La sécurité des réseaux est un enjeu majeur pour les entreprises. En effet, l’importance croissante des actifs informatiques, l’interconnexion des systèmes d’information et leur exposition, ont multiplié les risques d’attaques. Dans le même temps, l’information (les données) est produite, traitée, échangée et exploitée par des systèmes et sur des réseaux qui peuvent présenter des vulnérabilités au niveau de tous les composants ou de la configuration : serveurs, postes de travail, segmentation, Wi-Fi, accès utilisateurs, applications, etc.
Pourquoi est-il important de sécuriser un réseau interne ?
Les réseaux sont l’une des principales cibles d’attaques car, leur conception n’intègre que très rarement la prise en compte des risques sécurité. Cela se manifeste généralement par :
- Le manque de dispositifs et de procédures de gestion des accès.
- Le défaut de mécanismes de chiffrement.
- La mauvaise ou insuffisante gestion et configuration des équipements réseaux.
- Le manque de politiques de gestion des correctifs et des mises à jour.
- Le manque ou la mauvaise segmentation du réseau.
- L’absence d’une démarche d’évaluation de la sécurité du réseau et des systèmes.
Nous concédons que la conception d’une architecture réseau est un processus complexe. Néanmoins, une conception appropriée ne doit pas reposer uniquement sur les besoins fonctionnels. Elle doit également tenir compte des considérations de sécurité pour se prémunir de vulnérabilités critiques pouvant compromettre l’ensemble du système d’information. Il est donc nécessaire d’inclure les contraintes et les exigences de sécurité dès la phase de conception du réseau qui doivent assurer les objectifs de :
- Confidentialité, afin de s’assurer que les personnes ou les systèmes autorisés aient « UNIQUEMENT » accès aux ressources et données auxquelles ils ont droit.
- Intégrité, pour assurer que les ressources, données et informations ne soient pas, altérées, volées ou détruites par des utilisateurs ou des ressources non autorisés.
- Disponibilité, afin d’assurer un fonctionnement sans failles, et garantir l’accès aux services et ressources sans interruption.
- Traçabilité, afin de s’assurer que toute modification et changement dans le système sont surveillés et contrôlés.
Pour résumer en une phrase : la continuité de l’activité d’une organisation, donc sa pérennité, implique celle de son système d’information. Cependant, cette continuité ne peut être assurée que par la mise en place d’une politique et de mesures de sécurité adaptés aux enjeux spécifiques de l’entreprise. Seulement, une information sans système pour la mettre en œuvre est vaine, et un système coupé de ses utilisateurs l’est tout autant. C’est pourquoi la sécurité des réseaux doit être une des priorités de toute entreprise, quel que soit son secteur, son activité ou sa taille.
Sécuriser un réseau interne est donc vital et cela passe nécessairement par l’implémentation des meilleures pratiques en termes de configuration, d’intégration, de suivi et de tests sécurité.
Cet article ne vise pas l’exhaustivité. Il abordera la sécurité réseau uniquement sous l’angle des bonnes pratiques, avec quelques informations complémentaires sur les risques, les types d’attaques et les vulnérabilités qui peuvent être exploitées par des attaquants pour compromettre un réseau interne. Nous vous invitons donc à consulter notre article : Comment renforcer la sécurité de votre infrastructure réseau pour contrer les attaques les plus courantes ? afin d’avoir une vision plus globale sur les enjeux et risques sécurité, liés au réseau interne.
Segmenter et cloisonner le réseau interne
La segmentation consiste en la séparation du réseau en domaines physiques et logiques protégés chacun par un périmètre de sécurité bien défini. Dans la pratique, il s’agit de diviser le réseau en segments de réseau plus petits et isolés les uns des autres au sein de réseaux locaux virtuels (VLANs) ou de réseaux physiques (LANs).
D’un côté, cela permet de regrouper les postes de travail, les périphériques, les applications, les serveurs, et autres systèmes ayant différentes échelles de criticité dans des zones distinctes afin d’en optimiser la gestion et le niveau de sécurité. De l’autre, la segmentation permet de restreindre les connexions autorisées en différenciant, par exemple, un réseau interne pour lequel aucune connexion venant d’Internet n’est autorisée d’un réseau accessible depuis Internet. On parle généralement de zone démilitarisée ou DMZ. Par ailleurs, la mise en œuvre d’une telle DMZ nécessite l’installation de pare-feux entre les réseaux segmentés afin de contrôler les flux d’information entrants et sortants.
