La sécurité réseau est le domaine de la cybersécurité qui se concentre sur la protection des réseaux informatiques contre les cybermenaces. Elle s’articule autour de trois objectifs principaux : empêcher l’accès non autorisé aux ressources du réseau, détecter et neutraliser les cyberattaques et les violations de sécurité en cours, et veiller à ce que les utilisateurs autorisés puissent accéder en toute sécurité aux ressources du réseau dont ils ont besoin, au moment où ils en ont besoin.
Le risque de cyberattaque augmente avec la taille et la complexité des réseaux. Par exemple, selon le Cost of a Data Breach 2022 Report (Rapport 2022 sur le coût d’une violation de données) d’IBM, 83 % des organisations interrogées ont subi plus d’une violation de données, c’est-à-dire une atteinte à la sécurité aboutissant à l’accès non autorisé à des informations sensibles ou confidentielles. Or, ces attaques coûtent extrêmement cher : le coût moyen d’une violation de données à l’échelle mondiale est de 4,35 millions de dollars, un chiffre multiplié par plus de deux aux États-Unis (9,44 millions de dollars).
La sécurité réseau protège l’intégrité de l’infrastructure, des ressources et du trafic des réseaux afin de contrecarrer ces attaques et d’en minimiser les répercussions financières et opérationnelles.
Les systèmes de sécurité réseau interviennent au niveau du périmètre et à l’intérieur du réseau.
Au niveau du périmètre, les contrôles de sécurité ont pour but d’empêcher les cybermenaces de s’introduire dans le réseau. Mais les attaquants parviennent parfois à s’infiltrer, c’est pourquoi les équipes de sécurité réseau mettent également en place des contrôles autour des ressources situées à l’intérieur du réseau, telles que les ordinateurs portables et les données. Même si les attaquants s’introduisent dans le réseau, ils n’auront pas le champ libre. Cette stratégie, qui consiste à placer plusieurs dispositifs de contrôle entre les pirates informatiques et les éventuelles vulnérabilités, s’appelle la « défense en profondeur ».
La mise en place de systèmes de sécurité réseau implique de combiner les outils suivants :
Un pare-feu est un logiciel ou un matériel qui empêche le trafic suspect d’entrer ou de sortir d’un réseau tout en laissant passer le trafic légitime. Les pare-feux peuvent être déployés à la périphérie d’un réseau ou utilisés en interne afin de diviser ceux de plus grande taille en sous-réseaux plus petits. De cette manière, si une partie est compromise, les pirates informatiques ne peuvent pas accéder au reste du réseau.
Il existe différents types de pare-feux, qui présentent des particularités différentes. Ceux de base inspectent le trafic à l’aide du filtrage des paquets. Ceux de nouvelle génération, plus avancés, offrent une protection renforcée grâce à des fonctions de prévention des intrusions, d’IA et de machine learning, de vigilance et de contrôle des applications, et de flux de renseignements sur les menaces.
Les solutions de contrôle d’accès au réseau (ou NAC pour « network access control ») jouent le rôle de gardiens, authentifiant et autorisant les utilisateurs afin de déterminer qui est autorisé à accéder au réseau et ce qu’il peut y faire. La partie « authentification » consiste à vérifier qu’un utilisateur est bien celui qu’il prétend être. La partie « autorisation » consiste à accorder aux utilisateurs authentifiés l’autorisation d’accéder aux ressources du réseau.
Les solutions NAC sont souvent utilisées pour mettre en œuvre des politiques de contrôle d’accès basées sur les rôles (ou RBAC pour « role-based access control »), qui prévoient que les privilèges des utilisateurs reflètent leurs fonctions. Par exemple, les développeurs juniors peuvent être en mesure de consulter et d’éditer du code, mais pas de le mettre en production. En revanche, les développeurs seniors sont autorisés à lire, écrire et mettre le code en production. Le système RBAC contribue à prévenir les violations de données en tenant les utilisateurs non autorisés à l’écart des ressources auxquelles ils n’ont pas le droit d’accéder.
