Pour communiquer, les entreprises de toutes tailles s’appuient généralement sur le courrier électronique en interne et en externe. Il est fort probable que votre entreprise envoie des centaines d’e-mails par semaine, voire plus. Mais la question est comment archiver ces messages. Sachez toutefois que cette opération est cruciale si vous voulez que votre entreprise soit pérenne et prospère. Nous allons vous expliquer dans ce dossier spécial qu’il est important d’archiver vos courriers électroniques.
Il convient d’abord noter que les termes « sauvegarde » et « archive » sont souvent confondus. Une sauvegarde est destinée à la restauration d’un système dans son état avant une corruption ou une perte de données. Les sauvegardes seront remplacées par des informations plus récentes au fur et à mesure qu’aucun incident ne se produit. Les archives, par contre, peuvent conserver les données pendant de longues périodes et être consultées en cas de besoin.
Une archive est en effet différente de la simple sauvegarde des courriers électroniques dans la boîte de réception de votre entreprise ou des utilisateurs finaux. Il s’agit de stocker vos e-mails, soit sur place (dans un environnement sécurisé), soit dans le cloud. Les e-mails ne peuvent pas être supprimés, volées, altérés ou supprimés, mais ils peuvent être facilement consultées et contrôlées.
L’archivage du courrier électronique présente de nombreux avantages pour votre entreprise. D’une part, il vous aide à rester en conformité avec les réglementations en vigueur car vous pourrez conserver une trace de vos communications. C’est un élément essentiel dans le cadre d’une affaire juridique, notamment lorsqu’on vous demande certains e-mails qui sont liés à l’affaire en question. Mais le plus important, c’est que l’archivage des e-mails peut aussi vous aider à récupérer vos données en cas de vol, de perte ou pour vous prémunir de diverses menaces en ligne.
Eviter la perte de données
Voici quelques raisons qui peuvent entraîner la perte de vos données sensibles :
Les actes malveillants représentent bien entendu un risque pour l’entreprise, mais d’autres facteurs internes à l’entreprise doivent être pris en compte, notamment :
Les facteurs humains: le vol d’un système de sauvegarde tel qu’un disque dur externe ou une clé USB sont monnaie courante et il ne faut pas les négliger. Sur ce point, on compte également les mauvaises manipulations des machines par les employés. Cela peut entraîner des pannes matérielles et rendre vos données inaccessibles, perturbant ainsi le fonctionnement de votre entreprise.
Les facteurs physiques comme les sinistres (incendies, dégâts des eaux, etc.) doivent aussi être pris en considération, car ils risquent de stopper l’activité de votre entreprise à cause de la perte des données importantes pour son bon fonctionnement.
Les facteurs logiciels comme le dysfonctionnement d’un système d’exploitation ou d’une application représentent aussi des risques importants pour la sauvegarde de vos données si vous les conservez sur site.
La plupart des entreprises victimes des pertes de données ont perdu des données importantes parce qu’elles ont agi trop tard. Environ 29 % de ces pertes de données se font de manière accidentelle. Pourtant, selon le résultat d’une étude menée par le groupe C’PRO, seule une entreprise sur deux disposent d’une sauvegarde de ses données. 77 % d’entre elles ne vérifient pas la validité de leurs données et 60 % ne disposent pas de copies de sauvegarde en dehors de leur site de production.
Quels sont les risques pour votre entreprise en cas de perte de données informatiques ?
De nos jours, certains pirates préfèrent encore agir en masse, tandis que d’autre optent pour des attaques plus ciblées pour voler les données des entreprises. La plupart de ces attaques ne nécessitent que peu de compétences techniques, alors que leurs effets peuvent être dévastateurs, à court ou long terme.
Sans le savoir, ces PME courent donc un risque majeur. Pourtant, la perte des données peut entrainer des conséquences irrémédiables, et 80 % des entreprises ayant été victime d’une perte majeure de leurs données informatiques ont dû fermer leurs portes dans 12 mois suivants. Ceci peut résulter en une diminution de la production à cause d’un arrêt partiel ou définitif de leurs activités ; impliquer la perte d’emplois et de temps, la perte de clients ou encore le coût financier lié à la récupération des données.