Segmentation du réseau en VLANs
Les VLANs permettent donc de créer des réseaux virtuels connectés à un équipement physique (switch), permettant de séparer le trafic entre les différents réseaux logiques définis. Cela permet de s’assurer que les machines d’un VLAN ne pourront pas communiquer avec celles appartenant à un autre VLAN, sauf interconnexion souhaitée. Ainsi, les VLANs offrent non seulement un meilleur contrôle mais facilitent la gestion du réseau.
Cependant, soyons clairs, ils ne fournissent aucun mécanisme de sécurité à proprement parler. En effet, la segmentation du réseau en VLANs ne permet pas déjouer des attaques, mais reste une mesure de sécurité essentielle, car elle est un des principaux moyens de réduire les impacts d’une attaque réussie.
Cloisonnement des réseaux Wi-Fi
Les réseaux Wi-Fi peuvent également servir de vecteurs d’attaques. Il est donc nécessaire de distinguer les connexions Wi-Fi des terminaux personnels ou des visiteurs, de ceux des systèmes de l’organisation, et de filtrer les flux des postes se connectant au réseau Wi-Fi. Pour ce faire, plusieurs réseaux Wi-Fi cloisonnés peuvent être mis en place afin de restreindre l’accès à certaines ressources critiques tout en faisant en sorte de donner accès seulement aux éléments nécessaires aux différents groupes d’utilisateurs prédéfinis.
Pour réduire le risque de compromission de votre réseau, il faut s’assurer de :
- Segmenter et cloisonner le réseau en fonction de la criticité des informations et des systèmes sur le réseau (DMZ, réseaux internes, réseaux critiques, etc.).
- Tenir compte des besoins de segmentation dans toute nouvelle extension du réseau.
- Dédier une zone d’administration pour le réseau, logiquement ou physiquement séparée des autres réseaux.
Sécuriser les réseaux Wi-Fi
L’utilisation de réseaux Wi-Fi s’impose dans la plupart des entreprises, généralement pour des raisons de confort et d’optimisation des performances. Seulement, comme évoqué auparavant, il convient, de la même manière que pour les réseaux Ethernet, de séparer les usages via la mise en œuvre de dispositifs de segmentation. Cela fournit une sécurité supplémentaire.
De plus, la sécurité physique des points d’accès Wi-Fi et des infrastructures connexes ne doit pas être négligée. Il convient donc de mettre en place les contrôles appropriés visant à protéger le matériel.
Enfin, les communications d’un réseau Wi-Fi doivent être sécurisées et chiffrées via un protocole reconnu de type WPA2 et WPA3. D’une manière générale et si possible, il faut éviter le déploiement de réseaux Wi-Fi sur des systèmes d’information manipulant des données sensibles ou, à défaut, mettre en œuvre de mesures spécifiques.
Pour sécuriser les réseaux Wi-Fi, il est donc nécessaire de :
- Séparer les réseaux Wi-Fi du reste du réseau
- Renforcer la sécurité des points d’accès, notamment :
- Changer la configuration par défaut des points d’accès : les mots de passe d’administration et Wi-Fi, le SSID par défaut, etc.
- Désactiver les interfaces de management et les services non utilisés.
- Désactiver la diffusion du SSID.
- Mettre en place un filtrage par adresse MAC.
- Activer la journalisation de l’activité des points d’accès.
- Mettre en place des techniques de chiffrement efficaces :
- Éviter l’utilisation des protocoles vulnérables comme le WEP.
- Désactiver le WPS.
- Utiliser un chiffrement robuste comme WPA2, WPA2-PSK, WP3.
Sécuriser l’administration et la gestion des équipements réseau
L’administration et la gestion des équipements actifs du réseau est un aspect critique qui doit être géré d’une façon adéquate, avec des mesures de sécurité adaptée pour empêcher toute intrusion non autorisée. Pour revenir sur le sujet de la segmentation du réseau, il est fortement recommandé de créer une zone dédiée à l’administration des équipements du réseau. Cette zone permettra de gérer efficacement et de vérifier le bon fonctionnement de tous les composants d’un périmètre de sécurité donné.
De plus, il convient aussi de séparer le trafic de gestion et d’administration du reste des communications afin d’éliminer la possibilité qu’il puisse être intercepté durant le transit. Le cas échéant, le trafic d’administration doit transiter via un protocole sécurisé.
