que l’utilisateur est bien celui qu’il prétend être. Cette étape reste principalement fondée sur des mots de passe.
  • A : l’Autorisation consiste à accorder des autorisations ou non à l’utilisateur. L’utilisateur peut ne pas être autorisé et ne pas recevoir d'autorisations, ou il peut recevoir des autorisations en lecture, écriture, contrôle complet, etc.
  • A : la responsabilité (Accountability) consiste à suivre ce qui s’est passé. Le journal montre qu’un utilisateur a tenté d'accéder ou a accédé au système. Le journal peut également inclure toutes les actions effectuées par l’utilisateur.
     

Types d'authentification

Dans l’IAAA, l’authentification est peut-être le sujet le plus important. Les mots de passe restent l’authentification la plus fréquente sur la plupart des systèmes. Cependant, ils ne sont généralement pas très sécurisés, car il est facile de les pirater.

Si un mot de passe est court, le hacker n'aura pas de difficultés à le trouver. Les hackers utilisent une attaque par force brute pour deviner un mot de passe, en testant toutes les combinaisons possibles. L'attaquant peut également utiliser une attaque de piratage de mot de passe, qui consiste à employer un programme qui recrée les mots de passe dont le hachage donne la même valeur.

Trois types ou facteurs d'authentification sont actuellement utilisés. Il s'agit des suivants :

  • Quelque chose que vous connaissez : une chaîne de caractères, de chiffres ou une combinaison, stockée dans votre cerveau. Aujourd’hui, elles doivent être stockées dans un gestionnaire de mots de passe.
  • Quelque chose que vous possédez : un appareil ou un logiciel sur un appareil dont vous avez besoin pour vous authentifier. Cela inclut des appareils comme un token RSA ou Google Authenticator sur un smartphone.
  • Quelque chose que vous êtes : un aspect de votre personne. Il s'agit de biométrie, soit physiologique, comme une empreinte digitale, soit comportementale, comme une empreinte vocale.

 

Le meilleur choix est l’authentification à deux facteurs (2FA), parfois nommée authentification multifacteur (MFA). Nous recommandons fortement ce type d’authentification pour vos comptes personnels, comme Amazon ou Facebook.

Les applications telles que Google Authenticator sont gratuites et constituent un bien meilleur choix que de recevoir un SMS sur votre téléphone. Le National Institute of Standards and Technology (NIST) des États-Unis recommande de pas utiliser les SMS.

Nous recommandons également le 2FA pour le bureau, mais c’est au niveau de la politique ou de la direction qu’il revient de prendre cette décision. Cela dépend de nombreux facteurs, comme l'actif, la classification des données, les risques et les vulnérabilités.

Segmentation du réseau

La segmentation du réseau améliore la sécurité en contrôlant le flux de données entre différents réseaux. Elle est effectuée le plus souvent à l'aide de réseaux VLAN. Il existe de nombreuses variantes sur ce thème, comme un VLAN privé (PVLAN), un VLAN extensible (VXLAN), etc. Un VLAN repose sur la couche de liaison des données, la couche 2 dans le modèle OSI (Open System Interconnect). La plupart des administrateurs réseau mappent un sous-réseau IP à un VLAN.

Les routeurs permettent au trafic de passer entre les VLAN, selon la configuration. Si vous souhaitez bénéficier d’un contrôle, la configuration du routeur est essentielle.  

Le VPC (virtual private cloud) est une autre option dans le Cloud. Le trafic vers et depuis le VPC est également contrôlé par les configurations.

Il est essentiel de comprendre les exigences de l’entreprise en matière de charge utile pour pouvoir configurer et contrôler l’accès vers ou depuis les VLAN et VPC.

Sécurité du périmètre

La sécurité du périmètre est fondée sur la logique selon laquelle il existe une limite définie entre un réseau interne/fiable et un réseau externe/non fiable. Il s'agit d'une conception de réseau traditionnelle, qui date de l’époque où le réseau et le data center étaient confinés dans un même bâtiment. Dans cette configuration, un routeur se connecte aux réseaux internes et externes. La configuration de base d’une liste de contrôle des accès (ACL) dans le routeur contrôle le trafic qui peut passer.

Vous pouvez ajouter la sécurité dans le périmètre avec des pare-feu, l’IDS et l’IPS.  Pour plus d’informations à ce sujet, consultez la page Mesures sur la sécurité du réseau.

Chiffrement

Le chiffrement est essentiel pour éviter les regards indiscrets sur les données et communications sensibles. Le chiffrement protège les fichiers sur le disque dur de votre ordinateur, une session de services bancaires, les données stockées dans le cloud, les emails sensibles, et bien d'autres applications. La cryptographie vérifie également l’intégrité des données et l’authentification de la source des données. 

Le chiffrement se divise en deux types de cryptographie de base : symétrique et asymétrique. 

