Ce qu’il faut savoir pour garantir la sécurité des réseaux LAN et WLAN en entreprise
Les réseaux LAN et WLAN sont devenus une commodité en 2022, à tel point qu'on en finirait presque par oublier qu'il s'agit d'une solution technique qui peut présenter des failles. Un réseau idéal devrait être à la fois robuste, évolutif et parfaitement sécurisé, estime Bernard Opdecam, responsable des produits et services LAN et WLAN chez Win. Dans ce nouvel article, il vous prodigue ses meilleurs conseils pour sécuriser ces réseaux d’entreprise.
Nous avons déjà abordé la question de la qualité d'un réseau WLAN (Wi-Fi) professionnel, ainsi que la nécessité de préparer un réseau LAN à la croissance phénoménale de l'utilisation des données.
Dans ce troisième volet, nous aborderons l'aspect sécurité des réseaux filaires et sans fil. "De nos jours, on s’attend à ce que l'on considère comme une commodité soit toujours fonctionnel. Mais cela implique que le réseau soit construit de manière suffisamment robuste.", estime Bernard Opdecam. "Faute de cela, il arrive que cette nécessité se rappelle à nous de la manière la plus désagréable possible : une panne de réseau. Celle-ci a pour conséquence que l'utilisateur final n'a plus accès à ses ressources informatiques et que son travail en est impacté".
Sécurité LAN/WLAN : la triade CIA
Quand on parle de sécurité des réseaux (LAN et WLAN), une dénomination bien connue dans le monde informatique s'impose, la triade CIA. Ces trois lettres font référence à trois aspects incontournables des réseaux "Confidentiality, Integrity and Availability", à savoir confidentialité, intégrité et disponibilité. La sécurisation implique plusieurs mécanismes, que nous allons résumer.
La triade CIA fournit une check-list à la fois exhaustive, mais assez simple à comprendre, pour l'évaluation des procédures et des outils de sécurité. Un système IT qui présenterait des lacunes dans l'un des trois aspects de la triade est toujours vulnérable. Un réseau efficace satisfait toujours aux trois composantes citées.
La disponibilité (Availability)
Il en va du (W)LAN comme du réseau routier. L'analogie avancée par Bernard Opdecam parle d'elle-même : "Il faut des routes en bon état évidemment, mais également assez de bandes de circulation pour absorber le trafic. Enfin, il faut disposer d’itinéraires alternatifs en cas d'incident ou d'engorgement".
La conception d'un LAN/WLAN judicieux tiendra toujours compte des contraintes suivantes. Notre expert prévient, elles sont nombreuses.
- Une bande passante adaptée de bout en bout pour éviter tout risque d'engorgement du trafic sur le réseau LAN comme sur le WLAN
- La redondance
- du matériel réseau
- des liens entre les composants
- des points d'agrégation
- des processeurs et/ou des châssis
- des alimentations et des sources d'électricité
- Une solution de Power Over Ethernet avec une puissance suffisante pour alimenter l'ensemble des périphériques connectés
- Des configurations et protocoles adaptés pour utiliser et coordonner de manière optimale les redondances physiques
Des éléments indispensables s'imposent également pour les utilisateurs finaux des réseaux filaires et sans fil en termes de redondance :
- la redondance des technologies d'accès (filaire et sans fil)
- la redondance de la couverture WiFi, un aspect largement abordé dans notre volet consacré au WLAN.
L'intégrité (Integrity)
"Je vais revenir à mon analogie avec le réseau routier", explique l'expert de Win, "quel serait l'impact sur le trafic si quelqu'un de malicieux prenait contrôle de la signalisation routière, la faisait tomber en panne ou l’utilisait pour modifier le trafic?" L'intégrité consiste ainsi à déterminer si les données sont authentiques, exactes et fiables.
Une configuration correcte et optimale d'un réseau LAN (ou WLAN) prévoit les aspects suivants :
- un accès contrôlé à la configuration du réseau à tous les niveaux : le niveau physique (accès au matériel et aux locaux techniques) et le niveau logique (accès aux outils de configuration)
- des mécanismes de protection contre les risques de sécurité logiques (au niveau tant des protocoles utilisés, que des configurations elles-mêmes et des autorisations ou refus d'échange entre les éléments connectés au réseau).
La confidentialité
La confidentialité implique une stratégie au sein de l'organisation pour s'assurer que les données restent secrètes, sécurisées et privées. C'est possible si l'accès aux informations est parfaitement contrôlé. Il faut éviter à tout prix le partage non autorisé de données, qu'il soit intentionnel ou accidentel.
"L'objectif est de s'assurer que les ressources du réseau ne sont accessibles qu'aux personnes autorisées et d'éliminer les accès non autorisés ou les intrus connectés au réseau de l'organisation", confirme Bernard Opdecam. Il met en garde : "On y pense en général pour le Wi-Fi, mais cela concerne aussi les réseaux filaires, qui ne doivent certainement pas être le maillon faible de l'ensemble".
Pour garantir la confidentialité des échanges et des données, on parle désormais de Network Access Control (NAC), à savoir d'un contrôle d'accès au réseau.
Plusieurs niveaux sont possibles au sein du NAC, allant de la méthode la plus basique à des solutions nettement plus sophistiquées. Par degré de sophistication, citons les éléments suivants :
- un simple mot de passe statique, comme dans beaucoup de réseaux internet invités (Wi-Fi public)
- des mécanismes d’authentification lors de l'accès liés à des serveurs d'authentification
- des outils de contrôles avancés des éléments à connecter "pour en vérifier la conformité avec des polices de sécurité et l'éventuel recours à des mécanismes de remédiation en cas de non-conformité détectée".
La sécurité implique des compétences
La sécurité n'est pas un domaine de l'IT aisé à maîtriser. La somme des compétences nécessaires est importante, prévient Bernard Opdecam. "La sécurité des réseaux LAN et WLAN est un sujet qui couvre plusieurs compétences, avec des implications au niveau du matériel utilisé, de la configuration et de l'intégration de celui-ci dans les mécanismes IT de l’environnement dans lequel il est mis en place".
Un travail de sécurisation des réseaux ne peut se passer d'un inventaire préalable : "Tous les systèmes commencent par un inventaire de tout ce et de tous ceux qui se connectent aux réseaux". Il est essentiel de disposer de compétences clés et d'avoir à sa disposition des experts pour configurer l'ensemble et répondre à la triade CIA, "surtout pour les systèmes avancés avec reconnaissance de la posture".
L'expert de Win rappelle que son entreprise est intégrateur certifié ISO 27001, disposant donc des compétences nécessaires pour prendre en charge la conception, l'implémentation et le service des projets LAN/WLAN sécurisés.