En cas de sinistres, les compagnies d’assurance peuvent remplacer vos équipements et matériels qui ont été endommagés, mais elles ne sont pas en mesure de remplacer les informations perdues lors d’un dégât des eaux ou d’un incendie. Et sachez que les conséquences de ces sinistres peuvent engendrer un coût 3 à 10 fois supérieur au montant de l’indemnisation offerte par votre assurance.
Voici pourquoi vous avez besoin d’une solution d’archivage
Le transfert des courriers électroniques vers les archives permet de limiter la capacité de votre boîte aux lettres à stocker des données. Une bonne solution d’archivage peut également vous aider à localiser les éventuelles fuites de données et éviter d’autres problèmes de sécurité informatique. Mais ce sont que des avantages secondaires.
L’archivage est essentiel pour garantir la conformité réglementaire et pour permettre la collecte et la production de preuves selon la procédure eDiscovery, une exigence légale dans de nombreux pays.
L’eDiscovery ne s’applique pas seulement au courrier électronique. Il concerne également les dossiers et fichiers stockés dans des ordinateurs de bureau, des serveurs et des appareils mobiles. Le principe consiste à identifier et produire facilement toutes les informations sous format électronique dans les fichiers stockés pour servir de preuves en cas de litige.
En l’absence d’archives, le coût de la mise en œuvre du processus eDiscovery peut nécessiter une somme astronomique.
Imaginez que vous devez analyser chaque ordinateur dans votre entreprise pour trouver des courriels copiés dans l’un de vos disques dur.
Autre exemple : dans l’affaire criminelle de la haute direction de Nortel Networks, le poursuivant avait livré un document contenant 23 millions de pages sous format numérique.
Le juge Cary Boswell de la Cour supérieure de l’Ontario, avait qualifié cette affaire de « bourbier insondable » et a ordonné au poursuivant d’organiser l’information avant de la présenter de nouveau à la défense. Tout ceci met donc en évidence l’importance de l’archivage.
Est-ce que Microsoft Exchange 2010 et 2013 ne proposent-ils pas déjà une solution d’archivage ?
Microsoft utilise le terme « archivage » pour décrire les fonctions de journalisation et d’archivage de système de fichiers de Microsoft Exchange depuis sa version 2007.
La journalisation d’un système de fichiers vous permet de créer des copies de courriels dans Exchange Standard. De plus, si vous utilisez Exchange Premium, vous pouvez rediriger ces copies vers des boîtes aux lettres ou des listes de distribution spécifiques.
Toutefois, la journalisation n’offre pas de fonction d’archivage, car :
Elle ne possède pas les capacités d’indexation et de recherche requises.
Les utilisateurs peuvent toujours créer leurs propres extensions de fichiers qui ne sont pas destinées à être vues par tous ou des copies de courriels qu’ils gardent sur leurs propres ordinateurs. Ces copies peuvent ou non satisfaire aux obligations réglementaires et légales courantes en matière d’eDiscovery.
Elle n’est pas dotée de paramètres de conservation des données.
Sur ce point, il convient de mentionner que Microsoft Exchange 2010 a plus de capacités que Microsoft Exchange 2007.
Avec Microsoft Exchange 2010, les utilisateurs peuvent créer une archive dans leurs boîtes aux lettres. Microsoft TechNet les décrit comme des boîtes aux lettres secondaires dans lesquelles les utilisateurs peuvent stocker les messages qu’ils doivent conserver plus longtemps. Mais cela permet seulement d’éviter les contraintes des quotas de boîtes aux lettres, et non de fournir une fonction d’archivage.
En réalité, il n’est pas nécessaire que les archives personnelles résident dans la même base de données de l’entreprise, car elles peuvent aussi être conservées dans le Cloud. Les utilisateurs ont donc deux options : soit ils déplacent manuellement leurs courriers électroniques, ou bien les laisser se déplacer automatiquement en fonction des étiquettes utilisées pour la conservation des données.
