La sécurité réseau est le domaine de la cybersécurité qui se concentre sur la protection des réseaux et des systèmes informatiques contre les cybermenaces et les cyberattaques internes et externes.
Elle s’articule autour de trois objectifs principaux : empêcher l’accès non autorisé aux ressources du réseau, détecter et neutraliser les cyberattaques et les violations de sécurité en cours, et veiller à ce que les utilisateurs autorisés puissent accéder en toute sécurité aux ressources du réseau dont ils ont besoin, au moment où ils en ont besoin.
Le risque de cyberattaque augmente avec la taille et la complexité des réseaux. Par exemple, selon le rapport 2023 sur le coût d’une violation de données d’IBM, 82 % des violations de données (une violation de la sécurité qui entraîne un accès non autorisé à des informations sensibles ou confidentielles) que les organisations ont subies concernaient des données stockées dans le cloud. Or, ces attaques coûtent extrêmement cher : le coût moyen d’une violation de données à l’échelle mondiale est de 4,45 millions de dollars, un chiffre multiplié par plus de deux aux États-Unis (9,48 millions de dollars).
La sécurité réseau protège l’intégrité de l’infrastructure, des ressources et du trafic des réseaux afin de contrecarrer ces attaques et d’en minimiser les répercussions financières et opérationnelles.
Avec l’IBM Security X-Force Threat Intelligence Index, vous disposez d’informations qui vous permettent de vous préparer et de réagir plus rapidement et plus efficacement aux cyberattaques.
Les systèmes de sécurité réseau interviennent au niveau du périmètre et à l’intérieur du réseau.
Au niveau du périmètre, les contrôles de sécurité ont pour but d’empêcher les cybermenaces de s’introduire dans le réseau. Mais les attaquants parviennent parfois à s’infiltrer, c’est pourquoi les équipes de sécurité réseau mettent également en place des contrôles autour des ressources situées à l’intérieur du réseau, telles que les ordinateurs portables et les données. Même si les attaquants s’introduisent dans le réseau, ils n’auront pas le champ libre. Cette stratégie, qui consiste à placer plusieurs dispositifs de contrôle entre les pirates informatiques et les éventuelles vulnérabilités, s’appelle la « défense en profondeur ».
La mise en place de systèmes de sécurité réseau implique de combiner les outils suivants :
Un pare-feu est un logiciel ou un matériel qui empêche le trafic suspect d’entrer ou de sortir d’un réseau tout en laissant passer le trafic légitime. Les pare-feux peuvent être déployés à la périphérie d’un réseau ou utilisés en interne afin de diviser ceux de plus grande taille en sous-réseaux plus petits. De cette manière, si une partie est compromise, les pirates informatiques ne peuvent pas accéder au reste du réseau.
Il existe différents types de pare-feu, qui présentent des particularités différentes. Ceux de base inspectent le trafic à l’aide du filtrage des paquets. Ceux de nouvelle génération, plus avancés, offrent une protection renforcée grâce à des fonctions de prévention des intrusions, d’IA et de machine learning, de vigilance et de contrôle des applications, et de flux de renseignements sur les menaces.
Les solutions de contrôle d’accès au réseau jouent le rôle de gardiens, authentifiant et autorisant les utilisateurs afin de déterminer qui est autorisé à accéder au réseau et ce qu’il peut y faire. « L’authentification » consiste à vérifier qu’un utilisateur est bien celui qu’il prétend être. Cela signifie également accorder aux utilisateurs authentifiés l’autorisation d’accéder aux ressources du réseau.
Les solutions NAC sont souvent utilisées pour mettre en œuvre des politiques de contrôle d’accès basées sur les rôles (ou RBAC pour « role-based access control »), qui prévoient que les privilèges des utilisateurs reflètent leurs fonctions. Par exemple, les développeurs juniors peuvent être en mesure de consulter et d’éditer du code, mais pas de le mettre en production. En revanche, les développeurs seniors sont autorisés à lire, écrire et mettre le code en production. Le système RBAC contribue à prévenir les violations de données en tenant les utilisateurs non autorisés à l’écart des ressources auxquelles ils n’ont pas le droit d’accéder.
Outre l’authentification des utilisateurs, certaines solutions NAC permettent d’évaluer les risques sur les terminaux des utilisateurs. L’objectif est d’empêcher les appareils non sécurisés ou compromis d’accéder au réseau. Si un utilisateur tente d’accéder au réseau sur un appareil équipé d’un logiciel anti-malware obsolète ou dont la configuration est incorrecte, le système lui refusera l’accès. Certains outils NAC avancés sont même capables de résoudre automatiquement les problèmes de non conformité des terminaux.
Un système de détection et de prévention des intrusions, parfois appelé simplement système de prévention des intrusions, peut être déployé directement derrière un pare-feu en vue d’analyser le trafic entrant à la recherche de menaces pour la sécurité. Ces outils découlent des systèmes de détection des intrusions, qui se contentaient de signaler les activités suspectes pour examen. Les systèmes IDPS sont désormais capables de réagir automatiquement à d’éventuelles violations, par exemple en bloquant le trafic ou en réinitialisant la connexion. Ils sont particulièrement efficaces pour détecter et bloquer les attaques par force brute, par déni de service (DoS) et par déni de service distribué (DDoS).