Outre l’authentification des utilisateurs, certaines solutions NAC permettent d’évaluer les risques sur les terminaux des utilisateurs. L’objectif est d’empêcher les appareils non sécurisés ou compromis d’accéder au réseau. Si un utilisateur tente d’accéder au réseau sur un appareil équipé d’un logiciel anti-malware obsolète ou dont la configuration est incorrecte, le système lui refusera l’accès. Certains outils NAC avancés sont même capables de résoudre automatiquement les problèmes de non conformité des terminaux.
Un système de détection et de prévention des intrusions (ou IDPS pour « intrusion detection and prevention system »), parfois appelé simplement « système de prévention des intrusions » (ou IPS), peut être déployé directement derrière un pare-feu en vue d’analyser le trafic entrant à la recherche de menaces pour la sécurité. Ces outils découlent des systèmes de détection des intrusions (ou IDS pour « intrusion detection systems »), qui se contentaient de signaler les activités suspectes pour examen. Les systèmes IDPS sont désormais capables de réagir automatiquement à d’éventuelles violations, par exemple en bloquant le trafic ou en réinitialisant la connexion. Ils sont particulièrement efficaces pour détecter et bloquer les attaques par force brute, par déni de service (DoS) et par déni de service distribué (DDoS).
Un réseau privé virtuel (ou VPN pour « virtual private network ») sert à protéger l’identité d’un utilisateur en chiffrant ses données et en masquant son adresse IP et sa localisation. Lorsqu’une personne utilise un VPN, elle ne se connecte plus directement à Internet, mais à un serveur sécurisé qui se connecte à Internet en son nom.
Les VPN permettent aux télétravailleurs d’accéder en toute sécurité aux réseaux d’entreprise, même via des connexions wifi publiques non sécurisées, comme celles que l’on trouve dans les cafés et les aéroports. Les VPN chiffrent le trafic des utilisateurs et le mettent à l’abri des pirates informatiques qui voudraient intercepter leurs communications.
À la place des VPN, certaines organisations utilisent le modèle d’accès réseau Zero Trust (ou ZTNA pour « zero trust network access »). Plutôt que d’utiliser un serveur proxy, le ZTNA connecte les utilisateurs à distance en toute sécurité grâce à des politiques de contrôle d’accès Zero Trust. Les utilisateurs n’ont alors pas accès à l’ensemble du réseau. Ils ont accès uniquement aux ressources qu’ils sont autorisés à utiliser, et ils doivent faire l’objet d’une vérification à chaque fois qu’ils accèdent à une nouvelle ressource. Nous détaillerons plus en détail le fonctionnement de la sécurité Zero Trust dans la section suivante.
La sécurité des applications fait référence aux mesures prises pour protéger les applications et les interfaces de programmation d’application (API) contre les auteurs d’attaques informatiques. Comme de nombreuses entreprises utilisent aujourd’hui des applications pour exécuter des fonctions métier essentielles ou traiter des données sensibles, les applications sont régulièrement la cible des cybercriminels. Et comme de nombreuses applications professionnelles sont hébergées dans des clouds publics, les pirates peuvent exploiter leurs vulnérabilités pour s’introduire dans les réseaux privés des entreprises.
Les mesures de sécurité des applications protègent ces dernières contre les acteurs malveillants. Parmi les outils les plus courants, on trouve les pare-feux d’applications Web (ou WAF pour « web application firewalls »), l’autoprotection des applications d’exécution (ou RASP pour « runtime application self-protection »), ainsi que les tests statiques et dynamiques de sécurité des applications (ou SAST pour « static application security testing » et DAST pour « dynamic application security testing »).
L’IBM Security X-Force Threat Intelligence Index (Indice du renseignement sur les menaces d’IBM Security X-Force) indique que le phishing est le vecteur initial de cyberattaque le plus courant. Les outils de sécurité des e-mails peuvent contribuer à déjouer les attaques de phishing et autres tentatives de compromission de la messagerie des utilisateurs. La plupart des services de messagerie électronique intègrent des outils de sécurité, tels que des filtres anti-spam et le chiffrement des messages. Certains outils sont équipés de bacs à sable (ou « sandboxes »), c’est-à-dire des environnements isolés dans lesquels les équipes de sécurité peuvent inspecter les pièces jointes aux e-mails à la recherche de malwares sans exposer le réseau.