  • La cryptographie symétrique fait appel à une clé unique qui chiffre et déchiffre. Elle doit donc être partagée avec quelqu’un pour que la communication chiffrée ait lieu. Les algorithmes courants comprennent AES (Advanced Encryption Standard), Blowfish, Triple-DES (Data Encryption Standard), et bien d'autres.
  • La cryptographie asymétrique comporte deux clés distinctes, l’une publique et l’autre privée, qui fonctionnent ensemble. Le jeu de clés appartient à un utilisateur ou à un service : par exemple, un serveur Web. Une clé est destinée au chiffrement, l’autre au déchiffrement. 
  • Si la clé publique chiffre les données, celles-ci restent confidentielles. En effet, le propriétaire de la clé privée est le seul à pouvoir les déchiffrer.
  • Si la clé privée chiffre les données, cela prouve l’authenticité de la source. Lorsque les données sont bien déchiffrées avec la clé publique, seule la clé privée peut l’avoir chiffrée. La clé publique est véritablement publique et accessible à tous.

 

Le hachage est un troisième sujet. Même s’il ne s'agit pas de chiffrement, il doit être inclus dans les discussions sur la sécurité. Le hachage exécute un algorithme sur un message qui calcule la réponse obtenue, nommée le hachage, d'après les bits de ce message. Les bits peuvent être des données, de la voix ou de la vidéo. Le hachage ne change aucunement la valeur des données. À l’inverse, le chiffrement altère les données pour les rendre illisibles. 

Le hachage prouve que les bits du message n'ont pas changé. Il assure l’intégrité des données et le fait que leur format soit d'origine. Seul le hachage protège les données des dommages accidentels.

Si le hachage est chiffré avec une clé privée asymétrique, cela prouve que les données n'ont pas été falsifiées par un hacker. Les modifications malveillantes sont impossibles, sauf si la clé privée est compromise.

Si la clé n’a pas été compromise, vous savez que la personne qui possède la clé privée doit être celle qui a calculé le hachage. Cette clé peut être symétrique, également nommée privée, ou asymétrique.

Sécurité sans fil

Il est difficile de protéger des données, de la voix ou de la vidéo transmises sur un réseau sans fil. Les transmissions sans fil sont conçues pour émettre un signal. Un hacker à portée peut donc facilement capturer la transmission. Il existe des normes de chiffrement pour le sans fil, mais la plupart ont été violées d’une manière ou d’une autre.

Les normes de chiffrement comprennent WEP, WPA, WPA2 et désormais, WPA3.

  • Le WEP (Wired Equivalent Privacy) utilise l’algorithme symétrique RC4 pour chiffrer la transmission sans fil. Les hackers l’ont rapidement piraté. Il existe d'ailleurs un outil de piratage pratique nommé WEP crack.
  • Le WPA (Wi-Fi Protected Access) avait remplacé le WEP, mais utilisait toujours le RC4. Les hackers ont modifié WEP pour pirater le WPA.
  • Le WPA2, la deuxième version du WPA, offre deux options.
    • Le WPA2-personal utilise une clé pré-partagée, parfois nommée clé de sécurité. Il s'agit en fait d'un mot de passe saisi sur un appareil sans fil, comme un ordinateur portable ou un téléphone, et dans le point d'accès sans fil (WAP, wireless access point). Les hackers ont trouvé la première faille en 2017, nommée Key Reinstallation AttaCK (KRACK).
    • Le WPA2-enterprise utilise une couche de sécurité supplémentaire en authentifiant l’utilisateur sur un serveur RADIUS (Remote Authentication Dial-In User Service) centralisé. Il utilise également l’EAP (Extensible Authentication Protocol) pour transmettre les informations d’authentification sur la connexion sans fil locale. L’association de RADIUS et d’EAP en tant que protocole de sécurité est nommée IEEE 802.1x.
Diagramme de connexion chiffrée
  • Le WPA3 propose également deux options.
    • Le WPA3-personal offre aux utilisateurs un niveau de protection supérieur avec une clé de chiffrement 128 bits. Elle offre une authentification par mot de passe solide, même lorsque les mots de passe d’utilisateur sont trop simples pour assurer une bonne sécurité. Le WPA3-personal y parvient grâce au SAE (Simultaneous Authentication of Equals) au lieu de la clé pré-partagée dans le WPA2-personal.   
    • Le WPA3-enterprise[SM2] [TA(3] [SM4]  utilise une clé de chiffrement 192 bits pour renforcer la sécurité. Elle améliore le WPA2 qui applique des protocoles de sécurité de manière cohérente dans tout le réseau d’une organisation.  

Certifications en matière de sécurité

La sécurité du réseau est complexe. C’est un combat sans fin contre les hackers. Consultez la page Mesures sur la sécurité du réseau pour plus d’informations.

Il est toujours conseillé de respecter les certifications en matière de sécurité. Les certifications CompTIA Security+ et (ISC)SSCP (System Security Certified Practitioner) sont d’excellents points de départ. La certification (ISC)CISSP (Certified Information System Security Professional) est un peu plus avancée et destinée aux responsables, tout en intégrant des connaissances techniques. Vous pouvez également passer des examens spécifiques aux fournisseurs, comme les examens basés sur le Cloud pour AWS, GCP ou Azure.

Articles associés