Cybersecurity 101:
Sécurité du réseau
Sécurité du réseau est un terme générique qui englobe les mesures de sécurité prises pour protéger les systèmes informatiques, les données qu'ils stockent, transportent et utilisent, ainsi que les personnes qui utilisent et gèrent ces systèmes et données. Il concerne le matériel, les logiciels et les politiques qui contribuent à la protection des réseaux informatiques, en particulier lorsqu'il s'agit d'informations sensibles. La sécurité du réseau vise donc à empêcher tout accès non autorisé, toute perte de données ou toute activité, malveillante ou accidentelle, susceptible de compromettre la confidentialité, l'intégrité et la disponibilité des ressources du réseau. Cela signifie que la sécurité du réseau ne se limite pas aux outils et à la technologie.
Pourquoi la sécurité du réseau est importante
Les systèmes et réseaux informatiques ont tendance à être hétérogènes dans leur constitution, ce qui signifie qu'ils se présentent sous différentes formes, utilisent différents moyens de communication et sont disponibles auprès de différents fournisseurs. Ces fournisseurs peuvent se spécialiser dans un ou plusieurs aspects tels que les services, le matériel, les logiciels, les services filaires ou sans fil. Par conséquent, les systèmes informatiques et de réseau doivent respecter certaines normes et certains protocoles d'interopérabilité, en particulier l'interopérabilité d'Internet. L'un des problèmes fondamentaux est que certains des principaux protocoles et normes utilisés aujourd'hui ont été développés à une époque où les systèmes et réseaux informatiques n'en étaient qu'à leurs balbutiements et que la sécurité des réseaux n'était pas une considération cruciale.
Au fil du temps, l'adoption de l'informatique s'est généralisée et est passée du domaine des gouvernements et des grandes organisations au niveau des consommateurs, rapidement amélioré par l'introduction de l'ordinateur personnel. À peu près à la même époque, les organisations ont également commencé à stocker et à transporter des données plus sensibles à l'aide de systèmes et de réseaux informatiques. Il est alors devenu évident que la sécurité des réseaux devait être au cœur de l'utilisation et de la maintenance des réseaux informatiques.
Un autre problème provient de la conception du réseau. Traditionnellement, la plupart des réseaux étaient conçus comme des configurations plates en termes de communication, de sorte que n'importe quel ordinateur pouvait communiquer avec n'importe quel autre ordinateur. Il y avait très peu de segmentation efficace et, en effet, des protocoles tels que le protocole DHCP (Dynamic Host Configuration Protocol) et le réseau Windows en général fonctionnent le plus facilement dans de telles conceptions de réseau. Cependant, en termes de sécurité, c'est loin d'être idéal, car une attaque ou une infection est capable de se propager facilement sur le réseau, ce qui pose le problème des mouvements latéraux.
Par où commencer en matière de sécurité réseau
La sécurité des réseaux va bien au-delà du simple déploiement d'outils et de technologies. Comme point de départ, certaines considérations importantes devraient être que les bonnes stratégies, politiques et procédures soient mises en place avant que les technologies correspondantes ne soient sélectionnées avec diligence pour faciliter et automatiser les stratégies, les politiques et les procédures. Une bonne façon de voir cela comme point de départ serait la suivante :
- Politiques et conformité
- Connaissance du réseau
- Formation — Sensibilisation technique et utilisateur
- Outils et technologies
Un bien défini politique de sécurité qui prescrit l'utilisation de systèmes et de ressources informatiques constitue un bon point de départ. Cette politique devrait idéalement être conforme à toutes les obligations de conformité qui doivent être respectées. Ensuite, une base de référence précise du réseau et des systèmes réseau doit être disponible afin de connaître ce qui est normal pour le réseau, y compris les actifs, les appareils, les droits d'accès des utilisateurs et la cartographie des communications.