Bien que les outils suivants ne soient pas des outils de sécurité réseau à proprement parler, les administrateurs les utilisent souvent pour protéger les zones et les actifs des réseaux.
La prévention des pertes de données (ou DLP pour « data loss prevention ») fait référence aux stratégies et aux outils de sécurité informatique qui empêchent le vol ou la fuite accidentelle de données sensibles. Cette approche regroupe des politiques de sécurité et des technologies spécialisées qui suivent les flux de données, chiffrent les informations sensibles et déclenchent des alertes en cas de détection d’activités suspectes.
Les solutions de sécurité des terminaux protègent tous les appareils qui se connectent à un réseau (ordinateurs portables, ordinateurs de bureau, serveurs, appareils mobiles, appareils IdO) contre les pirates informatiques qui tentent de les utiliser pour s’infiltrer dans le réseau. Les logiciels antivirus sont capables de détecter et de détruire les chevaux de Troie, les logiciels espions et autres logiciels malveillants présents sur un appareil avant qu’ils ne se propagent au reste du réseau. Les solutions de détection et réponse au niveau des terminaux (ou EDR pour « endpoint detection and response ») sont des outils plus avancés qui surveillent le comportement des terminaux et réagissent automatiquement en cas d’événements menaçant la sécurité. Les logiciels de gestion unifiée des terminaux (ou UEM pour « unified endpoint management ») permettent aux entreprises de surveiller, de gérer et de sécuriser tous les appareils des utilisateurs finaux à partir d’une console unique.
Les solutions de sécurité Web, telles que les passerelles Web sécurisées, bloquent le trafic internet malveillant et empêchent les utilisateurs de se connecter à des sites Web et des applications à caractère suspect.
La segmentation réseau est un moyen de diviser les grands réseaux en sous-réseaux plus petits, soit physiquement, soit par le biais d’un logiciel. Cette technique permet de limiter la propagation des ransomwares et autres malwares en isolant un sous-réseau compromis du reste du réseau. Elle offre également l’avantage de tenir les utilisateurs légitimes à l’écart des ressources auxquelles ils ne devraient pas avoir accès.
Les solutions de sécurité cloud protègent les centres de données, les applications et les autres actifs cloud contre les cyberattaques. Dans la plupart des cas, il s’agit simplement de mesures de sécurité réseau standard (pare-feu, NAC et VPN) appliquées à des environnements cloud. De nombreux fournisseurs de services cloud intègrent des contrôles de sécurité dans leurs services ou les proposent sous forme de modules complémentaires.
L’analyse du comportement des utilisateurs et des entités (ou UEBA pour « user and entity behavior analytics ») fait appel aux analyses comportementales et au machine learning en vue de signaler les activités anormales des utilisateurs et des appareils. L’UEBA est employée pour détecter les menaces internes et les pirates informatiques qui se sont emparés de comptes utilisateur.
Par le passé, les réseaux d’entreprise étaient centralisés, avec des terminaux, des données et des applications clés situés dans les locaux de celles-ci. Les systèmes de sécurité de cette époque s’attachaient à empêcher les menaces de franchir le périmètre du réseau. Une fois qu’un utilisateur était entré, il était considéré comme digne de confiance et bénéficiait d’un accès pratiquement illimité.
Cependant, à mesure que les organisations progressent vers le numérique et adoptent des environnements de cloud hybride, les réseaux se décentralisent. Désormais, les ressources réseau se trouvent dans le cloud (centre de données), sur les terminaux sur site et à distance, ainsi que sur les appareils mobiles et IdO.
