« Penser la sécurité en amont », ou de l’importance de soigner la sécurité réseau en entreprise


Temps de lecture : 6 minutes
Share Button
sécurité entreprise - cybersécurité - ORSYS

L’évolution des technologies numériques a modifié en profondeur l’organisation des entreprises, à commencer par le développement des réseaux et systèmes d’information. Une transition qui s’est cependant effectuée sans forcément prendre en compte le facteur sécurité … Malick FALL*, formateur et consultant en cybersécurité, a accepté de répondre à nos questions. Il dresse pour nous une vue d’ensemble de l’importance de la sécurisation des réseaux en entreprise.

En quoi consiste un réseau d’entreprise ?

Un réseau d’entreprise est un ensemble d’équipements (routeurs, serveurs, firewall…) interconnectés qui permettent à l’utilisateur en interne, ou à des utilisateurs à l’extérieur de l’entreprise, de communiquer avec les ressources de l’entreprise. On a donc les serveurs contenant les données et les applications, l’ensemble réseaux pour les interconnecter ainsi qu’un équipement de sécurité pour garantir un accès sécurisé.

Les données elles-mêmes peuvent d’ailleurs avoir différentes classifications, selon leur niveau de sensibilité. On fait souvent une classification à quatre niveaux, les données :

  • secrètes, pour lesquelles on va requérir un fort niveau d’authentification ;
  • confidentielles, moins sensibles mais dont la divulgation peut causer un préjudice important pour l’entreprise. Leur manipulation doit donc être particulièrement encadrée ;
  • sensibles, ne circulant qu’en interne et dont la perte peut également causer des dommages assez importants. Ils ne mettent pas en péril l’existence de l’entreprise ;
  • publiques, qui sont accessibles à tous sans contrôle, comme les données affichées sur le site web de l’entreprise, par exemple.

Quel est le niveau de responsabilité d’une entreprise en cas de vol de données ?

En Europe, le RGPD impose un certain nombre de règles encadrant l’utilisation des données utilisateurs par les entreprises. Ainsi, en cas de violations avérées, l’entreprise peut effectivement encourir des risques importants. Notamment des sanctions pouvant aller jusqu’à 4% du chiffre d’affaires au niveau mondial. Mais sans aller jusque-là, l’entreprise peut être sanctionnée en perdant sa certification ISO 27001 (Management de la sécurité de l’information) ou PCI DSS (pour manipuler des données bancaires) par exemple, et ainsi la confiance de ses parties prenantes. Ce qui peut générer une perte de chiffre d’affaire sur le long ou moyen terme.

La sécurité est donc une étape indispensable ?

On ne peut pas parler de réseau d’entreprise en ignorant la sécurité. Les deux vont toujours de pair. Il faudrait systématiquement accompagner l’implémentation d’un réseau d’entreprise des mesures de sécurité les plus adéquates. Ainsi, l’infrastructure déployée assurerait une sécurité dite « by design », c’est-à-dire sécurisée dès sa conception. On ne déploie pas un réseau d’entreprise avant de commencer à réfléchir à sa sécurisation ; on le déploie en le sécurisant dans le même temps.

La confusion qui est souvent faite, même par les acteurs du milieu, est de penser que la sécurité sert exclusivement à se protéger « des autres ». Que l’on met en place un dispositif de sécurité pour ne pas subir d’attaques de l’extérieur. C’est vrai, mais il faut aussi garder en tête qu’aujourd’hui, si 70% des moyens de défense déployés en entreprise sont mis en place pour se protéger d’attaques de l’extérieur… environ 70% des attaques proviennent de l’intérieur, ou avec complicité en interne, ou tout simplement par négligence.

C’est pourquoi il faut penser son système de sécurité en fonction de ses utilisateurs. Mais également ne surtout pas partir du principe qu’aucune faille ne pourrait être exploitée en interne. « Le ver est souvent dans la pomme ! » S’il n’est pas nécessaire de se méfier de tout le monde, il faut prendre conscience du fait qu’il est impossible de maîtriser à 100% le facteur humain dans un contexte de sécurité opérationnelle. On va donc penser la sécurité en prenant en considération la potentialité d’une attaque provenant aussi bien de l’extérieur que de l’intérieur.

Quels outils pour cela

On va ainsi recourir à des outils qui permettent d’alerter, de superviser la sécurité… mais également se soucier de sensibiliser et former les utilisateurs aux risques (ingénierie sociale, ransomwares…) et aux bonnes pratiques à adopter. Car le comportement est tout aussi important. En effet, la faille peut provenir d’une négligence, d’une utilisation inappropriée due à la méconnaissance, autant que d’une attaque. Un collaborateur non averti des dangers du phishing peut par exemple recevoir un e-mail frauduleux et cliquer sur un lien qui va lancer le téléchargement d’un malware. La sensibilisation des utilisateurs en interne est donc également essentielle dans une démarche de sécurisation de réseau d’entreprise.

Comment mettre concrètement en place un dispositif de sécurité ?

Plusieurs étapes entrent en jeu dans la démarche de sécurisation, la première étant, comme on l’a dit, l’anticipation. Il ne faut pas attendre d’avoir déployé son infrastructure avant de penser sa sécurité et « patcher » les vulnérabilités comme elles se présentent. Il est indispensable de faire en sorte que la sécurité soit un composant dans le développement des applications et le déploiement des infrastructures, et d’implémenter des bonnes pratiques dans celui-ci. À commencer par la segmentation réseau. Comme son nom l’indique, elle évite de donner un accès au même réseau à tous les utilisateurs et attribue des « rôles » (administrateur, utilisateur simple, etc.), des autorisations différentes.