Ainsi, l’administration et la gestion des équipements réseau étant par nature particulièrement sensibles, elles doivent être protégées de manière adéquate, avec des filtrages, restrictions et protocoles appropriés. Pour ce faire, il est donc nécessaire de :
- Disposer d’un inventaire de l’infrastructure réseau avec l’emplacement, le rôle (les droits) et la version de chaque composante du système.
- Veiller à la mise à jour des logiciels et des systèmes d’exploitation des éléments de l’infrastructure réseau.
- Renforcer la sécurité des équipements, notamment :
- Changer les comptes et les mots de passe d’administration défaut.
- Désactiver tous les services et interfaces non utilisés.
- Restreindre l’accès physique aux équipements aux seules personnes autorisées.
- Restreindre l’accès aux interfaces d’administration des équipements aux seules personnes autorisées.
- Utiliser des protocoles de communication chiffrés (SSH, HTTPS, SMBv3, LDAPS, etc.).
Sécuriser les communications et les échanges de données sur le réseau
Des informations et données qui transitent en clair sur un réseau, c’est-à-dire de manière non chiffrée, constituent un risque majeur en termes de confidentialité et d’intégrité. Le risque est d’autant plus grand sur les réseaux Wi-Fi, dans la mesure où les communications peuvent être interceptées dans tout le périmètre couvert par le point d’accès.
Dans cette configuration, identifiants, mots de passe, documents d’architecture et autres données sensibles (personnelles, informations de paiement, etc.), peuvent facilement être récupérés par des attaquants disposant d’outils d’écoute du trafic adéquats. Ce type d’attaque est connu sous le nom de « sniffing ».
Compte tenu des risques, le chiffrement des informations et données qui circulent sur le réseau est nécessaire. Pour se protéger, il est primordial d’intégrer une couche de chiffrement sur des protocoles déjà existants (http, rtp, ftp, etc.) afin de garantir la confidentialité et l’intégrité des communications.
Contrôler et sécuriser les accès utilisateurs
Implémenter un système sécurisé de contrôle d’accès
Le contrôle d’accès est sûrement l’aspect le plus central dans la sécurité du réseau. Il doit être fondé sur les autorisations et les droits d’accès à un périmètre de sécurité bien défini. Pour se prémunir de tout accès non autorisé ou une intrusion réseau, il convient d’utiliser des mécanismes d’authentification pour les utilisateurs et les équipements.
En effet, l’accès des systèmes et des utilisateurs doit toujours être préalablement authentifié et autorisé. Cela afin de confirmer l’identification du propriétaire d’un compte avant de lui attribuer des droits (selon son rôle, sa fonction, son groupe, etc.) et de garder un enregistrement et un suivi de ses actions (via les logs).
Cependant, compte tenu de la taille, la nature et la complexité de certains réseaux, propres aux spécificités de certaines organisations, la gestion des bases de données d’authentification peut s’avérer difficile. Généralement, la mise en place d’une solution centralisée assurant une authentification unique (SSO) permet de répondre à cette problématique, à condition que celle-ci soit correctement intégrée et bien sécurisée.
Mettre en oeuvre une politique de mot de passe efficace
La sécurité de l’authentification passe naturellement par la mise en place d’une politique de mot de passe efficace. Sur ce point, trois mots d’ordre :
- La complexité du mot passe qui doit être imposée lors de la création d’un compte : il doit surtout être long (supérieur à 15 caractères). Sur ce point, rien de mieux que l’implémentation d’un gestionnaire de mots de passe reconnu.
- Les mots de passe contenant les identifiants, le nom de l’entreprise ou de l’application suivi de l’année et d’un point d’exclamation sont des pratiques répandues et connues des attaquants. Si possible donc, forcer la création de mots de passe ne contenant pas à minima l’identifiant et sensibiliser les utilisateurs aux risques liés à l’utilisation de mots de passe prévisibles.
- Les politiques d’expiration de mots de passe visant à encourager les changements fréquents de mots de passe sont de fausses bonnes idées. À priori, cela apparait comme une bonne mesure de sécurité. Cependant l’analyse des comportements des utilisateurs montre une tout autre réalité, à posteriori. En effet, la plupart du temps, les utilisateurs se contentent de créer un autre mot de passe non sécurisé car facile à retenir donc facile à deviner par des attaquants. Il est donc recommandé de bannir ces politiques d’expiration de mots de passe et de tout simplement inciter les utilisateurs à choisir un mot de passe suffisamment long et complexe.
