Avec des infrastructures informatiques toujours plus complexes et des volumes de données en augmentation constante, la cybersécurité est sans conteste l’une des priorités stratégiques pour les organisations. C’est d’autant plus vrai dans certains secteurs - les OIV (Opérateurs d’Importance Vitale) notamment- soumis à une réglementation contraignante en matière de cybersécurité.

Ce domaine se divise en plusieurs branches distinctes. Dans ce guide, nous abordons l’une des plus importantes : la sécurité réseau.

Risques, protections envisageables et bonnes pratiques à mettre en œuvre, retrouvez ici les principales informations à connaître sur le sujet pour l’aborder et l’encadrer efficacement dans votre entreprise.

 

Qu’est-ce que la sécurité réseau ?

La sécurité réseau englobe l'ensemble des politiques, outils, pratiques et règles mises en place visant à garantir l'intégrité, la confidentialité et la disponibilité des données circulant sur un réseau. Elle vise à empêcher l’apparition, ou tout du moins la prolifération de différentes menaces informatiques au sein d’un réseau donné et d’en limiter l’impact..

 

En parallèle, cette discipline est en constante évolution. L’objectif ? S’adapter aux changements d’usage et aux avancées technologiques pour maintenir un haut niveau d’efficacité face à des dangers en mutation permanente.

 

Les principaux risques et menaces en sécurité réseau

 

Le paysage des menaces évolue constamment. De nouvelles vulnérabilités apparaissent chaque jour et les attaquants utilisent des techniques toujours plus sophistiquées pour compromettre les réseaux. Voici un aperçu des principales menaces qui peuvent concerner votre organisation.

 Attaques par déni de service (DDoS)

Les attaques DDoS visent à saturer un réseau ou un service, le rendant ainsi inaccessible aux utilisateurs légitimes. De très nombreuses variations sont utilisées (inondation TCP SYN, Botnets, Teardrop, Ping of Death, etc.) et peuvent entraver le bon fonctionnement de vos activités.

Notez que si une attaque DDoS est souvent reliée à des motivations économiques ou idéologiques, elle peut aussi être utilisée comme diversion pour détourner l’attention d’une attaque plus sérieuse dans une optique de vol de données par exemple.

 

 Malwares et ransomwares

Les malwares sont malheureusement un “classique” encore extrêmement fréquent . Bien que leur fonctionnement soit abondamment documenté, ils restent encore aujourd’hui un outil très apprécié des pirates informatiques. Il s’agit là de programmes malveillants conçus pour infiltrer ou endommager un système sans le consentement de l'utilisateur (généralement via le téléchargement d’une pièce jointe ou un clic sur un lien).

Les ransomwares sont une forme de malware qui chiffre les données de vos utilisateurs, exigeant ensuite une rançon pour pouvoir y accéder.

 

 Attaques DNS

Lors d'une attaque DNS, les cybercriminels redirigent le trafic web d'un site légitime vers un site frauduleux, souvent dans le but de voler des informations sensibles.

Ici encore, il s’agit d’une forme d’attaque très répandue, comme l’atteste le rapport 2023 d’EfficientIP sur les menaces DNS. En effet, pas moins de 90 % des organisations auraient subi au moins une attaque DNS en 2022 !
Pire, le coût moyen d’une telle attaque serait d’environ 1 million de dollars, bien que 99 % des entreprises soient équipées de protection DNS.

 Attaques Drive-by-Download

Les attaques "Drive-by-Download" sont particulièrement insidieuses, puisque vos utilisateurs n'ont pas besoin de cliquer ou de télécharger volontairement un fichier pour être infectés.
En règle générale, ces logiciels malveillants sont dissimulés dans des mails ou des sites web piégés et sont automatiquement installés sur la machine lors d’une simple ouverture ou consultation.

 Attaques Man in the middle

Ces attaques dites “MITM” sont utilisées par des cybercriminels pour s’interposer entre deux parties (comme un utilisateur et un site web) puis intercepter, et parfois altérer, les flux de données. Les deux techniques les plus courantes dans les attaques MITM sont l’usurpation d’IP et le détournement de session.

Ce type de menace est très efficace pour tromper des internautes (par exemple en modifiant un email avant qu’il n’arrive dans la boîte mail du destinataire) et dérober des données, le rendant particulièrement dangereux pour les entreprises.