Une formation adéquate et opportune doit être dispensée fréquemment aux administrateurs techniques et aux utilisateurs finaux afin d'éliminer les vulnérabilités liées à la configuration et à l'utilisateur final. Enfin, tout cela doit être soutenu par les bons outils et technologies, dotés de capacités d'automatisation et d'orchestration si nécessaire. Ces concepts sont développés plus loin dans cet article.
Menaces à la sécurité du réseau
Aujourd'hui, la sécurité des réseaux fait partie intégrante de la cyberstratégie de nombreuses organisations, en particulier pour celles où le respect de certaines normes de sécurité et réglementaires est obligatoire. C'est important parce que les cybermenaces ont gagné en sophistication et en efficacité au fil des ans, tout comme l'importance et la valeur des données ont augmenté. Toute combinaison d'acteurs peut constituer une menace pour la sécurité du réseau :
- Hackers
- Demandeurs de rançon
- États-nations
- Cyberespionnage
- Crime organisé
- Hacktivistes
- Initiés (malveillants et accidentels)
- Script pour enfants
Les menaces de sécurité réseau correspondantes peuvent également prendre la forme d'une combinaison des éléments suivants :
- Ingénierie sociale
- Malware (Produit de base)
- Menaces persistantes avancées (APT)
- Exploits
- Déni de service (DOS et DDOS)
- Attaques par canaux secondaires
- Intrusion physique
- Dommages criminels
Ces défis en matière de sécurité des réseaux semblent ne faire que s'aggraver à mesure que les utilisateurs et les organisations continuent de suivre et d'attendre de plus en plus du cyberespace dans les activités quotidiennes liées au travail, aux loisirs, aux services de divertissement et au commerce.
Protections de sécurité du réseau
En réponse au problème de la sécurité des réseaux, une pléthore de technologies tentent de fournir diverses solutions, en particulier compte tenu de l'expansion actuelle de l'utilisation d'Internet et du cloud computing. Cela nous amène à une question importante qui continue de préoccuper ceux qui sont chargés d'assurer la sécurité du réseau.
Sommes-nous bien protégés ?
Pour trouver une réponse efficace, cette question nécessite une évaluation continue de la posture de sécurité du réseau pour les utilisateurs et les emplacements réseau sur site, dans le cloud et distants.
- Politiques et conformité
Les politiques et la conformité comprennent les stratégies et les tactiques qui définissent la manière dont l'organisation doit gérer la sécurité du réseau et qui peuvent mesurer la conformité. Dans ce cas, les politiques seront très probablement adaptées à une organisation particulière conformément à diverses directives de conformité, mais les directives de conformité elles-mêmes ont tendance à être indépendantes de l'organisation mais susceptibles d'être spécifiques à un secteur ou à un secteur d'activité. - Connaissance de l'environnement
La sécurité du réseau implique différentes parties et composants d'un réseau informatique. Par conséquent, le premier point important est de savoir quels sont ces pièces et composants et où ils se trouvent. Un inventaire à jour de l'état actuel de votre réseau permettra de se faire une idée utile de la situation de l'organisation dans son régime de protection. Il va sans dire que vous ne pouvez pas vraiment protéger ce que vous ne connaissez pas. La sécurité du réseau est encore aggravée par la rapidité et l'agilité offertes par l'informatique mobile et les clouds publics. Ces technologies ont encore étendu le périmètre réseau traditionnel, de sorte que la sécurité du réseau n'est plus concentrée sur le périmètre réseau traditionnel. À cette fin, une visibilité continue est également très importante. Une protection efficace doit commencer par la capacité à visualiser les informations relatives aux appareils et aux applications ainsi que les dépendances en matière de communication en temps réel ou du moins en temps quasi réel. Cela ouvre la voie à une définition de base de la sécurité des réseaux afin que les anomalies se démarquent clairement des normes établies et attendues. - Formation — Sensibilisation technique et utilisateur
La formation devrait être axée à la fois sur les administrateurs techniques et non techniques et sur les utilisateurs du réseau, des systèmes de réseau et des applications. Certaines des questions suivantes doivent recevoir une réponse adéquate :
Disposons-nous des connaissances techniques nécessaires pour configurer et maintenir nos technologies de sécurité aujourd'hui et demain ?