Ce qui pose problème avec les archives personnelles, c’est le coût. L’utilisation de Personal Archive nécessite des Licences d’accès client (ou CAL pour « Client Access License ») ainsi que l’installation d’Office 2010 Professional Plus pour Outlook. De plus, Personal Archive peut ne pas répondre à vos besoins d’archivage.
La raison est que les utilisateurs ont encore le contrôle de leurs propres archives personnelles et sont capables de supprimer des éléments ou de modifier les étiquettes de conservation, ce qui fait de Personal Archive un moyen d’archivage non fiable en termes de conformité et d’eDiscovery.
Microsoft affirme que, grâce aux procédures Discovery Management, les utilisateurs peuvent tirer profit des techniques d’indexation et de recherche pour retrouver les informations nécessaires dans plusieurs boîtes aux lettres. Cependant, le panneau de configuration Exchange de Microsoft Exchange 2010 est encore encombrant et difficile à utiliser dans le cadre de l’eDiscovery.
Quelles améliorations pour Microsoft Exchange 2013 et Microsoft Exchange Online ?
Avec les nouvelles versions de Microsoft Exchange, les utilisateurs ont de plus en plus de contrôle sur leurs boîtes aux lettres. Ils peuvent définir leurs propres politiques et utiliser des moyens créatifs pour essayer de contourner les politiques imposées par les entreprises, telles que l’archivage des éléments dans des dossiers supprimés.
L’administrateur de Microsoft Exchange peut utiliser les « Policy Tips » pour envoyer des notifications qui apparaissent dans les emails d’un utilisateur lorsqu’il travaille avec un contenu en conflit avec la stratégie de prévention contre la perte de données de l’entreprise.
Cependant, l’administrateur ne peut pas remplacer les paramètres utilisateur, à moins que les paramètres « Litigation Hold » ou « In-Place Hold » du processus eDiscovery soient appliqués à une boîte courriel spécifique.
Bien entendu, Microsoft Exchange a ajouté d’autres fonctionnalités pour eDiscovery. Celles-ci nécessitent un portail basé sur SharePoint 2013 et vous permettent d’effectuer des recherches dans toutes les boîtes aux lettres.
Une fois encore, cette approche présente deux inconvénients :
Les entreprises doivent donc acheter ou mettre à niveau leur logiciel SharePoint 2013.
Elle nécessite un système d’archivage monolithique de vos courriers, associé à un système de stockage en ligne. La raison est que les données doivent tout d’abord résider sur un serveur Exchange en ligne pour qu’elles puissent être utilisées par les outils de recherches d’Exchange en place.
Une véritable solution d’archivage doit réduire le temps de stockage et de restauration
Ne vous y trompez pas. La solution d’«archivage» de Microsoft Exchange n’est pas un outil complet qui garantit la conformité en cas de litige.
L’approche de Microsoft en matière d’eDiscovery présuppose que tous les courriels qui sont passés par votre organisation résident sur un serveur Exchange. Gardez toutefois à l’esprit qu’environ 90 % des informations stockées dans Exchange ne sont plus consultées.
Et comme les besoins de stockage de données ne cessent de croître, un système d’archivage fiable pourra donc supprimer une grande partie de ces informations et réduire le volume des données à stocker ainsi que leur temps de sauvegarde et de restauration.
Les principaux caractéristiques que doivent avoir tout logiciel d’archivage
Toute solution d’archivage doit présenter les caractéristiques incontournables suivantes :
La programmation de sauvegardes automatiques. La solution choisie doit automatiquement se lancer à heures fixes ou en temps réel afin de créer des copies de vos données.
La compression des données : l’espace de stockage ne doit pas être limité. C’est un élément essentiel pour le choix d’une solution à l’autre, indépendamment du prix de l’abonnement. Les fonctionnalités de compression des données sont nécessaires pour réduire la taille des fichiers et pour optimiser l’espace de stockage, ce qui permet de réduire les coûts.