 Injection SQL

L'injection SQL est une technique d'attaque qui exploite une faille de sécurité d'une application en interagissant avec sa base de données. Cela se produit généralement lorsque l'application ne valide pas correctement les entrées utilisateur avant de les utiliser dans une requête SQL. Un attaquant peut ainsi injecter des morceaux de code SQL malveillant, que le système exécutera, lui permettant d'accéder, de modifier ou de supprimer des données, ou d'exécuter des commandes administratives sur la base de données.

 

 Privilege Escalation

L'élévation des privilèges survient lorsqu’un utilisateur malveillant parvient à infiltrer un réseau et à obtenir des privilèges élevés lui conférant une grande liberté au sein du SI. Il peut ensuite accéder à des ressources normalement hors de sa portée puis les dérober, les supprimer ou éventuellement en profiter pour infecter votre réseau.

 

L'escalade de privilèges peut se subdiviser en deux catégories principales :

 

Escalade verticale

Dans ce cas, un attaquant tente de gagner des niveaux de privilèges plus élevés. Par exemple, un utilisateur standard pourrait acquérir des droits d'administrateur. Les attaquants utilisent souvent des vulnérabilités non corrigées, des configurations incorrectes ou d'autres faiblesses pour effectuer une escalade verticale de privilèges.

 

Escalade horizontale

Ici, un attaquant avec des privilèges d'utilisateur normal tente d'accéder à des comptes d'autres utilisateurs ayant des privilèges similaires, pour accéder à des informations spécifiques ou des ressources qu'il n'aurait pas dû être en mesure d'atteindre.

 Menaces internes (Insider threats)

Les menaces internes (ou « Insider threats ») sont des risques de sécurité amenés par des individus qui ont déjà un accès interne à votre organisation, tels que les employés, les anciens collaborateurs, les sous-traitants ou les partenaires commerciaux. Ces derniers possèdent en général un accès “officiel” aux systèmes, aux données et aux réseaux de l'organisation, ce qui les place dans une position unique pour exploiter les vulnérabilités de sécurité.

Ces menaces sont extrêmement difficiles à détecter et peuvent persister dans le temps si l’utilisateur mal intentionné parvient à masquer ses activités illicites.

Les types de protection en sécurité réseau

 

Face à ces multiples dangers, la sécurité réseau s’appuie sur différents types d’outils pour maintenir un niveau de protection satisfaisant.
Comme souvent en cybersécurité, la question n’est pas de savoir SI une attaque va avoir lieu, mais plutôt quand.
En basant votre réflexion sur ce postulat de départ, deux enjeux majeurs se distinguent : 

 

1. Déployer une couche de protection externe dont l’objectif est de stopper les attaques avant même qu’elles n’atteignent le réseau

2. Mettre en place des routines de surveillance pour identifier et mitiger l’impact des menaces qui seraient parvenues à pénétrer dans le système.

 

Voyons maintenant d’un peu plus près quels dispositifs sont à votre disposition pour renforcer la sécurité de votre réseau.

 Firewall

Un pare-feu est un dispositif de sécurité réseau qui surveille puis filtre le trafic entrant et sortant selon une série de règles de sécurité prédéfinies. Sa principale utilité est de placer une barrière entre un réseau interne sécurisé et un autre réseau, généralement Internet, et de permettre à un administrateur de réseau de définir les paquets de données qui peuvent passer à travers cette barrière.

Attention à ne pas confondre firewall et WAF. Le premier est plutôt orienté sur la sécurité réseau, là où le second est spécialement conçu pour sécuriser des applications web.
De fait, les critères de sélection d’un WAF sont bien différents de ceux d’un pare-feu classique !

 Système de détection et de prévention des intrusions (IPS)

Les systèmes IPS (Intrusion Prevention System) sont très efficaces pour la détection des intrusions, mais peuvent également prendre des mesures préventives de façon autonome pour bloquer ou empêcher ces activités malveillantes. D’un point de vue technique, les IPS peuvent être classés en deux familles : les IPS réseau (NIPS) et les IPS hôtes (HIPS).