De même, on peut renforcer la sécurité autour de données sensibles en les plaçant sur des serveurs dédiés et dans un réseau à part. Celui-ci n’est alors absolument pas visible de l’extérieur et plus « enfoui » dans l’infrastructure. Et quand cela est nécessaire, le contrôle d’accès à ces données peut être renforcé et les données chiffrées pour en assurer la confidentialité.

Ensuite, on va vouloir faire en sorte que tous les utilisateurs puissent communiquer indépendamment de cette séparation des besoins sur le réseau. Il faut mettre en place ce qu’on appelle des équipements de niveau 3 : des routeurs, qui permettent de gérer le trafic entre les différents réseaux. Mais il faut envisager de les compléter avec des équipements de filtrage, des « firewalls », afin de contrôler les autorisations. Le filtrage du réseau est une étape de sécurité fondamentale.

Pas de risque zéro

Mais quel que soit le niveau de préparation, on peut quand même subir des attaques. Le risque zéro n’existe pas. C’est pourquoi il faut aussi mettre en place une supervision dans le but d’être capable de détecter une attaque. Après la prévention, la détection. Et puis il faudra pouvoir réagir rapidement et corriger la vulnérabilité qui aura été exploitée. Il est donc fortement recommandé d’avoir recours à des systèmes IDS/IPS (Intrusion detection/prevention system). Pour détecter les incidents potentiels, ils vont surveiller le réseau en analysant les paquets entrants/sortants. Une activité anormale sera aussitôt bloquée, et l’alerte sera donnée.

Par la suite est-il nécessaire d’effectuer un entretien régulier ?

Oui,  tout est à concevoir en amont. Mais il est indispensable de faire évoluer son dispositif par la suite pour continuer à répondre aux exigences de sécurité.

En effet, quel que soit le degré d’anticipation dont on fait preuve, le système d’information va avec le temps devenir obsolète et développer de nouvelles vulnérabilités. C’est pourquoi il va effectivement falloir mettre en place une maintenance régulière et ce qu’on appelle le « patch management ». C’est-à-dire effectuer une veille pour rester conscient des risques auxquels on peut être amené à faire face et adapter/remettre à jour le système en fonction. Il est essentiel de déployer régulièrement des mises à jour.

Qui sont les acteurs de la sécurité réseau ?

On a d’abord toute la partie développement de l’application, qui est généralement gérée par une équipe de développeurs. Ceux-ci doivent s’assurer que l’application répond à un cahier des charges bien défini, à des fonctionnalités techniques… et sont accompagnés dans ce processus par la sécurité. Le but étant d’intégrer dans le développement la sécurité « by design » que nous avons déjà évoquée. Enfin, une fois l’application développée et testée, il reste à la déployer. Ce sont les équipes opérationnelles qui vont prendre le relai pour se charger de l’exploitation.

Cependant, de nouveaux profils émergent sur le marché. Il est désormais de moins en moins rare que les parties développement et exploitation soient gérées par le DevOps– une fusion pas toujours si évidente entre le développeur et l’opérationnel. Voire par le DevSecOps si on lui rajoute encore la casquette « sécurité » ! Ce sont des profils très délicats. Ils doivent en effet assumer trois compétences très différentes et assurer une bonne segmentation dans les différents rôles.

En guise de conclusion, diriez-vous que la sécurité réseau est aujourd’hui prise au sérieux dans les entreprises, ou y a-t-il encore des efforts à faire ?

Il y a encore énormément d’efforts à faire ! Certes, des progrès ont été constatés ces dernières années. Mais la sécurité ne fait pas encore partie de la culture en entreprise. Les entreprises peu concernées par les contraintes réglementaires ou client, et qui nécessitent une certification pour être référencées, ne vont généralement pas d’elles-mêmes dans ce sens. En 2021, la sécurité est encore largement considérée comme un facteur de charge : « ça n’apporte rien ». Jusqu’au jour où l’entreprise subit une attaque… C’est dommage de devoir en arriver là avant d’envisager de revoir (ou de mettre en place) sa sécurité. Surtout que sans système de détection intégré à son réseau, il est difficile de repérer une intrusion. À moins d’une attaque spectaculaire, on peut ainsi ne jamais se rendre compte que l’on est victime de vols d’informations depuis longtemps…


Pour se former :

Malick Fall - ORSYS

Malick Fall obtient en 2005, un master en cryptologie, sécurité et codage de l’information. Son expérience professionnelle se compose de nombreux postes : ingénieur système et sécurité réseaux, expert sécurité, IT manager, RSSI, auditeur interne et consultant principal.  

Ces différentes missions l’ont amené  à intervenir sur des domaines majeurs, de la conception de solutions de sécurité open source au management des risques… en passant par l’expertise technique. En 2010, il fonde la société Polaris Secure technologies, basée à Lyon et à Dakar et propose des services d’audit, de conseil mais aussi de formation en cybersécurité. Il forme plus de 200 personnes par an, en Afrique et en Europe. Il accompagne plusieurs dizaines d’entre elles aux certifications ISO. Cette diversité d’expertise et d’expérience lui permet d’assurer des missions à forte valeur ajoutée de conseil, d’audit et des sessions de formation, sur des sujets très variés, dans différentes organisations.

Share Button

Laissez un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *