Attention : Nous mettons à jour notre gestion des abonnements. Si vous rencontrez un bug, n'hésitez pas à nous contacter à bugs@regional-it.be

Pour rester informé(e) des dernières actualités de l'IT en Belgique francophone, lisez ceci • How & Why you should register / subscribe?

Conseils en stratégie réseau à l’heure des risques IoT et DDoS

Pratique
Par Johan Ragmo (ALE) · 15/06/2017
Partager

cadenas rouge ouvertLa transformation numérique des entreprises continue de produire des résultats mitigés. Son déploiement se fait tantôt avec succès, tantôt beaucoup moins. L’augmentation spectaculaire du nombre de dispositifs connectés se poursuit via le phénomène de l’Internet des Objets (IoT). Par ailleurs, d’immenses progrès sont réalisés en matière de capacité des applications à booster la productivité des entreprises. Mais nous avons également été témoins des défis posés par l’implémentation sécurisée de ces technologies, ce qui a pour effet de retarder potentiellement leur adoption plus généralisée par les entreprises.
Depuis la fin 2016, suite à des attaques de grande envergure, la sécurité est devenu, à l’évidence, le sujet chaud du moment. Le botnet Mirai, qui a mis hors service quelques grands sites Internet de la planète, et les récentes révélations de Yahoo sur une violation des données de plus d’un milliard de comptes d’utilisateurs en 2013 n’en sont que deux exemples.

Parmi les nouveaux défis: l’implémentation sécurisée des technologies (IoT) Internet des Objets (IoT) et de la nouvelle génération d’applications de productivité en entreprise.

Ces problèmes ne feront que s’aggraver à mesure que les entreprises adopteront un nombre croissant de dispositifs connectés et de technologies IoT, tout en voulant conserver leurs infrastructures de réseau existantes.
Trois domaines-clé auront, à mon avis, un fort impact sur les réseaux d’entreprise au cours de l’année qui vient:

  • la protection du réseau contre des déploiements d’IoT potentiellement vulnérables,
  • la protection contre de coûteuses attaques DDoS (déni de service distribué),
  • et l’adoption de méthodes de déploiement “as a service” afin d’évoluer, à coût contrôlé, vers une infrastructure de réseau plus sûre.

Confiner L’IoT, sans la contraindre

Un nombre croissant de secteurs récoltent les fruits de l’IoT: santé, enseignement et production, par exemple, sont quelques-uns des marchés où les nouveaux dispositifs IoT permettent d’améliorer la productivité, de réduire les coûts énergétiques et de procurer une meilleure visibilité.

Cependant, les avantages de ces nouveaux dispositifs connectés s’accompagnent d’une nouvelle série de défis pour les équipes informatiques. Mal sécurisés. ces équipements IP opérant en périphérie de réseau, constituent une porte dérobée par laquelle les attaquants peuvent s’introduire dans le réseau de l’entreprise.
L’essor de l’IoT oblige les ingénieurs réseau à imaginer de nouvelles solutions pour gérer les réseaux et le nombre croissant d’appareils connectés.

La qualité de service continue (QoS), la priorétisation intelligente des équipements et la haute disponibilité sont autant de facteurs qui influencent la qualité d’utilisation du réseau. Toutefois, un grand réseau, peu ou mal géré, souffrira inévitablement de points faibles en matière de sécurité. En “confinant” l’IoT dans divers environnements virtualisés aménagés dans le réseau de l’entreprise, les entreprises peuvent réduire considérablement les risques de scénario catastrophe que constitue une brèche du réseau. L’intrusion se trouve ainsi confinée et ne peut pas se propager et venir menacer la masse des activités commerciales.
La sécurisation et la gestion efficaces des réseaux IoT constitueront un thème de discussion majeur dans les mois qui viennent. Le concept de confinement IoT sera un élément-clé de la solution.

Une approche IoT segmentée permet de n’autoriser la gestion et l’utilisation des dispositifs déployés que par les seules personnes qui s’en servent réellement, ce qui simplifie la gestion de l’IoT par l’entreprise.

En “confinant” l’IoT dans divers environnements virtualisés aménagés dans le réseau de l’entreprise, les entreprises peuvent réduire considérablement les risques de scénario catastrophe que constitue une brèche du réseau.

Il est par exemple possible de segmenter le réseau IoT de telle sorte que le système de contrôle du conditionnement d’air soit géré par les spécialistes HVAC qui peuvent configurer, surveiller et faire fonctionner ce système sans affecter le reste du réseau. Cette solution évite à une équipe informatique déjà surchargée de devoir assumer une tâche de gestion supplémentaire.

La protection anti-DDoS, passage obligé

Le confinement a également un rôle important à jouer dans la gestion de la sécurité des réseaux d’entreprise. En contrôlant l’accès aux réseaux et équipements virtuels, le confinement peut empêcher les systèmes corrompus d’atteindre d’autres zones du réseau.

Vous rappelez-vous la faille de sécurité majeure qu’avait subie le réseau de la chaîne américaine Target en 2014? Des attaquants avaient accédé à l’ensemble de son réseau suite à une faille de sécurité mineure dans le système de climatisation connecté. Une simple segmentation du réseau aurait éliminé tout risque plus important. Il aurait suffi de confiner l’attaque à la zone compromise.

Selon Akamai, les attaques DDoS contre les entreprises ont augmenté de plus de 12% en 2016 par rapport à 2015 et cette tendance devrait se poursuivre.