En résumé, pour sécuriser les accès utilisateurs et renforcer le contrôle, il s’agit donc de :
- Définir et séparer les rôles et les responsabilités pour les accès à toutes les ressources du réseau.
- Établir des règles d’accès fondées sur le principe du « zero trust » à savoir « tout est généralement interdit sauf autorisation » plutôt que sur la règle, plus faillible, selon laquelle « tout est généralement autorisé sauf interdiction ».
- Attribuer des autorisations et des droits d’accès sur le principe du moindre privilège à savoir « limiter les droits de tout utilisateur aux seules applications/données nécessaires à ses missions.
- Assurer une traçabilité des modifications des droits d’accès.
- Renforcer l’authentification par la mise en place d’une authentification forte (mots de passe forts, tokens, certificats, etc.).
- Choisir un mot de passe fort : Longueur est le mot d’ordre.
- Le mot de passe ne doit pas être attaché à une information personnelle facile à deviner ou à obtenir.
- Cela va de soi : ne pas garder un enregistrement du mot de passe en clair.
- Éviter d’utiliser les mots de passe par défaut.
- Il convient aussi de protéger l’enregistrement et la sauvegarde des mots de passe par l’implémentation des mécanismes de chiffrement assurant leur confidentialité et leur intégrité. Pour plus d’informations sur les bonnes pratiques relatives au stockage sécurisé des mots de passe, nous vous invitons à consulter notre article : comment stocker des mots de passe de manière sécurisée dans une base de données ?
- Mettre en place, si besoin, une solution centralisée d’authentification et d’autorisation des accès aux ressources réseaux (SSO).
- Placer les périphériques et les utilisateurs authentifiés dans des zones de sécurité qui correspondent à leurs profils et privilèges.
- Bloquer l’accès des périphériques et des utilisateurs non authentifiés ou les placer dans des zones dédiées qui permettent un accès restreint aux services du réseau.
- Mettre en place des techniques de protection contre les tentatives de connexion infructueuses (ex. limiter le nombre de tentatives de connexion avant de bloquer l’accès).
- Déconnecter les sessions de connexion après une période d’inactivité.
Pour plus de détails sur ces bonnes pratiques, nous vous renvoyons vers notre article : Comment sécuriser les systèmes d’authentification, de gestion des sessions et de contrôle d’accès ?
Journaliser les événements
La journalisation (logging) est un mécanisme de contrôle qui permet de surveiller le réseau et d’assurer la traçabilité. Par ailleurs, des bonnes pratiques de logging et monitoring n’assurent pas de protections quelconques face à des attaques, mais permettent de détecter et d’investiguer des événements inhabituels et des intrusions.
Pour faciliter la gestion et l’exploitation des logs, il convient de les centraliser dans une zone dédiée permettant une administration plus aisée. Pour ce faire, il est nécessaire de mettre en œuvre sur toutes les machines à monitorer des programmes (agents) afin de remonter au serveur tous les événements listés sur les fichiers de logs. Ceci est d’autant plus important car, dans l’éventualité de compromission d’une machine, il est probable que les logs soient détruits par l’attaquant. Centraliser, synchroniser et dupliquer les logs permettra alors de toujours garder une copie.
Enfin, il est recommandé d’utiliser des équipements disposant nativement d’une fonctionnalité de journalisation.
En résumé, de bonnes pratiques de logging impliquent de :
- Établir des procédures permettant la gestion, l’analyse et la sauvegarde des logs.
- Déterminer les niveaux de journalisation requis pour chaque équipement en fonction de leur criticité.
- Déterminer les systèmes critiques à monitorer qui engendreront des alertes (métriques).
- Centraliser les logs sur une solution centrale (serveur de logs).
- Envoyer les logs vers un réseau de gestion dédié et chiffrer leur transmission.
- Restreindre l’accès aux logs aux seules personnes autorisées.
Pour plus d’informations sur le principe et les bonnes pratiques de logging et monitoring, vous pouvez consulter notre article : Logging et Monitoring : définition et bonnes pratiques.
Sécuriser les applications
Sécuriser une application est vital et cela passe nécessairement par l’implémentation des meilleures pratiques en termes de développement, d’intégration, de suivi et de tests sécurité.