La récupération des données après sinistre : il existe deux paramètres à prendre en compte, à savoir la RPO (perte de données maximale admissible) et la RTO (durée maximale d’interruption admissible) prises en charge par la solution d’archivage. Ces paramètres doivent être adaptés au fonctionnement de votre entreprise et de votre secteur d’activité. De cette manière, les processus de copie chronophages et fastidieux ne sont plus nécessaires. Ce sont les nouvelles technologies qui permettent de récupérer vos données en un clic de souris.
Les contrôles de sécurité : la solution que vous choisissez doit assurer le contrôle de sécurité, tout en assurant la protection des données archivées. Le chiffrement des données, la protection antivirus et multicouche et la possibilité de restrictions d’accès sont des fonctionnalités importantes, entre autres.
Vérification des sauvegardes : en cas de compromission des données sauvegardées, la solution que vous choisissez doit vous permettre leur vérification en vue de contrôler leur intégrité et de garantir qu’elles ne représentent aucune menace.
Intégration avec des applications tierces : lors du choix d’une solution d’archivage, assurez-vous qu’elle peut s’intégrer avec les logiciels dont vous disposez et des logiciels tiers.
Quelle que soit la solution d’archivage choisie, celle-ci doit toujours permettre un audit. L’audit est destiné à vous alerter dès qu’une personne accède – ou tente d’accéder – aux archives.
Arctitan, une excellente solution d’archivage de vos e-mails
ArcTitan est une véritable solution d’archivage qui peut répondre à vos besoins en matière d’eDiscovery et de stockage de données.
Voici quelques-unes des caractéristiques de ce produit :
Archivage illimité de courriels dans le cloud, y compris les courriels entrants, sortants et internes, les dossiers, les calendriers et les contacts.
Respect de la politique de conservation des données et d’exigence légale eDiscovery.
Conformité aux normes HIPAA, SOX, RGPD, etc.
SuperFast Search™. Cette solution permet la compression des e-mails, la déduplication des messages et des pièces jointes, permettant ainsi une recherche et une récupération plus rapides des informations.
Accès à la console web avec des options d’accès multiniveaux et granulaires ; vous pouvez spécifier les permissions d’accès des utilisateurs à vos données.
Aucun matériel ni logiciel requis.
Fonctionne avec tous les serveurs de messagerie, y compris MS Exchange, Zimbra, Notes, SMTP/IMAP/Google/PO.
Transfert sécurisé à partir de votre serveur de messagerie.
Stockage chiffré dans le cloud AWS.
Recherche instantanée via votre navigateur. Ce qui vous permet de trouver des courriels archivés en quelques secondes. En fait, ArcTitan est doté d’un outil de recherche et de récupération ultra-rapide permettant de charger plus de 200 e-mails par seconde à partir de votre serveur de messagerie électronique, ce qui signifie que vos e-mails sont archivés et récupérables instantanément.
Piste de vérification complète.
Intégration à Active Directory en option, pour une authentification transparente sur Microsoft Windows.
Plugin de messagerie Outlook est fourni en option.
La règle 3-2-1 : une stratégie efficace pour sauvegarder et protéger vos données
Si vous n’utilisez qu’un seul ordinateur, la stratégie de sauvegarde sera simple. Vous pouvez copier tous les fichiers importants sur un autre appareil ou, idéalement, dans plusieurs supports de stockage. Il vous suffit alors de conserver les copies dans un endroit sûr.
Cependant, pour de multiples systèmes informatiques, les choses peuvent être beaucoup plus compliquées, surtout lorsque vous utilisez des systèmes de stockage composés de milliers de machines virtuelles. Dans ces cas, il est recommandé d’établir un plan complet de protection des données, lequel devrait inclure la règle de sauvegarde 3-2-1. Cet acronyme est facile à retenir une fois que vous comprenez son fonctionnement.
