Sécurité réseau : 5 bonnes pratiques à mettre en place
Face à l’augmentation constante des cyberattaques, la sécurité réseau est plus que jamais au cœur des priorités des entreprises. Les professionnels de l’IT ont des responsabilités importantes à ce niveau et doivent faire face à des ransomwares, virus, malwares et autres tentatives de phishing de plus en plus sophistiquées… La bonne nouvelle est que les technologies de réponse de sécurité s’améliorent également, grâce notamment aux innovations dans l’apprentissage automatique, dans l’IA et dans l’automatisation. Mais encore faut-il savoir comment intégrer ces technologies pour renforcer la cybersécurité… Voici les 5 meilleures pratiques que chaque professionnel de l’IT devrait connaître pour assurer la sécurité réseau.
Comprendre les grands principes de la sécurité d’un réseau
La première étape lorsqu’on cherche à sécuriser un réseau est de bien comprendre ce qu’il faut protéger. Concrètement, un réseau informatique repose sur des éléments interconnectés qui échangent des informations entre eux. Ces éléments sont principalement des postes informatiques (pc, portables, tablettes, smartphones et serveurs), des switchs et des modems.
Les premières portes d’entrée du réseau sont les postes informatiques accessibles aux utilisateurs et vulnérables aux attaques. Les politiques de sécurité réseau doivent donc se concentrer sur ces équipements. Cela se fait par la mise en place des principes :
d’authentification des utilisateurs (mot de passe, données biométriques) ;
de confidentialité des échanges ;
d’intégrité des données ;
de non-répudiation (c’est-à-dire un suivi permettant de savoir précisément quel usager a effectué telle action) ;
de chiffrage des données et informations sensibles.
Ce sont ces principes qu’il faut adapter et faire évoluer en fonction de chaque système d’information, mais aussi de la sophistication des cyberattaques.
Auditer le réseau et les contrôles de sécurité
Une fois les grands principes de sécurité réseau connus, il faut vérifier comment ils sont mis en place dans le système d’information. Cet audit ne doit pas être qu’initial ou ponctuel, il doit être régulièrement planifié pour éventuellement découvrir de nouvelles vulnérabilités liées par exemple à des mises à jours, des pannes ou des actes malveillants.
La parfaite connaissance de l’environnement réseau est essentielle pour maintenir sa sécurité. Les audits sont généralement effectués par les administrateurs systèmes et réseaux, les experts en cybersécurité ou des consultants externes à l’entreprise. Ils doivent permettre :
d’identifier les vulnérabilités et failles à corriger ;
de trouver des applications inutilisées ou inutiles pour les supprimer ;
de vérifier l’état des serveurs, des autres équipements physiques et des logiciels ;
de planifier les mises à jour et actions de maintenance préventive ;
d’évaluer la force du pare-feu et d’adapter si besoin sa configuration ;
de mesurer l’efficacité globale de l’infrastructure de sécurité ;
de vérifier la conformité des plans de reprise après incident (PRA).
Réviser les politiques de sécurité
Après chaque audit, la politique de sécurité doit être revue pour s’assurer qu’elle reste cohérente avec l’état de l’environnement et ses possibles évaluations. Celle-ci doit aussi être mise à jour en fonction d’une veille technologique sur les nouvelles cyberattaques.
L’intelligence artificielle est notamment de plus en plus présente dans les politiques de sécurité des systèmes d’information (PSSI).
Par exemple, la société Oracle exploite le machine learning et l’IA pour faire face aux cyberattaques ciblant les identifications utilisateurs. Les algorithmes d’apprentissage automatique analysent les comportements utilisateurs pour en définir les baselines. Ils peuvent alors comparer ces activités avec celles présentes sur le réseau et détecter des comportements inhabituels. Ensuite, l’IA peut générer une « réponse intelligente » en ajoutant notamment l’incident à un système de tickets ou en lançant des dispositifs d’identification renforcés pour vérifier l’identité de l’utilisateur.
Sécuriser son réseau en sensibilisant les utilisateurs finaux
Même si les cyberattaques se diversifient et deviennent de plus en plus complexes, les attaques de phishing restent la méthodologie préférée de nombreux cyber attaquants. Cette approche a l’avantage essentiel d’être très difficile à détecter par les solutions de sécurité telles que les antivirus y compris ceux reposant sur l’IA. En effet, une fois les identifiants de connexion récupérés, un hacker peut se connecter, accéder aux données et agir exactement comme l’utilisateur avant qu’une potentielle intrusion ne soit repérée.
L’apport de l’IA permet notamment de rendre les phishings beaucoup plus personnalisés et moins identifiables par les utilisateurs. Les attaquants utilisent des moteurs d’IA capables de scanner le web pour recueillir des informations détaillées sur des individus et entreprises.
Et, malgré les campagnes de sensibilisation de plus en plus importantes sur le sujet, le facteur humain reste le maillon faible de la chaîne de sécurité des réseaux… Pour renforcer la cybersécurité, la formation des utilisateurs finaux doit être un processus continu intégré dans la culture d’une entreprise. Les actions de formation doivent là aussi être régulièrement mises à jour en fonction de l’évolution des attaques.
Pour sensibiliser les employés, mais aussi l’ensemble des actifs, l’ANSSI propose un MOOC interactif disponible gratuitement : SecNumAcademie.
Déployer les bonnes technologies réseau
De nombreuses solutions de sécurité réseau sont disponibles sur le marché IT. Les plus connues sont :
les systèmes de détection d’intrusion et systèmes de prévention d’intrusion (IDS/IPS) ;
les firewall et antivirus ;
les réseaux privés virtuels (VPN) ;
les outils de gestion unifiée des menaces (UTM) ;
les solutions d’analyse du comportement des utilisateurs et des entités (UEBA) comme celle utilisée par Oracle.
L’intelligence artificielle est intégrée dans la plupart de ces solutions de cybersécurité. Les processus d’automatisation peuvent aussi prendre en charge des tâches telles que la réinstallation d’antivirus, la vérification de clés de registre, la modification de règles dans les pare-feu, etc.
Certaines DSI ont également recours à des technologies d’IA pour assister plus efficacement les intervenants dans la priorisation des actions à effectuer.
Cependant, les solutions de sécurité basées sur l’IA restent des outils aux services des équipes de cybersécurité, mais ne peuvent pas gérer en autonomie la défense face aux cyberattaques. Selon Olivier Patole, associé chez EY Consulting (un cabinet de business consulting), les apports de l’IA s’arrêtent à la détection :
Un système auto-apprenant va détecter des signaux faibles comme un comportement anormal d’un poste de travail par rapport au reste du parc informatique.
En cas d’alerte, la prise de décision reste du ressort des équipes humaines afin d’éviter notamment qu’un faux positif puisse paralyser l’activité d’une entreprise. Dans la sécurité réseau, la prise de décision couvre aussi le choix des situations à mettre en place ou non en fonction de l’environnement et des derniers audits.
Les 5 bonnes pratiques précédentes sont le fondement pour assurer la sécurité réseau même face à des attaques de plus en plus complexes et des environnements de travail souvent plus ouverts. N’hésitez pas à enrichir cette liste avec vos conseils et retours d’expérience sur le forum IT !
Par Laura Pouget, Rédactrice Web SEO & Développeuse Informatique.
Sources et liens utiles :
Oracle : Le Machine learning au service de la cybersécurité
Les conséquences de sphinx dopés à l’intelligence artificielle
Commentaire
Connectez-vous ou créez votre compte pour réagir à l’article.