Nous avons longuement traité la question de la sécurité des applications dans un article précédent. Nous vous invitons à le consulter pour avoir une vision d’ensemble des bonnes pratiques à implémenter, en termes de réduction de surface d’attaque, de sécurité des serveurs, de sécurité de l’authentification, de protection des données sensibles, etc. : Comment sécuriser un site ou une application web ?
Et pour plus d’informations sur les failles inhérentes aux applications web, nous vous renvoyons vers notre article : comment renforcer la sécurité de vos applications web pour contrer les attaques les plus courantes ?
Sensibiliser les utilisateurs aux risques liés à la sécurité, notamment les menaces d’ingénierie sociale
Sécuriser les postes de travail
Les risques d’intrusion dans les systèmes sont importants et les postes de travail sont souvent une porte d’entrée pour les attaquants. En effet, un poste de travail sans protection adéquate peut mettre en péril non seulement les informations traitées et stockées sur le poste, mais également servir de vecteur d’attaque pour compromettre les systèmes auxquels il a accès.
Il est donc essentiel que les pratiques élémentaires de sécurité soient connues et mises en œuvre par l’équipe chargée de la sécurité des systèmes et les utilisateurs. Ces mesures reposent sur :
- La protection technique des postes de travail, qui implique :
- La sauvegarde systématique et quotidienne des données.
- Une configuration sécurisée et des mises à jour régulières.
- Le chiffrement de tous supports de stockage (clés, disques, etc.).
- Un comportement prudent et éclairé des utilisateurs, qui suppose :
- Le choix de mots de passe robustes.
- Une attitude prudente à l’égard des clés USB et autres supports amovibles.
- Utilisation avisée d’Internet (navigation, téléchargements, utilisation de services en ligne).
- Une posture prudente vis à vis des emails et appels reçus compte tenu de l’augmentation des attaques d’ingénierie sociale (phishing, vishing, etc.).
Se prémunir des risques d’ingénierie sociale
Au-delà des risques techniques, la faille la plus souvent exploitée pour compromettre un système d’information reste l’humain, via des attaques d’ingénierie sociale. Ces attaques consistent à utiliser des compétences sociales pour obtenir ou compromettre des informations sur une entreprise ou ses systèmes.
L’email (via le phishing) reste le vecteur d’attaque principal, comme le montre la plupart des études et les exemples d’attaques d’ingénierie sociale réussies sur des petites, moyennes et grandes entreprises. Et les conséquences sont souvent dévastatrices et irréversibles. Il existe cependant des mesures simples pour limiter l’impact de ce type d’attaques :
- Mettre en œuvre une stratégie sécurité adaptée aux risques. Chiffrement des données et des systèmes, segmentation du réseau, contrôle et gestion rigoureuse des accès, [etc.] sont autant de moyens pour déjouer des attaques ou en réduire des impacts.
- Réaliser des tests d’ingénierie sociale, afin d’évaluer les comportements de vos équipes face à des emails de phishing notamment. Les résultats de ces tests pourront servir de support pour optimiser les campagnes de sensibilisation. Pour plus d’informations sur les éléments à prendre en considération pour créer une campagne, vous pouvez consulter notre livre blanc.
- Sensibiliser et former vos équipes techniques et non techniques car la cybersécurité est l’affaire de tous. En effet, il existe des formations proposées par des tiers, permettant de sensibiliser vos équipes sur les attaques d’ingénierie sociale. L’objectif est de faciliter la compréhension des mécanismes des cyberattaques via phishing notamment, et l’adoption des bonnes pratiques et postures pour ne pas mordre à l’hameçon.
Réaliser un test d’intrusion réseau pour évaluer les risques et renforcer la sécurité
Un test d’intrusion réseau reste la solution par excellence pour tester la sécurité de vos systèmes face à des attaques. L’objectif : identifier des vulnérabilités potentielles et proposer des correctifs de sécurité.
En effet, ce type d’audit offensif suit une méthodologie éprouvée, permettant d’analyser en profondeur les risques inhérents des réseaux internes dont certains ont été évoqués dans le cœur de cet article. Dans cette optique, un test d’intrusion réseau consiste à cartographier le réseau puis à réaliser des tests sur les éléments identifiés : serveurs, postes de travail, Wi-Fi, équipements réseau, postes de travail, etc.
Le rapport délivré suite aux tests permet comprendre les mécanismes des vulnérabilités découvertes afin de les reproduire et les corriger.