Les cyber-attaques des systèmes d’information et de communication des entreprises et entités gouvernementales sont un défi majeur des Responsables Sécurité des Systèmes d’Information (RSSI). Si aujourd’hui les attaques se concentrent principalement sur les systèmes informatiques, les réseaux de communications ne sont pas pour autant épargnés et il faut donc aussi les protéger. Les techniques utilisées pour protéger les aéroports et passagers sont une source d’inspiration pour cyber-sécuriser tout réseau de télécommunication.
Chaque année le nombre d’attaques cyber dans le monde augmente et l’année 2017 ne devrait pas déroger à la règle malheureusement. Si les cibles principales des attaques concernent les informations personnelles, les bases de données, les postes de travail, les serveurs et applications…, il convient de se rappeler que ces attaques passent toujours par des réseaux de télécommunications. Ces réseaux sont eux-mêmes attaqués, et il existe dans l’histoire récente de la cyber de nombreux exemples d’attaques de réseaux d’opérateurs télécom et d’accès Internet (Deutsche Telekom attack part of global campaign on routers – Nov 2016) et de réseaux privés d’OIVs (Critical infrastructure cyberattacks rising – Janv 2016).
Le « cloud computing », la virtualisation des fonctions réseaux (NFV – Network Function Virtualisation), l’émergence du SDN (Software Defined Network) et la prolifération attendue des objets connectés (IoT – Internet of Things) vont rendre ces réseaux de communications plus vulnérables aux attaques cyber.
Comment renforcer la sécurité des réseaux?
Il est donc nécessaire de renforcer la protection, la défense et la résilience des réseaux. Mais par où commencer ?, sachant qu’il n’existe pas de solution unique pour protéger une infrastructure de télécommunications. Alors pourquoi ne pas s’inspirer de ce qui se fait dans un domaine ou la sécurité est l’une des principales préoccupations : les Aéroports ?
Ce raccourci entre la sécurité des aéroports et la cyber-sécurité des réseaux de données peut sembler au premier abord un peu étrange. Mais en y regardant de plus près, les méthodologies et processus de sécurité des grands aéroports internationaux sont clairement un modèle pour protéger les réseaux de communications.
Contrôle d’accès ?
Lorsque vous arrivez à l’aéroport et allez au comptoir d’enregistrement ou au contrôle de police, la première formalité effectuée est celle qui consiste à vérifier votre identité avec votre passeport ou carte d’identité. Pour un réseau de communications, cela s’appelle le NAC (Network Access Control – Contrôle d’Accès Réseau – standard IEEE – 802.1X) pour autoriser l’accès d’un utilisateur ou terminal sur le réseau. Comme pour le passeport le NAC est tributaire du déploiement d’une solution d’IM (Identity Management – Gestion d’Identité).
Après le contrôle de police, on vous dirige vers le contrôle de sécurité qui permet de vérifier l’intégrité et le contenu de vos bagages et effets personnels. Pour un réseau de données, c’est exactement la même chose, il faut vérifier l’intégrité de tous les terminaux (PC, smartphone, tablette, capteur…etc) qui se connectent sur le réseau, c’est-à-dire vérifier que l’anti-virus est à jour, que les patchs de sécurité des applications et système d’exploitation sont bien installés…etc. Pour un réseau cela se nomme le HIC (Host Integrity Check – Vérification de l’intégrité par l’Hôte).
Après avoir passé tous ces contrôles avec succès, vous entrez dans la zone de départ là ou se trouvent les portes d’embarquement. Les personnes qui s’y trouvent n’ont pas toutes les mêmes droits et privilèges. En effet, si vous avez une carte de fidélité de grand voyageur vous pourrez accéder au salon VIP. Si vous êtes commandant de bord vous pourrez accéder à l’avion bien avant les passagers. Si vous êtes agent de maintenance vous pouvez accéder à des zones hautement sécurisées comme les pistes d’atterrissage. Et si vous êtes un officier de police vous pourrez accéder partout. Dans un réseau de communications, on doit faire exactement la même chose avec l’UPM (User Profile Management – Gestion du Profil des Utilisateurs). Un utilisateur du département financier d’une entreprise doit avoir des droits d’accès aux ressources informatiques différents de ceux d’un commercial par exemple. Il en va de même pour les applications; une application d’importance vitale doit avoir des SLA (Service Level Agreement – Accord de Niveau de Service) réseau différentiés.