Conservez au moins trois copies (3) de vos données
Même un événement insignifiant pourrait affecter la sécurité de vos données. Parmi tant d’autres incidents, on peut par exemple citer le vol, l’incendie, le comportement d’un employé mécontent qui veut se venger de votre société, ou les actes de vandalisme.
La meilleure chose à faire est d’avoir plusieurs sauvegardes, surtout lorsque celles-ci sont stockées dans les mêmes locaux que vos données primaires. Plus vous avez de copies de sauvegarde, moins vous avez de chances de perdre toutes vos informations sensibles en même temps.
La règle de sauvegarde 3-2-1 implique donc le fait de créer au moins trois copies de vos données, à savoir les données primaires et deux sauvegardes.
Stockez deux (2) copies sur des supports ou périphériques de stockage différents
Quelles qu’en soient les raisons, tout périphérique de stockage tombera tôt ou tard en panne. Les disques durs sont des équipements qui s’usent et qui peuvent montrer certains dysfonctionnements avec le temps.
Si vous conservez vos données dans plusieurs périphériques du même type, vous risquez encore d’avoir des problèmes, car ils tombent souvent en panne au même moment. La seconde règle consiste donc à utiliser deux périphériques ou deux supports de stockage différents.
Si vous conservez vos données primaires sur un disque dur interne, vous aurez donc intérêt à stocker vos copies de sauvegarde sur un disque dur externe, sur un disque optique ou dans le Cloud. Une bonne alternative est d’utiliser un Network Attached Storage (NAS), c’est-à-dire un boîtier de disque dur intelligent qui peut être connecté directement à votre réseau. Ce genre de stockage agit indépendamment du reste de l’infrastructure auquel il est connecté et reste accessible à tout moment. En cas de panne de l’infrastructure, il sert donc à récupérer facilement les données.
Conserver au moins une (1) copie de sauvegarde hors site
Malgré vos efforts en matière de sécurisation des données, un désastre local peut survenir et endommager toutes les copies de données que vous avez stockées dans vos locaux. Pour éviter les mauvaises surprises, il est recommandé de conserver au moins une copie de vos données dans un emplacement distant, par exemple dans le Cloud.
Vous pourrez, par exemple, les stocker dans d’autres supports et périphériques installés dans une autre ville, dans un autre pays, voire dans un autre continent. Cette stratégie vous permet de récupérer rapidement vos informations sensibles en cas de panne ou de sinistre.
La règle de sauvegarde 3-2-1 est-elle parfaite ?
En réalité, il n’y a pratiquement aucun système de sauvegarde parfait. La règle 3-2-1 reste néanmoins l’une des meilleures pratiques recommandées par les professionnels de la sécurité de l’information. Cette pratique est aussi encouragée par les autorités gouvernementales.
Le défi n’est pas de trouver une solution universelle, mais d’établir un plan de protection des données bien équilibré qui répond au mieux à vos besoins individuels.
Conclusion
La sauvegarde des données garantit que les informations critiques survivraient aux éventuels dangers. La raison est que trop d’individus et d’entreprises ont subi les conséquences néfastes de la perte ou du vol de leur matériel, de leur destruction par des incendies ou des catastrophes naturelles, des attaques de malwares, etc.
Le mieux serait d’avoir du bon sens et de garder à l’esprit que les disques durs finiront toujours par tomber en panne, ou bien que vos données soient affectées ou volées. La question est de savoir si vous êtes prêt ou non pour faire face au pire des scénarios.
Utiliser Microsoft Exchange pourrait être une solution, mais il a ses limites, ce qui mettrait en danger des millions d’entreprises. En complément, vous pouvez ajouter les moteurs antispam et antimalwares comme ArcTitan et appliquer des règles strictes en matière de sauvegarde des données.
Enfin, la question n’est pas de faire un choix entre la sauvegarde et l’archivage des données, mais surtout de déterminer comment associer ces deux approches en adoptant une politique cohérente d’archivage ou de sauvegarde afin que votre entreprise puisse se préparer aux éventuelles exigences réglementaires et reprises sur sinistre. Cela devrait vous permettre de reprendre vos activités critiques selon un scénario préalablement déterminé et dans un délai imparti. Bien entendu, cela ne nécessite pas nécessairement de ressources importantes étant donné qu’il existe actuellement des solutions fiables qui vous permettent d’y parvenir, comme ArcTitan.