 Réseau privé virtuel (VPN)

Un VPN crée un “tunnel” sécurisé entre l'utilisateur et le réseau, chiffrant les données qui passent à travers. Dans le cadre professionnel, le VPN vient sécuriser la connexion entre l’ordinateur ou le smartphone d’un employé et le réseau de votre entreprise, l’objectif étant de minimiser les risques d’interception des données et surtout de les rendre inexploitables si elles devaient tout de même être dérobées.

 

 Segmentation du réseau

La segmentation implique la division d'un réseau en sous-réseaux plus petits. De fait, si un segment du réseau est compromis, cela réduit le risque que l'attaquant puisse se déplacer latéralement vers d'autres parties du réseau. Cette technique est particulièrement intéressante pour les organisations s’appuyant sur un réseau de grande envergure, où une attaque sur le réseau entier se révélerait dévastatrice.

Plusieurs approches sont utilisées en sécurité réseau pour effectuer ce découpage : 

 

• Le VLAN (Virtual Local Area Network), un réseau dit “logique” totalement indépendant au sein d’un réseau “physique”.

• Le subnetting, ou un réseau IP est fragmenté en plusieurs petits sous-réseaux.

• Le zoning via un pare-feu, où plusieurs zones de confiance sont créées avec des niveaux de confiance distincts.

 ZTNA (Zero Trust Network Access)

Le ZTNA, ou Zero Trust Network Access, est une approche classique en sécurité réseau. Elle se base sur le principe que chacun de vos utilisateurs peut être une menace (volontairement ou non). Chaque collaborateur commence donc avec le strict nécessaire en termes d’accès.
La “confiance” est ensuite évaluée en continu et les accès sont strictement accordés sur la base du principe du moindre privilège, à savoir que les utilisateurs ne peuvent consulter et/ou éditer que les ressources dont ils ont besoin pour accomplir leurs missions.

Une telle règle peut avoir tendance à générer de la frustration, voire du mécontentement chez vos collaborateurs au moment de sa mise en place. Par conséquent, nous vous recommandons de bien communiquer sur les bénéfices en termes de sécurité et de rendre le processus de demande d’accès aussi fluide que possible.

 Data Loss Prevention (DLP)

 

Le DLP est une stratégie de sécurité réseau qui vise à détecter et prévenir les transferts non autorisés de données sensibles ou critiques hors du réseau de l'entreprise. L'objectif du DLP est de protéger les informations confidentielles et sensibles contre la perte, le vol, et l'exposition, tout en assurant la conformité avec les réglementations et les politiques de sécurité de l'information. Il existe trois grandes catégories de DLP à connaître : 

 

• Les DLP réseau, qui surveillent le trafic sur le réseau à la recherche de données “sensibles” en transit.

• Les DLP endpoint, directement installés sur les postes de travail et éventuellement les serveurs, afin de maintenir une visibilité sur les activités locales et diverses interactions au niveau des données.

• Les DLP de stockage dont le rôle est de suivre les données “statiques” contenues dans des bases de données ou des espaces de stockage cloud par exemple.

Sandboxing

Le "Sandboxing", ou mise en bac à sable en français, est une technique de sécurité très performante aussi bien en sécurité réseau qu’en sécurité applicative. Son principe repose sur l’exécution de codes, de programmes ou de fichiers dans un environnement isolé et contrôlé, appelé "sandbox".
L’objectif est d'évaluer leur comportement sans risquer d'endommager votre système hôte ou le réseau environnant.
Ce type de protection est de plus en plus populaire, puisque capable de détecter des vulnérabilités zero-day (non connues et donc pas encore documentées) ainsi que des malwares dits “polymorphes” impossibles à détecter avec des signatures traditionnelles.

 

 Hyperscale Network Security

La sécurité réseau à l'échelle hyperscale s'appuie sur des technologies et des méthodologies qui permettent de protéger d'immenses réseaux et infrastructures informatiques contre diverses menaces telles que les attaques DDoS, l'exploitation de vulnérabilités, les attaques malveillantes, les logiciels malveillants, etc.

 

Les environnements hyperscale requièrent des solutions de sécurité qui peuvent gérer efficacement de grands volumes de trafic réseau et de données, tout en conservant la flexibilité nécessaire pour s'adapter aux évolutions constantes des menaces et des exigences opérationnelles.

