Les notions de base sur la sécurité du réseau sont les éléments essentiels de la sécurité du réseau ou de la cybersécurité. Elles doivent être implémentées dans tous les réseaux, notamment à domicile, en entreprise et sur Internet. Une sécurité efficace du réseau requiert la protection des réseaux filaires et sans fil avec des pare-feu, des logiciels antimalware, des systèmes de détection des intrusions, un contrôle des accès, etc.
La sécurité du réseau est un sujet complexe, qui implique de nombreuses technologies différentes avec des configurations parfois compliquées.
Le problème de sécurité à gérer est la séparation entre les éléments sur le réseau et les endpoints ou systèmes hôtes qui y sont attachés. La technologie pour le réseau et les endpoints comprend le contrôle des accès et le chiffrement. Néanmoins, sur le réseau, on retrouve également la segmentation et la sécurité du périmètre.
La sécurité du réseau n’est qu’une partie de l’équation de la sécurité. On considère généralement qu’elle s'applique aux appareils qui protègent le réseau en lui-même. Un pare-feu peut être un appareil autonome placé à côté de l'équipement de gestion de réseau, comme les routeurs ou les commutateurs, ou un logiciel présent dans le même boîtier physique, qui achemine et/ou commute. Sur le réseau, on trouve des pare-feu, des système de détection des intrusions (IDS), des systèmes de prévention des intrusions (IPS), des appliances de réseau privé virtuel (VPN), des systèmes de prévention des pertes de données (DLP), etc.
Le réseau est là pour connecter les systèmes les uns aux autres. Il vous permet par exemple de naviguer sur Amazon ou de faire des achats en ligne auprès de votre boutique locale. Les systèmes finaux doivent néanmoins être protégés eux aussi ; c’est ce que l’on appelle la sécurité des endpoints. Ces appareils comprennent les ordinateurs portables, les tablettes, les téléphones, mais aussi les appareils de l’Internet des objets (IdO).
L’IdO comprend les appareils tels que les thermostats, les caméras, les réfrigérateurs, les serrures de porte, les ampoules, les pompes de piscine, les couvertures intelligentes, etc., le tout connecté. Ces appareils requièrent eux aussi des contrôles de sécurité. Tous ne sont cependant pas assez sophistiqués pour contenir, par exemple, un pare-feu basé sur l’hôte ou un agent antimalware. Si l’endpoint est une ampoule, sa protection réside sans doute dans la sécurité du réseau.
Le contrôle des accès constitue le point de départ. Les entreprises parlent souvent de gestion des identités et des accès (IAM). Le contrôle des accès n’est pas une nouveauté. Les humains contrôlent les accès aux bâtiments depuis l’installation de la première serrure sur une porte, il y a plus de 6 000 ans. Le contrôle des accès est désormais effectué sur les réseaux, les ordinateurs, les téléphones, les applications, les sites Web et les fichiers.
Le contrôle des accès repose sur les principales IAAA :
Dans l’IAAA, l’authentification est peut-être le sujet le plus important. Les mots de passe restent l’authentification la plus fréquente sur la plupart des systèmes. Cependant, ils ne sont généralement pas très sécurisés, car il est facile de les pirater.
Si un mot de passe est court, le hacker n'aura pas de difficultés à le trouver. Les hackers utilisent une attaque par force brute pour deviner un mot de passe, en testant toutes les combinaisons possibles. L'attaquant peut également utiliser une attaque de piratage de mot de passe, qui consiste à employer un programme qui recrée les mots de passe dont le hachage donne la même valeur.
Trois types ou facteurs d'authentification sont actuellement utilisés. Il s'agit des suivants :
Le meilleur choix est l’authentification à deux facteurs (2FA), parfois nommée authentification multifacteur (MFA). Nous recommandons fortement ce type d’authentification pour vos comptes personnels, comme Amazon ou Facebook.
Les applications telles que Google Authenticator sont gratuites et constituent un bien meilleur choix que de recevoir un SMS sur votre téléphone. Le National Institute of Standards and Technology (NIST) des États-Unis recommande de pas utiliser les SMS.
Nous recommandons également le 2FA pour le bureau, mais c’est au niveau de la politique ou de la direction qu’il revient de prendre cette décision. Cela dépend de nombreux facteurs, comme l'actif, la classification des données, les risques et les vulnérabilités.
