Sécurisation des réseaux d’entreprise

Utilisez une technologie de contrôle d’accès au réseau – en anglais Network Access Control ou NAC. Elle pourra bloquer tout accès non autorisé à vos systèmes informatiques et vérifier la conformité des terminaux. En d’autres termes, le NAC va notamment garantir que seuls des appareils autorisés accèdent à un réseau et que ces appareils disposent toujours des mises à jour de sécurité les plus récentes. Les failles de sécurité sont ainsi aisément décelées et rapidement éliminées.

Si vos collaboratrices et collaborateurs doivent avoir accès au réseau de l’entreprise depuis l’extérieur (p. ex. en télétravail ou en déplacement), ils devraient pouvoir le faire seulement via un réseau privé virtuel (VPN). Vérifiez en outre que ce réseau est protégé par une authentification à facteurs multiples. Cette règle s’applique aussi à l’accès accordé aux prestataires informatiques et aux administrateurs externes. Sécuriser l’accès à distance est essentiel.

Un pare-feu est un logiciel ou un matériel qui contrôle le trafic des données entre deux réseaux. Installez un pare-feu afin de bloquer tout trafic de données indésirable et de protéger le réseau d’entreprise de toute intrusion. Installez un pare-feu actif sur chaque appareil et protégez aussi le réseau d’entreprise avec une telle solution. Définissez ensuite les règles qui contrôleront les connexions entrantes et sortantes.

La segmentation du réseau en plusieurs parties réduit la surface d’attaque. Ce faisant, elle limite le risque d’accès non autorisé aux données sensibles de l’entreprise. La séparation s’effectue par la configuration de réseaux séparés (segments), qui font l’objet de directives de sécurité et de restrictions d’accès différentes.

Le réseau de production, qui englobe les machines et les systèmes de commande industriels, est séparé des postes de travail administratifs d’une part et de l’environnement de développement et de test d’autre part. Cette séparation évite que des applications non testées et potentiellement peu sécurisées mettent en péril l’environnement de production. Ce cloisonnement réduit le risque de violation de la protection des données et de tentatives d’escroqueries financières. Vous évitez ainsi que des appareils inconnus accèdent aux données sensibles de l’entreprise et mettent en péril la communication interne. Les serveurs centraux, sur lesquels sont stockées les données d’entreprise, devraient se trouver sur un réseau à part et être bien séparés des appareils clients du personnel.

Vérifiez que le réseau sans fil WLAN est compatible avec les normes de chiffrement actuelles et protégé au mieux contre l’espionnage. La sécurité d’un réseau WLAN peut être considérablement renforcée par l’utilisation de mécanismes de sécurité et de normes de chiffrement à jour, comme la norme WPA3 ou au moins WPA2/WPA2 Enterprise. Si vous utilisez toujours la norme de sécurité WEP, passez au plus vite au standard WPA2 ou plus fort. La norme WEP est obsolète et présente de nombreuses failles qui ne permettent pas de déjouer les cyberattaques actuelles. Protégez-vous des attaques de type «man-in-the-middle»: Ne vous connectez qu’à des réseaux dignes de confiance. Les pirates peuvent intercepter vos messages en se glissant entre Internet et vous, ce qui leur permet de s’emparer d’informations confidentielles et d’utiliser des logins falsifiés. Il est donc indispensable de protéger votre propre WLAN avec une norme de sécurité à jour.

Autoriser uniquement les fonctions réseau nécessaires aux traitements mis en oeuvre. Le réseau interne interconnecte l’ensemble des composants des systèmes d’information d’un organisme et dispose souvent de points de connexion avec l’extérieur. Il s’agit tout autant d’un point d’entrée que d’un support de propagation des attaques. Il est donc primordial de sécuriser le réseau interne.

Limiter les accès Internet en bloquant les services non nécessaires (VoIP, pair à pair). Gérer les réseaux Wi-Fi. Ils doivent utiliser un chiffrement à l’état de l’art (WPA3 ou WPA2 en respectant les recommandations de l'ANSSI sur la configuration de ce dernier) et les réseaux ouverts aux invités doivent être séparés du réseau interne. Imposer un VPN pour l’accès à distance avec, si possible, une authentification robuste de l’utilisateur (ex. : carte à puce, mot de passe à usage unique basé sur le temps (TOTP)). S’assurer qu’aucune interface d’administration n’est accessible directement depuis Internet. Les opérations d’administration et de maintenance doivent tout particulièrement s’effectuer à travers un VPN. Privilégier le protocole SSH (correctement configuré) ou un accès physique direct pour l’administration des équipements réseau. Limiter les flux réseau au strict nécessaire en filtrant les flux entrants/sortants sur les équipements (ex : pare-feux, serveurs proxy). Par exemple, si un serveur web utilise obligatoirement HTTPS, il faut autoriser uniquement les flux entrants sur cette machine sur le port 443 et bloquer tous les autres ports. Cloisonner le réseau pour réduire l’impact en cas de compromission. On peut au minimum distinguer un réseau interne sur lequel aucune connexion venant d’Internet n’est autorisée et un réseau DMZ (« demilitarized zone ») accessible depuis Internet, en les séparant par des passerelles (« gateway »).

Utiliser le protocole Telnet pour la connexion aux équipements actifs du réseau (ex : pare-feux, routeurs, passerelles). Mettre à disposition des utilisateurs un accès Internet non filtré. Mettre en place un réseau Wi-Fi utilisant un chiffrement WEP.

Les opérations d’administration et de maintenance devraient être effectuées depuis des équipements sous maîtrise exclusive du ou de ses sous-traitants. On peut mettre en place l’identification automatique de matériel en mettant en place une authentification des matériels (protocole 802.1X) ou, a minima, en utilisant les identifiants des cartes réseau (adresses MAC) afin d’interdire la connexion d’un dispositif non répertorié. Des systèmes de détection d’intrusion (IDS) et de prévention d'intrusion (IPS) peuvent analyser le trafic réseau pour détecter des attaques, voire y répondre. Informer les utilisateurs de la mise en place de tels systèmes dans la charte informatique (voir la fiche n°2 - Définir un cadre pour les utilisateurs), après information et consultation des instances représentatives du personnel. L’ANSSI a publié des bonnes pratiques, par exemple pour l’interconnexion d’un système d’information à Internet (desquelles sont inspirées le schéma ci-dessous), le choix des pare-feux ou le déploiement du protocole 802.1X.

Votre entreprise se heurte à des menaces sur de nombreux plans, et plus vous ajoutez d’utilisateurs, de périphériques et d’applications, plus votre réseau devient vulnérable.

La sécurité des réseaux englobe toutes les activités visant à protéger la fonctionnalité et l’intégrité de votre réseau et de vos données. Elle comprend des technologies de matériel et des technologies logicielles. Des mesures efficaces de sécurité des réseaux permettent de gérer l’accès au réseau. Elles ciblent un grand nombre de menaces et les empêchent de pénétrer dans le réseau ou de s’y propager.

La sécurité des réseaux combine de nombreuses couches de défenses en périphérie et dans le réseau. Chaque couche de sécurité du réseau met en œuvre des politiques et des contrôles. Les utilisateurs autorisés obtiennent un accès aux ressources de réseau, tandis que les intervenants malveillants sont bloqués et ne peuvent pas accomplir leurs exploitations et menaces.

Chaque entreprise qui souhaite offrir les services que demandent ses clients et employés doit protéger son réseau. La sécurité des réseaux vous aide également à protéger vos renseignements exclusifs contre les attaques. Fondamentalement, cela protège votre réputation.