Nous avons assisté à l’une des attaques DDoS les plus importantes en 2016. Un botnet créé sur base de systèmes IP infectés par le maliciel Mirai a frappé Dyn, un important fournisseur de services de noms de domaine gérés (DNS).

Cela a provoqué la mise hors service de sites Internet majeurs pendant plusieurs heures. Sachant que les entreprises et les consommateurs déploient les dispositifs IoT à la va-vite, avec des mots de passe et paramètres de sécurité par défaut, les maliciels tels que Mirai n’ont aucune difficulté à repérer les dispositifs non sécurisés et à s’infiltrer dans la brèche.

Voilà qui rend la menace DDoS doublement préoccupante pour les entreprises. Le premier risque est d’être victime d’une attaque DDoS visant son réseau. Le deuxième souci concerne le risque d’infection des dispositifs connectés, qui reprendraient alors l’attaque à leur compte à destination non seulement du réseau interne mais aussi d’autres entreprises. Ce n’est là que l’un des nombreux sujets d’inquiétude pour les grandes entreprises en-ligne et prestataires de services Internet (ISP). Je vous laisse imaginer les pertes financières qui surviendraient si une entreprise de commerce électronique devait être paralysée pendant une période de forte activité !

Les technologies de réseau existantes ne disposent pas de l’intelligence embarquée nécessaire pour assurer une première ligne de défense.

Ces prochains mois, les entreprises et organisations devraient examiner minutieusement chaque aspect de leurs réseaux, jusque dans les moindres détails de leurs équipements d’infrastructure réseau. Les attaques DDoS sont difficiles à éviter complètement, mais en introduisant une protection au niveau du commutateur d’accès, les entreprises peuvent améliorer leur première ligne de défense en détectant, filtrant et bloquant le trafic malveillant avant que leurs activités ne soient entravées.

Souvent toutefois, les technologies de réseau existantes ne disposent pas de l’intelligence embarquée nécessaire pour assurer cette couche de défense. Lorsqu’elles cherchent à à améliorer leur infrastructure de réseau, que ce soit pour supporter un regain de bande passante et les nouvelles exigences réseau des dispositifs IoT ou pour remplacer tous leurs équipements existants, les entreprises devraient opter pour des équipements qui disposent au moins de trois fonctions de sécurité essentielles, aptes à améliorer leur première ligne de défense. A savoir:

  1. un code source système certifié de façon indépendante par des experts de la sécurité ;
  2. un logiciel incrusté dans la mémoire du matériel, réduisant ainsi le risque que des attaquants détectent des vulnérabilités ;
  3. des logiciels qui puissent être délivrés par une infrastructure sécurisée et fiable afin d’éliminer le risque que du code trafiqué soit installé sur le système.

Nouveaux modes de mise à disposition: pousser l’IT au-delà de l’OPEX

Le confinement des dispositifs IoT et les stratégies de minimisation des risques DDoS exigent souvent la mise en oeuvre de potentiels qui ne sont disponibles que dans les équipements d’accès réseau de dernière génération. Le défi, pour une entreprise, se situe dans le fait qu’elle dispose déjà généralement d’une infrastructure. A cela s’ajoute que la réduction continue des moyens d’exploitation, qui touche la plupart des entreprises, réduit sensiblement le budget disponible pour l’achat et la mise en œuvre du nouvel équipement.

Comment une entreprise peut-elle dès lors s’y prendre? Une solution est de s’inspirer de l’approche du logiciel as-a-service (SaaS). Ces dernières années, nous avons assisté à un changement rapide dans le monde du logiciel. Les déploiements CAPEX d’applications (bases de données, systèmes CRM, outils de productivité bureautiques…) ont fait place aux déploiements OPEX et cloud, avec des coûts initiaux plus faibles et la flexibilité nécessaire pour s’adapter rapidement aux besoins de l’entreprise. Ce nouveau type de déploiements procure également une disponibilité permanente pour des collaborateurs toujours plus mobiles. Aujourd’hui, les offres de type Réseau as-a-service (NaaS) procurent le même genre d’avantage.

Comme pour le SaaS, les implémentations NaaS garantissent des coûts initiaux nettement inférieurs et peuvent être gérées sur une base OPEX, à la demande ou en mode tarification à l’utilisation (pay per use). Les départements informatiques peuvent mettre en œuvre les dernières technologies réseau sécurisées afin de faire face à leurs besoins en IoT, en mobilité et en transformation numérique, avec peu de coûts initiaux et un faible coût opérationnel récurrent. Les coûts sont en général globalement inférieurs à ceux qu’exige la gestion de leur infrastructure existante.

La transformation numérique en toute sécurité…

La transformation numérique est un impératif pour les entreprises qui veulent rester compétitives dans un monde numérique en constante évolution. Mais son déploiement peut s’accompagner de pièges aux répercussions potentiellement dommageables d’un point de vue financier et pour la réputation de l’entreprise.

Un plan correctement conçu, capable d’exploiter une seule infrastructure de réseau en vue d’isoler et de confiner les différents systèmes IoT, de fournir une infrastructure d’accès intrinsèquement sécurisée et de veiller à ce qu’un équipement réseau de dernière génération soit déployé, peut contribuer à ce que vos activités de transformation numérique débouchent sur les meilleurs résultats possibles pour votre entreprise.

Johan Ragmo

Market Development & Networks Director, EUNO

Alcatel Lucent Enterprise

Partager