Sécurisation de l’information
Lors de la préparation d’un vol, les bagages sont triés par des machines de tri placés dans des endroits sécurisés et sont ensuite placés dans des conteneurs verrouillés avant d’être transférés dans la soute à bagage de l’avion. Cette procédure permet de préserver l’intégrité des valises et colis. Dans un réseau IP, les paquets de données peuvent aussi être protégés grâce à la cryptographie. Le chiffrement des données peut se faire à différents niveaux du réseau: Physical Layer (Niveau 1) ; Data Link Layer (Niveau 2), Network Layer (Niveau 3) ou Application Layer (Niveau 7) conformément au célèbre modele OSI (Open System Interconnection)
La supervision
Un aéroport international occupe généralement un très vaste domaine et est souvent considéré comme une ville dans la ville. Ce domaine aéroportuaire est une zone très protégée par des grillages et barbelés. C’est ce qui se nomme le périmètre de sécurité. On met également en place des équipements de surveillance, de contrôle d’accès, de détection d’intrusion et d’analyse des comportements : caméras de vidéo protection, sas de sécurité, logiciels de reconnaissance vidéo et d’images…etc. Toutes ces informations sont traitées au sein d’un Centre de Sécurité. Pour un réseau de télécommunications, il convient de faire exactement la même chose. Le périmètre de sécurité d’un réseau est fait grâce à des pare-feu qui filtrent les paquets dynamiquement (Stateful Inspection Firewalling). Les données corrompues sont détectables grâce à des systèmes de prévention et de détection d’intrusion IDS/IPS (Intrusion Detection/Prevention System). Les comportements suspects sur un réseau de données sont supervisés par un SIEM (Security Information & Event Management – Gestion de l’Information et Evénements de Sécurité). Enfin toute la supervision et la gestion de la cyber sécurité et protection d’un réseau ou système d’information se fait au travers d’un SOC (Security Operations Center – Centre des Opérations de Sécurité).
Le tableau ci dessous résume les bonnes pratiques à mettre en place pour sécuriser efficacement un réseau de communications en s’inspirant des bonnes pratiques sécuritaires des grands aéroports internationaux.
Sécurité des aéroports internationaux | Sécurité des réseaux de communications | Solutions et standards pour sécuriser les réseaux |
Contrôle des passeports | NAC, Identity management | 802.1X NAC, ACL, captive web portal, AAA server |
Contrôle de sécurité | HIC | HIC agents and policy management server |
Conteneurs à bagages | Encryption | L1, L2, L3 encryption. Key encryption management tools |
Périmètre de sécurité | Perimeter security | Stateful Inspection Firewall, IDS/IPS, DDOS protection |
Centre de sécurité | SIEM & SOC | Traffic anomaly detection, isolation, quarantine and remediation server, audit trail |
Conclusion
La cyber sécurité des réseaux de communication est souvent perçue comme étant un sujet complexe accessible aux seuls experts hautement qualifiés du domaine. Mais si on prend le temps d’analyser le sujet de manière rationnelle en utilisant des analogies comme celle par exemple des aéroports, on peut plus facilement s’approprier le sujet et commencer à mettre en place une stratégie gagnante de protection des réseaux d’information et de communications des entreprises.
Au travers la chaire cyber-sécurité des infrastructures critiques CNI (Critical National Infrastructure), le Pôle d’Excellence Cyber et ses partenaires académiques : Institut Mines-Télécom-IMT, Télécom Paris Tech, Télécom Sud Paris et partenaires industriels : Airbus Defence and Space, Amossys, BNP Parisbas, EDF, La Poste, Nokia, Orange et Société Générale ; contribuent au développement des activités de recherche pour la cyber protection des infrastructures critiques.
Acronyms
– AAA: authentication, authorization, and accounting
– ACL: Access Control List
– DDOS: distributed denial-of-service
– HIC: Host Integrity Check
– IDS: Intrusion Detection System
– IPS: Intrusion Prevention Systems
– L1, L2, L3, L7: Layer 1= physical; Layer 2= Data link; Layer 3= Netwok; Layer 7 = Application
– NAC: Network Access Control
– QoS: Quality of Service
– SIEM: Security Information & Event Management
– SLA: Service Level Agreement
– UPN: User Network Profile
– VLAN: Virtual Local Area Network
– VPN: Virtual Private Network
Thierry SENS
Pôle d’Excellence Cyber
Thierry Sens fut responsable du développement industriel au Pôle d’Excellence Cyber à Rennes. Il possède une grande expérience et expertise des technologies, systèmes et réseaux de communications ainsi que de leur cyber-sécurité. Auparavant il a travaillé pour les sociétés Nokia, Alcatel-Lucent, Philips Consumer Electronics, CS Telecom, TRT et Radiotechnique Compelec. Il est ingénieur diplômé de l’ESIEE et a étudié à l’université d’ESSEX en Angleterre.