Un réseau privé virtuel (ou VPN pour « virtual private network ») sert à protéger l’identité d’un utilisateur en chiffrant ses données et en masquant son adresse IP et sa localisation. Lorsqu’une personne utilise un VPN, elle ne se connecte plus directement à Internet, mais à un serveur sécurisé qui se connecte à Internet en son nom.
Les VPN permettent aux télétravailleurs d’accéder en toute sécurité aux réseaux d’entreprise, même via des connexions wifi publiques non sécurisées, comme celles que l’on trouve dans les cafés et les aéroports. Les VPN chiffrent le trafic des utilisateurs et le mettent à l’abri des pirates informatiques qui voudraient intercepter leurs communications.
À la place des VPN, certaines organisations utilisent le modèle d’accès réseau Zero Trust (ou ZTNA pour « zero trust network access »). Plutôt que d’utiliser un serveur proxy, le ZTNA connecte les utilisateurs à distance en toute sécurité grâce à des politiques de contrôle d’accès Zero Trust. Les utilisateurs n’ont alors pas accès à l’ensemble du réseau. Ils ont accès uniquement aux ressources qu’ils sont autorisés à utiliser, et ils doivent faire l’objet d’une vérification à chaque fois qu’ils accèdent à une nouvelle ressource.
La sécurité des applications fait référence aux mesures prises pour protéger les applications et les interfaces de programmation d’application (API) contre les auteurs d’attaques informatiques. Comme de nombreuses entreprises utilisent aujourd’hui des applications pour exécuter des fonctions métier essentielles ou traiter des données sensibles, les applications sont régulièrement la cible des cybercriminels. Et comme de nombreuses applications professionnelles sont hébergées dans des clouds publics, les pirates peuvent exploiter leurs vulnérabilités pour s’introduire dans les réseaux privés des entreprises.
Les mesures de sécurité des applications protègent ces dernières contre les acteurs malveillants. Parmi les outils les plus courants, on trouve les pare-feu d’applications web, l’autoprotection des applications d’exécution, ainsi que les tests statiques et dynamiques de sécurité des applications.
L’IBM Security X-Force Threat Intelligence Index (Indice du renseignement sur les menaces d’IBM Security X-Force) indique que l’hameçonnage est le vecteur initial de cyberattaque le plus courant. Les outils de sécurité des e-mails peuvent contribuer à déjouer les attaques par hameçonnage et autres tentatives de compromission de la messagerie des utilisateurs. La plupart des services de messagerie électronique intègrent des outils de sécurité, tels que des filtres antispam et le chiffrement des messages. Certains outils sont équipés de bacs à sable (ou « sandboxes »), c’est-à-dire des environnements isolés dans lesquels les équipes de sécurité peuvent inspecter les pièces jointes aux e-mails à la recherche de logiciels malveillants sans exposer le réseau.
Bien que les outils suivants ne soient pas des outils de sécurité réseau à proprement parler, les administrateurs les utilisent souvent pour protéger les zones et les actifs des réseaux.
La prévention des pertes de données (DLP)
La prévention des pertes de données fait référence aux stratégies et aux outils de sécurité informatique qui empêchent le vol ou la fuite accidentelle de données sensibles. Cette approche regroupe des politiques de sécurité et des technologies spécialisées qui suivent les flux de données, chiffrent les informations sensibles et déclenchent des alertes en cas de détection d’activités suspectes.
Sécurité au Point de terminaison
Les solutions de sécurité des terminaux protègent tous les appareils qui se connectent à un réseau (ordinateurs portables, ordinateurs de bureau, serveurs, appareils mobiles ou appareils IdO), contre les pirates qui tentent de les utiliser pour se faufiler dans le réseau. Les logiciels antivirus peuvent détecter et détruire les chevaux de Troie, les logiciels espions et autres logiciels malveillants sur un appareil avant qu’ils ne se propagent au reste du réseau.
Les solutions de détection et de réponse des terminaux sont des outils plus avancés qui surveillent le comportement des terminaux et réagissent automatiquement aux événements de sécurité. Les logiciels de gestion unifiée des terminaux permettent aux entreprises de surveiller, de gérer et de sécuriser tous les appareils des utilisateurs finaux à partir d’une console unique.
Sécurité du Web
Les solutions de sécurité du Web, telles que les passerelles web sécurisées, bloquent le trafic Internet malveillant et empêchent les utilisateurs de se connecter à des sites web et des applications à caractère suspect.
Segmentation du réseau
La segmentation réseau est un moyen de diviser les grands réseaux en sous-réseaux plus petits, soit physiquement, soit par le biais d’un logiciel. Cette technique permet de limiter la propagation des ransomwares et autres logiciels malveillants en isolant un sous-réseau compromis du reste du réseau. Elle offre également l’avantage de tenir les utilisateurs légitimes à l’écart des actifs auxquels ils ne devraient pas avoir accès.