Les contrôles de sécurité au niveau du périmètre sont moins efficaces dans le cas des réseaux distribués, c’est pourquoi de nombreuses équipes de sécurité informatique se tournent vers le Zero Trust. Ce type de sécurité place des contrôles autour de chaque ressource et non pas sur le périmètre. La confiance accordée aux utilisateurs n’est jamais implicite. Chaque fois que quelqu’un tente d’accéder à une ressource, il doit être authentifié et autorisé, même s’il se trouve déjà sur le réseau de l’entreprise. Les utilisateurs authentifiés se voient accorder uniquement l’accès le moins privilégié, et leurs autorisations sont révoquées dès la tâche accomplie.
La sécurité réseau Zero Trust s’appuie sur des politiques d’accès précises, une validation continue et des données recueillies à partir d’un maximum de sources (y compris la plupart des outils décrits ci-dessus) afin de veiller à ce que seuls les bons utilisateurs puissent accéder aux bonnes ressources, pour les bonnes raisons et au bon moment.
Bien qu’une approche de défense en profondeur puisse protéger le réseau d’une entreprise, elle implique également que l’équipe de sécurité informatique gère un certain nombre de contrôles distincts. Les plateformes de sécurité réseau d’entreprise peuvent contribuer à en rationaliser la gestion en intégrant des outils disparates et en permettant aux équipes de surveiller l’ensemble du réseau à partir d’une console unique. Les plateformes de sécurité réseau les plus courantes sont les suivantes :
Les solutions de gestion des informations et des événements de sécurité (ou SIEM pour « security information and event management ») recueillent des informations provenant d’outils de sécurité internes, les regroupent dans un journal central et signalent les anomalies.
Les solutions d’orchestration, d’automatisation et de réponse en matière de sécurité (ou SOAR pour « security orchestration, automation and response ») collectent et analysent les données de sécurité et permettent aux équipes spécialisées de définir et d’exécuter des mesures automatisées en cas de cybermenace.
Les outils de détection et de réponse réseau (ou NDR pour « network detection and response ») utilisent l’IA et le machine learning en vue de surveiller le trafic réseau et de détecter les activités suspectes.
La détection et réponse étendues (ou XDR pour « extended detection and response ») est une architecture de cybersécurité ouverte qui intègre les outils et unifie les opérations sur toutes les couches de sécurité : utilisateurs, terminaux, e-mails, applications, réseaux, charges de travail cloud et données. Des solutions de sécurité qui ne sont pas nécessairement conçues pour fonctionner ensemble peuvent ainsi interopérer de manière transparente pour prévenir et détecter les menaces, mener des enquêtes et y répondre. L’XDR est également en mesure d’automatiser les flux de détection des menaces, de triage des incidents et de traque.
Détectez les menaces cachées qui se cachent dans votre réseau, avant qu’il ne soit trop tard. IBM Security QRadar Network Prevention and Response (NDR) aide vos équipes de sécurité en analysant l’activité du réseau en temps réel. Il associe une visibilité d’une grande ampleur avec des données et des analyses de haute qualité pour permettre d’obtenir des renseignements et des réponses exploitables.
Des solutions nouvelle génération qui protègent l’ensemble de votre réseau en reconnaissant intelligemment les menaces, même inconnues, et en s’adaptant pour les prévenir en temps réel.
Des compétences, une expertise et des solutions de sécurité éprouvées viennent enrichir votre équipe afin qu’elle puisse protéger votre infrastructure et votre réseau contre les menaces de cybersécurité sophistiquées.
Une solution SIEM est une solution de sécurité qui permet aux entreprises d’identifier les menaces et les vulnérabilités potentielles avant qu’elles ne perturbent leurs activités.
IDC a classé IBM Security QRadar SIEM parmi les leaders dans son évaluation des fournisseurs 2022 IDC Marketscape. Obtenez plus de détails dans le rapport complet.
Le rapport IBM Security X-Force Threat Intelligence Index 2023 (Indice du renseignement sur les menaces d’IBM Security X-Force) offre aux responsables informatiques, aux équipes de sécurité et aux directions des informations exploitables qui les aident à mieux comprendre comment fonctionnent les cyberattaques et à prendre les devants pour protéger leur organisation.