La segmentation du réseau améliore la sécurité en contrôlant le flux de données entre différents réseaux. Elle est effectuée le plus souvent à l'aide de réseaux VLAN. Il existe de nombreuses variantes sur ce thème, comme un VLAN privé (PVLAN), un VLAN extensible (VXLAN), etc. Un VLAN repose sur la couche de liaison des données, la couche 2 dans le modèle OSI (Open System Interconnect). La plupart des administrateurs réseau mappent un sous-réseau IP à un VLAN.
Les routeurs permettent au trafic de passer entre les VLAN, selon la configuration. Si vous souhaitez bénéficier d’un contrôle, la configuration du routeur est essentielle.
Le VPC (virtual private cloud) est une autre option dans le Cloud. Le trafic vers et depuis le VPC est également contrôlé par les configurations.
Il est essentiel de comprendre les exigences de l’entreprise en matière de charge utile pour pouvoir configurer et contrôler l’accès vers ou depuis les VLAN et VPC.
La sécurité du périmètre est fondée sur la logique selon laquelle il existe une limite définie entre un réseau interne/fiable et un réseau externe/non fiable. Il s'agit d'une conception de réseau traditionnelle, qui date de l’époque où le réseau et le data center étaient confinés dans un même bâtiment. Dans cette configuration, un routeur se connecte aux réseaux internes et externes. La configuration de base d’une liste de contrôle des accès (ACL) dans le routeur contrôle le trafic qui peut passer.
Vous pouvez ajouter la sécurité dans le périmètre avec des pare-feu, l’IDS et l’IPS. Pour plus d’informations à ce sujet, consultez la page Mesures sur la sécurité du réseau.
Le chiffrement est essentiel pour éviter les regards indiscrets sur les données et communications sensibles. Le chiffrement protège les fichiers sur le disque dur de votre ordinateur, une session de services bancaires, les données stockées dans le cloud, les emails sensibles, et bien d'autres applications. La cryptographie vérifie également l’intégrité des données et l’authentification de la source des données.
Le chiffrement se divise en deux types de cryptographie de base : symétrique et asymétrique.
Le hachage est un troisième sujet. Même s’il ne s'agit pas de chiffrement, il doit être inclus dans les discussions sur la sécurité. Le hachage exécute un algorithme sur un message qui calcule la réponse obtenue, nommée le hachage, d'après les bits de ce message. Les bits peuvent être des données, de la voix ou de la vidéo. Le hachage ne change aucunement la valeur des données. À l’inverse, le chiffrement altère les données pour les rendre illisibles.
Le hachage prouve que les bits du message n'ont pas changé. Il assure l’intégrité des données et le fait que leur format soit d'origine. Seul le hachage protège les données des dommages accidentels.
Si le hachage est chiffré avec une clé privée asymétrique, cela prouve que les données n'ont pas été falsifiées par un hacker. Les modifications malveillantes sont impossibles, sauf si la clé privée est compromise.
Si la clé n’a pas été compromise, vous savez que la personne qui possède la clé privée doit être celle qui a calculé le hachage. Cette clé peut être symétrique, également nommée privée, ou asymétrique.
Il est difficile de protéger des données, de la voix ou de la vidéo transmises sur un réseau sans fil. Les transmissions sans fil sont conçues pour émettre un signal. Un hacker à portée peut donc facilement capturer la transmission. Il existe des normes de chiffrement pour le sans fil, mais la plupart ont été violées d’une manière ou d’une autre.
Les normes de chiffrement comprennent WEP, WPA, WPA2 et désormais, WPA3.
La sécurité du réseau est complexe. C’est un combat sans fin contre les hackers. Consultez la page Mesures sur la sécurité du réseau pour plus d’informations.
Il est toujours conseillé de respecter les certifications en matière de sécurité. Les certifications CompTIA Security+ et (ISC)2® SSCP (System Security Certified Practitioner) sont d’excellents points de départ. La certification (ISC)2® CISSP (Certified Information System Security Professional) est un peu plus avancée et destinée aux responsables, tout en intégrant des connaissances techniques. Vous pouvez également passer des examens spécifiques aux fournisseurs, comme les examens basés sur le Cloud pour AWS, GCP ou Azure.