Comment sécuriser votre réseau d'entreprise ?

De nos jours, la sécurisation du réseau d’entreprise est devenue un sujet incontournable. Néanmoins, les légendes urbaines ont tendance à suggérer que mettre un firewall et avoir des comptes nominatifs avec passwords régulièrement remplacés suffisent à se prémunir. Pourtant, bien d’autres leviers sont indispensables à la sécurisation de son activité. Voici quelques informations à prendre en considération pour agir sur la sécurisation du réseau.

Prendre en compte l’ensemble du réseau

Comment les locaux sont-ils protégés ? L’accès physique aux équipements du système d’information est-il restreint ? Le Wi-Fi est-il correctement sécurisé ? Si l’on entre dans le hall d’accueil de l’entreprise et que l’on débranche le port Ethernet de l’imprimante qui s’y trouve pour y brancher son ordinateur à la place, que se passe-t-il ? Toutes ces questions soulèvent un aspect trop souvent négligé quand une entreprise s’attèle à sécuriser son système d’information.

Il est par conséquent de bon ton d’écrire noir sur blanc les points nécessaires à intégrer afin que des procédures voient le jour pour se prémunir contre ces risques (ils devront donc faire l’objet d’une dérogation inscrite au règlement/charte/PSSI).

Gérer l’accès physique aux équipements SI

Seules les personnes habilitées doivent accéder aux salles techniques, DataCenters, répartiteurs et ce, quel que soit le type de local. Une formation (ou sensibilisation par du personnel compétent) est également souhaitable pour les intervenants. On a déjà vu des électriciens découper des pièces à la disqueuse avec des étincelles en direction de la baie informatique sans qu’ils n’y voient quelque problème que ce soit.

Ce ne sont pas non plus des endroits où stocker les bonbonnes d’eau, les ramettes de papier, les bouteilles de gaz et autres… Il s’agit là simplement de bon sens et pourtant, nombres de locaux techniques sont loin d’y répondre.

Prévenir les actes physiques grâce à des mesures de protection

Nous parlions précédemment de se substituer à une imprimante avec un câble Ethernet. C’est quelque chose de tout à fait faisable dans un bureau en lieu et place d’un ordinateur ou bien via un téléphone IP. Ainsi, deuxième point très important dans cette recherche de sécurisation est que le réseau devrait systématiquement refuser l’accès à des devices inconnus.

La plupart des OS utilisés en entreprise aujourd’hui sont capables de fonctionner avec du 802.1x, c’est très souvent évoqué pour le Wi-Fi, mais pourquoi pas sur la partie filaire ? Les gammes professionnelles de switchs sont en général capables de gérer ce genre de choses, que ce soit par de l’authentification, de la validation de certificat ou encore par le blocage du port de switch à une seule Mac Address.

S’il est possible de substituer ou de cracker ces différents dispositifs en faisant preuve d’un peu d’efforts, le but n’est pas ici d’empêcher mais de ralentir l’opération pendant que l’on est parallèlement informé afin de réagir en conséquence. Les solutions sont multiples mais elles doivent rester gérables par le SI sans que cela transforme le quotidien des collaborateurs en un remake de Shining.

Une sécurisation efficace est une sécurisation à laquelle les usagers adhèrent, sans quoi, cela reviendrait au-même que de laisser une cale en bois devant une porte qui devrait pourtant rester fermée. De ce fait, il est absolument indispensable de porter une attention toute particulière à la sensibilisation des équipes.

Cloisonner les réseaux

Les servers de production, serveurs d’authentification, postes de travail, imprimantes, lecteurs de badges, caméras et autres équipements doivent tous être dans des réseaux cloisonnés et gérés par un (ou plusieurs) firewall(s) qui autorisera ou non tel type d’équipement à dialoguer avec tel autre.

Par exemple, il est certainement très peu probable qu’une caméra de sécurité ait besoin d’échanger des informations avec une imprimante ou le poste de travail de l’apprenti nouvellement arrivé au Marketing. Un cloisonnement fonctionnel de l’infrastructure protège déjà de bon nombre d’attaques (cloisonnement L3 + filtrage de port par ouverture des flux nécessaires).

Gérer le multi-sites

Comment les différents sites d’une entreprise sont-ils interconnectés ? Plusieurs produits opérateurs répondent aujourd’hui à ce type de besoin et permettent de créer des extensions du réseau principal sur l’ensemble du parc.

Nous l’aurons donc compris, il existe une multitude de facteurs à prendre en considération dans la sécurisation du réseau informatique d’une entreprise aussi, s’il y avait une seule chose à retenir, ce serait certainement qu’en terme de SI, rien n’est trop sécurisé alors ne lésinez pas sur les moyens et pensez large dans le périmètre d’application !