Si vous évoluez dans une organisation de grande taille, tourner votre attention vers cette approche “hyperscale” est une excellente idée. 

Bonnes pratiques en matière de sécurité réseau

La sécurité réseau ne se résume pas à la mise en place d’une stratégie centrale et au déploiement de systèmes de défense.
Face à des dangers toujours plus nombreux et à leur perpétuelle évolution, le respect d’un certain nombre de bonnes pratiques est une nécessité pour conserver une protection optimale de votre réseau. Tour d’horizon.

 Réalisez des audits réguliers

Les audits du réseau sont cruciaux pour vous aider à détecter d’éventuelles vulnérabilités (surtout celles que vous n’auriez pas pu identifier précédemment). Parmi leurs autres bénéfices, nous pouvons noter :

• La détection d’applications obsolètes ou inactives toujours présentes sur le réseau.

• La possibilité de tester l’efficacité du pare-feu et d’en ajuster les paramètres si besoin.

• L’obtention d’informations sur l’état de l’infrastructure réseau

 

Pour autant, ces analyses n’ont de sens que si elles sont réalisées régulièrement : privilégiez des audits plus courts, mais menés plusieurs fois dans l’année qu’un seul plus conséquent qui ne sera mené qu’un an sur deux.

 Adoptez une posture proactive pour la recherche de menaces

Si les audits offrent une photographie à intervalles réguliers, ce n’est que par une surveillance permanente que votre stratégie de sécurité réseau peut offrir une protection optimale.
Définissez des alertes à déclenchement conditionnel et appuyez-vous sur des outils d’automatisation pour réaliser cette routine d’analyse à votre place.
Par exemple, si un appareil commence subitement à transférer des données de façon massive pendant des heures entières, vous pourrez remonter à la source de l’anomalie directement et déterminer s’il s’agit d’une fausse alerte ou d’une menace avérée !

 

 Systématisez le chiffrement

Même si votre réseau est très bien protégé, le risque zéro n’existe pas.
En chiffrant les données qui transitent sur votre réseau, vous ajoutez à votre infrastructure de défense une seconde couche protectrice : même si des cybercriminels parviennent à vous subtiliser des informations, ces dernières ne leur seront d’aucune utilité sans la clé de chiffrement unique.

À cet égard, implémenter le HTTPS sur votre intranet est une mesure efficace (et pourtant encore assez peu répandue), tout particulièrement si vous gérez un réseau de grande taille.

 

 Maintenez votre infrastructure à jour

Un appareil pas ou peu mis à jour finira inévitablement par générer des failles de sécurité : du “pain béni” pour les cybercriminels, qui s’appuient largement sur le matériel obsolète pour lancer leurs attaques.

 

Qu’il s’agisse des ordinateurs, des téléphones, des serveurs ou de matériel plus spécifique, faites en sorte de déployer rapidement les nouvelles versions lorsqu’elles deviennent disponibles pour limiter l’apparition de brèches dans votre dispositif de sécurité.

 

 Conservez (ou créez) un playbook de réponse aux incidents

Si la plupart des organisations ont désormais bien compris l’importance d’une sécurité réseau “préventive”, beaucoup se retrouvent en revanche démunies si une attaque parvient à déjouer leurs lignes défenses.

 

Un playbook dédié est en quelque sorte l’ouvrage de référence pour suivre et optimiser la réponse à une attaque en cours ou passée et limiter son impact sur l’activité de l’entreprise. Idéalement, décomposez le contenu autour des grands axes suivants : 

 

• Définition des protocoles à suivre selon le type d’attaque

• Explications détaillées des étapes à suivre

• Définition des rôles et des responsabilités de chaque intervenant

• Stratégie de communication (aussi bien interne qu’externe) à adopter

 

Bien sûr, ce playbook doit être mis à jour régulièrement pour rester pertinent vis-à-vis des systèmes en place et des évolutions d’effectifs.

La sécurité de votre réseau repose sur bon nombre d’outils et de dispositifs à mettre en place. La difficulté repose sur le choix des solutions les mieux appropriées à votre organisation et par un entretien régulier de votre réseau, alors que les menaces sont protéiformes. Autant d’éléments qu’un partenaire spécialisé en cybersécurité saura identifier, mettre en place et entretenir opportunément pour vous.