Depuis des années, les hôtels et cafés proposent déjà une connexion Wi-Fi gratuite à leurs clients.
Aujourd’hui, cette option est en train de devenir une offre de base pour les petits établissements qui souhaitent réaliser des avantages supplémentaires. Selon une étude réalisée en 2013, 80 % des clients estiment qu’ils sont plus enclins à acheter dans un magasin où une connexion Wi-Fi est disponible.
Chaque année, la distinction entre magasin physique et e-commerce devient de plus en plus confuse. Par exemple, Amazon vient d’annoncer cette semaine qu’il a ouvert un nouvel emplacement physique à Seattle, Washington. Pourtant, ce nouveau point de vente physique, dénommé Amazon Go, n’a pas de caisses.
Les consommateurs doivent juste télécharger l’application Amazon Go pour scanner leur Smartphone à l’entrée du magasin. L’application, qui est associée à une carte de crédit, fait office de panier virtuel.
Des capteurs peuvent donc détecter et comptabiliser virtuellement les produits qu’ils ont pris ou reposés. Après cela, ils peuvent sortir directement du magasin, tandis que le paiement se fait automatiquement sur leur compte Amazon.
À noter que la marque prévoit d’ouvrir jusqu’à 2 000 magasins similaires dans tout le pays.
Ainsi, le géant mondial de la vente au détail en ligne est désormais en concurrence avec votre magasin physique. Vous pensez toujours que vous n’avez pas besoin de connexion Wi-Fi invité dans votre magasin pour sortir du lot ?
Toutefois, sachez que la mise en place d’un réseau Wi-Fi dédié aux invités entraîne de nombreux problèmes de sécurité. Non seulement il faut protéger le réseau interne de votre commerce contre les intrus qui peuvent le sonder, mais vous devez aussi protéger vos clients contre les logiciels malveillants classiques, l’infection d’un ordinateur par « drive-by download » et les attaques « homme du milieu » ou HDM.
Pour vous assurer que votre Wi-Fi constitue un avantage supplémentaire pour votre magasin, il faut donc redoubler de vigilance en matière de sécurité réseau.
Vous trouverez ci-dessous une liste de contrôle simple pour garantir une expérience Wi-Fi sécurisée et réussie à vos précieux clients
Que signifie le terme « Drive-by Download » ?
Le « Drive-by Download » est un malware qui s’installe automatiquement sur votre appareil lorsque vous consultez un e-mail ou un site malveillant.
Il n’existe pas encore une traduction française courante de ce terme et cela complexifie sa compréhension. En réalité, le « Drive-by Download » est basé sur l’expression « Drive-by » qui peut être traduite par le fait de passer devant quelque chose en voiture. Mais on peut aussi faire référence au « Drive-by shooting », qui se traduit par « tirer des coups de feu depuis une voiture ».
Un « Drive-by Download » peut être considéré comme le téléchargement soudain, dynamique et en mouvement d’un malware. Pour ce faire, les pirates tirent parti de la présence de logiciels ou de plug-in qui ne sont pas à jour et qui présentent des vulnérabilités.
Pour infecter un maximum d’internautes, les cybercriminels utilisent des kits d’exploitation qu’ils chargent sur des pages web. En d’autres termes, ils piratent des pages web dans le but d’insérer un code de redirection, et pour cela, ils ont recours à plusieurs méthodes comme le malvertising (publicités malveillantes) et les redirections malveillantes lorsqu’un internaute fait des recherches Google.
Pour ce dernier cas, les pirates utilisent des sites bidon avec des mots clés pertinents afin qu’ils puissent être retrouvés facilement sur Google. Lorsque l’internaute clique sur le lien, il charge le kit d’exploitation sur son appareil.