Nos utilisateurs sont-ils correctement formés en matière de sensibilisation à la cybersécurité ?
Notre personnel possède-t-il les connaissances nécessaires en matière de détection et de signalement pour répondre de manière adéquate à un incident et maintenir la conformité ?
Formation technique informatique pour les administrateurs informatiques et de sécurité et formation de sensibilisation à la cybersécurité pour l'ensemble du personnel. Cela inclut une formation pratique des administrateurs informatiques sur l'utilisation des systèmes de sécurité acquis. - Technologie
La dernière étape consiste ensuite à s'assurer que les bons outils et technologies sont mis en place pour assurer une protection adéquate contre les menaces de sécurité du réseau, qu'elles soient connues ou inconnues. La technologie doit être en place pour prévenir les incidents de sécurité du réseau et contenir les incidents de sécurité du réseau. Néanmoins, il est impossible de garantir une protection complète à tout moment. Des capacités de détection et de réponse adéquates doivent également être mises en place pour répondre de manière adéquate à un incident le cas échéant.
Outils et technologies de sécurité réseau
Ces quatre principes directeurs peuvent servir de guide de départ utile pour la politique de sécurité de l'organisation en général et pour le choix des technologies appropriées en fonction des spécificités. Il y a peu d'avantages à intégrer de nouvelles technologies lorsque l'on ne sait pas exactement ce contre quoi il faut se protéger ou pourquoi cette protection est requise en premier lieu.
La sélection des bons outils et technologies peut être une tâche ardue, mais là encore, elle doit être abordée de manière stratégique et systématique en utilisant comme guide les exigences de l'organisation en matière de politique et de conformité, sa connaissance du réseau et ses capacités de formation. Dans certains cas, certains aspects peuvent être externalisés si les capacités internes font défaut et sont susceptibles de présenter une faille de sécurité, telle qu'une pénurie de compétences ou de personnel. Les outils et les technologies peuvent être vérifiés et sélectionnés en utilisant le guide de démarrage suivant :
- Sécurité périmétrique
- Sécurité des communications — Courrier électronique, messagerie, documents
- Sécurité des terminaux et des appareils
- Identité et sécurité du réseau interne
- Automatisation, surveillance continue et contexte
1. Sécurité périmétrique
Les services cloud, les appareils mobiles et l'informatique parallèle ont tous contribué à déplacer le périmètre du réseau au-delà d'un emplacement physique fixe. Les utilisateurs peuvent utiliser plusieurs appareils mobiles pour accéder à des données personnelles et professionnelles depuis différents lieux et lieux de travail. Toutefois, lorsque le périmètre du réseau doit être protégé, par exemple dans le cas d'un centre de données ou d'un environnement cloud, les protections suivantes doivent être prises en compte dans leurs équivalents physiques ou virtuels :
- Pare-feu (Stateful, nouvelle génération, compatible API)
- Anti-botnet et détection de l'activité des botnets
- Protection contre les programmes malveillants
- IPS — Système de prévention des intrusions
- Décryptage du contenu crypté (par exemple, inspection HTTPS)
- Sécurité Web — Contrôle du Web et des applications
- Sandboxing et émulation
2. Sécurité des communications — Courrier électronique, messagerie, documents
- Antispam et antimalware
- Détection de liens malveillants et anti-hameçonnage
- Prévention du BEC (Business Email Compromise) grâce à une fonctionnalité de renseignement
- Sécurité du courrier électronique
- Sécurité de la messagerie
- Sécurité des documents
- Sécurité des systèmes de classement physiques
3. Sécurité des terminaux et des appareils
Dans la plupart des cas, les systèmes de protection des terminaux constituent la dernière ligne de défense de la stratégie de sécurité du réseau. Les mesures de sécurité mises en œuvre sur les terminaux doivent donc être contextualisées, intelligentes et prendre des décisions en temps réel pour faire face aux menaces connues et inconnues, aussi sophistiquées soient-elles. Certaines des fonctionnalités les plus utiles devraient être les suivantes :