Sécurité cloud
Les solutions de sécurité cloud protègent les centres de données, les applications et les autres actifs cloud contre les cyberattaques. Dans la plupart des cas, il s’agit simplement de mesures de sécurité réseau standard (pare-feu, NAC et VPN) appliquées à des environnements cloud. De nombreux fournisseurs de services cloud intègrent des contrôles de sécurité dans leurs services ou les proposent sous forme de modules complémentaires.
Analyse du comportement des utilisateurs et des entités (UEBA)
L’analyse du comportement des utilisateurs et des entités fait appel aux analyses comportementales et au machine learning en vue de signaler les activités anormales des utilisateurs et des appareils. L’UEBA est employée pour détecter les menaces internes et les pirates informatiques qui se sont emparés de comptes utilisateur.
Par le passé, les réseaux d’entreprise étaient centralisés, avec des terminaux, des données et des applications clés situés dans les locaux de celles-ci. Les systèmes de sécurité de cette époque s’attachaient à empêcher les menaces de franchir le périmètre du réseau. Une fois qu’un utilisateur était entré, il était considéré comme digne de confiance et bénéficiait d’un accès pratiquement illimité.
Cependant, à mesure que les organisations progressent vers le numérique et adoptent des environnements de cloud hybride, les réseaux se décentralisent. Désormais, les ressources réseau se trouvent dans le cloud (centre de données), sur les terminaux sur site et à distance, ainsi que sur les appareils mobiles et IdO.
Les contrôles de sécurité au niveau du périmètre sont moins efficaces dans le cas des réseaux distribués, c’est pourquoi de nombreuses équipes de sécurité informatique se tournent vers le Zero Trust. Ce type de sécurité place des contrôles autour de chaque ressource et non pas sur le périmètre. La confiance accordée aux utilisateurs n’est jamais implicite. Chaque fois que quelqu’un tente d’accéder à une ressource, il doit être authentifié et autorisé, même s’il se trouve déjà sur le réseau de l’entreprise. Les utilisateurs authentifiés se voient accorder uniquement l’accès le moins privilégié, et leurs autorisations sont révoquées dès la tâche accomplie.
La sécurité réseau Zero Trust s’appuie sur des politiques d’accès précises, une validation continue et des données recueillies à partir d’un maximum de sources (y compris la plupart des outils décrits ci-dessus) afin de veiller à ce que seuls les bons utilisateurs puissent accéder aux bonnes ressources, pour les bonnes raisons et au bon moment.
Bien qu’une approche de défense en profondeur puisse protéger le réseau d’une entreprise, elle implique également que l’équipe de sécurité informatique gère un certain nombre de contrôles distincts. Les plateformes de sécurité réseau d’entreprise peuvent contribuer à en rationaliser la gestion en intégrant des outils disparates et en permettant aux équipes de surveiller l’ensemble du réseau à partir d’une console unique. Les plateformes de sécurité réseau les plus courantes sont les suivantes :
- Gestion des informations et des événements liés à la sécurité (SIEM)
- Orchestration, automatisation et réponse aux incidents de sécurité (SOAR)
- Détection et réponse du réseau (NDR)
- Détection et réponse étendues (XDR)
Les solutions de gestion des informations et des événements de sécurité recueillent des informations provenant d’outils de sécurité internes, les regroupent dans un journal central et signalent les anomalies.
Les solutions d’orchestration, d’automatisation et de réponse en matière de sécurité collectent et analysent les données de sécurité et permettent aux équipes spécialisées de définir et d’exécuter des mesures automatisées en cas de cybermenace.
Les outils de détection et de réponse réseau utilisent l’IA et le machine learning en vue de surveiller le trafic réseau et de détecter les activités suspectes.
La détection et réponse étendues est une architecture de cybersécurité ouverte qui intègre les outils et unifie les opérations sur toutes les couches de sécurité : utilisateurs, terminaux, e-mails, applications, réseaux, workloads cloud et données. Des solutions de sécurité qui ne sont pas nécessairement conçues pour fonctionner ensemble peuvent ainsi interopérer de manière transparente pour prévenir et détecter les menaces, mener des enquêtes et y répondre. La technologie XDR permet également d’automatiser les workflows de détection des menaces, de triage des incidents et de traque.
Des solutions nouvelle génération qui protègent l’ensemble de votre réseau en reconnaissant intelligemment les menaces, même inconnues, et en s’adaptant pour les prévenir en temps réel.
Des compétences, une expertise et des solutions de sécurité éprouvées viennent enrichir votre équipe afin qu’elle puisse protéger votre infrastructure et votre réseau contre les menaces de cybersécurité sophistiquées.
Une solution SIEM est une solution de sécurité qui permet aux entreprises d’identifier les menaces et les vulnérabilités potentielles avant qu’elles ne perturbent leurs activités.
Le rapport IBM Security X-Force Threat Intelligence Index 2023 (Indice du renseignement sur les menaces d’IBM Security X-Force) offre aux responsables de la sécurité des systèmes d’information, aux équipes de sécurité et aux dirigeants des informations exploitables qui les aident à mieux comprendre comment fonctionnent les cyberattaques et à prendre les devants pour protéger leur organisation.