Bien entendu, les pirates peuvent combiner ces deux méthodes, en piratant des sites web tout en proposant des publicités malveillantes.
Mettre en place le Wi-Fi invité est une opération facile
Configurer un réseau WiFi invité est plus facile qu’il n’y paraît. Vous n’avez pas besoin de poser un câble supplémentaire ou de payer votre fournisseur d’accès Internet. Votre routeur Wi-Fi vous permet de mettre en place un réseau supplémentaire pour vos employés, clients, etc.
il vous suffit d’aller dans les paramètres et d’activer l’option Wi-Fi invité. D’abord, vous devez saisir l’adresse IP de votre routeur dans la barre d’adresse URL de votre navigateur. Cette adresse se présente généralement sous la forme de 192.168.0.1 ou 192.168.1.1, mais pas toujours. Elle est souvent indiquée dans le manuel d’utilisation de votre routeur.
Ensuite, lorsqu’une boîte de dialogue s’ouvre, vous devez entrer votre nom d’utilisateur et votre mot de passe en tant qu’administrateur. Si vous n’avez jamais modifié ces deux informations, vous les trouverez dans le contrat de votre fournisseur d’accès Internet, ou bien dans le manuel. Pour plus de sécurité, il est toutefois recommandé de les modifier et d’utiliser un gestionnaire de mots de passe pour ne pas les oublier.
Dans les paramètres du routeur, vous activez l’option « Autoriser l’accès invité » ou « Réseau invité » qui se trouve dans la section Wi-Fi. Si vous utilisez un ancien routeur, il se peut que l’option permettant de mettre en place un réseau invité n’existe pas.
Après avoir coché la case correspondante, vous ajoutez le nom du réseau invité. Ce nom s’appelle SSID dans le panneau de contrôle de certains routeurs. C’est le nom que les utilisateurs finaux verront dans la liste des connexions disponibles.
Sur certains routeurs, l’accès Wi-Fi invité sera automatiquement activé ; mais pour d’autres, vous devrez procéder à des réglages supplémentaires. Dans tous les cas, vous devez toujours vous assurer qu’il est correctement configuré. Il convient de définir un mot de passe pour le nouveau réseau. Ainsi, seules les personnes qui connaissent le mot de passe pourront accéder à votre Wi-Fi.
Vous devez également définir le type de chiffrement pour que les informations transmises via le Wi-Fi ne puissent être interceptées par les pirates informatiques. Parmi les options disponibles, vous pouvez sélectionner WPA2 (WPA2-Personal ou WPA2-PSK). Il s’agit d’un algorithme fiable qui est pris en charge par tous les appareils sans fil modernes.
Assurez-vous de désactiver la case « Autoriser les invités à accéder aux ressources du réseau local ». Certains routeurs n’ont pas ce paramètre, mais s’il existe, décochez-le pour que les utilisateurs ne puissent voir vos fichiers et d’autres informations stockées sur vos serveurs. Certains routeurs peuvent aussi disposer d’une case à cocher « Isoler » qui permet d’isoler le réseau invité de votre réseau local. Si cette option existe, sélectionnez-la. Maintenant, vous pouvez fournir un réseau Wi-Fi invité et sécurisé aux utilisateurs finaux.
La sécurisation du WiFi invité est importante pour les entreprises
Que vous exploitiez un établissement financier, un commerce ou une société de marketing, l’accès Internet Wi-Fi est quelque chose qui est attendu par les clients. Vous devez cependant vous assurer que votre réseau Wi-Fi invité est bien sécurisé pour vous protéger ainsi que vos visiteurs.
Rappelez-vous que, plus la qualité de la connexion sans fil est bonne, meilleure sera la satisfaction des utilisateurs. Pour le personnel, cela se traduit par une productivité accrue et pour les invités, cela signifie une plus grande facilité d’utilisation et d’accès à Internet, ce qui est essentiel dans le monde actuel.