- Contrôle des applications (liste refusée et autorisée par défaut)
- Détection et réponse grâce à l'IA
- Chiffrement des disques
- Prévention des exploits
- Pare-feu (couches réseau et application)
- Capacité en matière de criminalistique
- Sécurité des ports et des médias
- Heuristique et sandboxing
- Microsegmentation basée sur l'hôte
- Gestion des appareils mobiles
- Sécurité du Web hôte
4. Identité et sécurité du réseau interne
Dans de nombreux cas, les violations commencent par la compromission de certaines informations d'identification et/ou par la vulnérabilité d'un système cible. La vérification et l'autorisation de l'identité de l'utilisateur et de l'appareil, quel que soit l'emplacement, devraient être un élément clé dans lequel l'utilisateur n'est autorisé que si l'identité correcte est présentée et que l'appareil est également vérifié. En plus de cela, l'autorisation ne concerne pas l'ensemble du réseau mais la ressource spécifique demandée. L'autorisation par paquet unique (SPA) en est un exemple. Dans le cas de vulnérabilités, elles peuvent être inhérentes au système ou être mal configurées par l'utilisateur du système. Une mauvaise configuration se produit lorsque les meilleures pratiques n'ont pas été suivies ou que les connaissances de l'administrateur sont insuffisantes pour utiliser la technologie. Certaines des protections relevant de la sécurité de l'identité et du réseau interne seront les suivantes :
- Inventaire des actifs et
- Gestion des identités et des accès
- Sécurité et chiffrement des données (données au repos, données en mouvement et données en cours d'utilisation)
- Système de mappage du contexte et des communications hôte à hôte (mappage des dépendances entre applications)
- SAC - Contrôle d'accès au réseau
- Chasse aux menaces (proactive et passive)
- Gestion des vulnérabilités et des correctifs
- Sécurité physique (cartes magnétiques, verrous automatiques, systèmes d'alarme, vidéosurveillance)
5. Automatisation, surveillance continue et contexte
Les problèmes auxquels est confrontée la cybersécurité de nos jours sont autant liés au manque de visualisation contextuelle qu'à un problème d'outil. La visibilité, la surveillance continue et l'établissement de données de référence sur les comportements normaux sont essentiels pour pouvoir détecter facilement les comportements anormaux.
- Analyses (SIEM et analyses de sécurité)
- Automatisation et orchestration
- Cyber Renseignements sur les menaces
- Visibilité
- Visualisation de l'inventaire des actifs
- Cartographie des dépendances des applications
- Notation des risques
- Cartographie des menaces
Les fonctionnalités et les exemples technologiques détaillés ci-dessus ne constituent pas une liste exhaustive, mais simplement un guide pour la sélection des bons outils et technologies. Lorsque cela est possible et efficace, il est conseillé de regrouper les fonctionnalités en une seule offre. Par exemple, une solution de segmentation basée sur l'hôte doit également être en mesure de fournir un mappage des dépendances des applications et des intégrations tierces dans une solution de gestion des informations et des événements de sécurité (SIEM) ou de base de données de gestion des configurations (CMDB). Un autre exemple est qu'un pare-feu périmétrique devrait également être en mesure de consolider les capacités de prévention des attaques IPS, d'émulation des menaces, de lutte contre les programmes malveillants et de prévention des botnets.
Conclusion
La sécurité du réseau doit faire partie de la culture organisationnelle, de la salle de conférence à l'atelier, en passant par le périmètre traditionnel jusqu'au télétravailleur. Les principes d'architecture modernes tels que Zero Trust visent à faire passer la sécurité du réseau du périmètre existant et des concepts de confiance implicite à des principes de vérification et d'autorisation plus dynamiques, automatisés et continus. Il est important que ces principes ne soient pas considérés de manière isolée, mais planifiés et déployés sous la forme d'un système de principes connexes impliquant des personnes, des processus et des technologies.