Cependant, l’accès à votre réseau sans fil comporte certains risques. Avec les bonnes compétences, un pirate informatique peut voir tous les périphériques qui y sont connectés, ce qui signifie qu’il peut pirater votre appareil et installer des malwares, des virus, ou même voler des informations personnelles concernant les utilisateurs.
Les personnes qui peuvent se connecter à votre réseau sans fil peuvent être en mesure de faire ce qui suit :
Visualiser tous les fichiers sur votre ordinateur ou portable et répandre un virus.
Surveiller tous les sites web que vous visitez, copier vos noms d’utilisateur et vos mots de passe et lire tous vos courriels lorsque vous les consultez sur le réseau.
Ralentir votre ordinateur ou tout autre périphérique connecté ainsi que la vitesse de la connexion Internet.
Envoyer des spams et/ou effectuer des activités illégales en utilisant votre connexion Internet.
Types d’attaques sur les réseaux Wifi
Les attaques ciblant les réseaux sans fil peuvent être menées via différentes méthodes et vous devez vous en soucier. Certaines méthodes consistent à piéger ou duper les utilisateurs, tandis que d’autres utilisent la force brute. D’autres ciblent les entreprises qui ne prennent pas la peine de sécuriser leur réseau.
Plusieurs de ces attaques sont entrelacées les unes avec les autres dans le monde réel. En voici quelques-unes que vous pourriez rencontrer :
Reniflement de paquets (Packet sniffing)
Lorsque l’information est envoyée dans les deux sens sur un réseau dans ce que nous appelons des paquets. Comme le trafic sans fil est envoyé par voie hertzienne, il est très facile à capturer. Beaucoup de trafic (FTP, HTTP, SNMP, etc.) est envoyé en clair, ce qui signifie qu’il n’y a pas de chiffrement et les fichiers peuvent être lus en texte clair par n’importe quel utilisateur, en utilisation un outil comme Wireshark. Cela permet à des pirates de voler des mots de passe ou de profiter des fuites d’informations sensibles assez facilement. Les données chiffrées peuvent également être capturées. Par contre, il est beaucoup plus difficile pour les pirates de déchiffrer les paquets de données chiffrés.
Rogue Access Point
Lorsqu’un point d’accès non autorisé (PA) apparaît sur un réseau, il est considéré comme un « Rogue Access Point ». Celles-ci peuvent provenir d’un employé qui est mal informé ou d’une personne mal intentionnée. Ces PA représentent une vulnérabilité pour le réseau parce qu’ils le laissent ouvert à une variété d’attaques. Les pirates peuvent analyser ces vulnérabilités pour la mener des attaques, capturer de paquets ou lancer des attaques par déni de service.
Vol de mot de passe
Lorsque vous communiquez sur des réseaux sans fil, pensez à la fréquence à laquelle vous vous connectez à un site Web. Vous envoyez des mots de passe sur le réseau, et si le site n’utilise pas les protocoles SSL ou TLS, les mots de passe des utilisateurs sont affichés en texte clair et les pirates informatiques peuvent les lire facilement. Il existe même des moyens de contourner ces méthodes de chiffrement pour voler des mots de passe, à l’exemple de l’attaque appelée Man in the Middle.
L’attaque Man in the Middle
Il est possible pour les pirates de tromper les dispositifs de communication pour qu’ils envoient des donnés vers le dispositif utilisé par l’attaquant. Pour le cas de l’attaque Man in the Middle, ils peuvent enregistrer le trafic pour le visualiser plus tard (comme dans le reniflage de paquets) et même modifier le contenu des fichiers. Différents types de malwares peuvent alors être insérés dans ces paquets. Les contenus des e-mails envoyés via le réseau peuvent également être modifiés et le trafic peut être interrompu, ce qui entraîne le blocage de la communication.
Brouillage du réseau
Il existe plusieurs façons de brouiller un réseau sans fil. Une méthode consiste à inonder un PA avec des trames de désauthentification. Cela a pour effet de submerger le réseau et d’empêcher les transmissions légitimes de passer. Cette attaque est un peu inhabituelle, car le pirate n’a rien aucune raison de le faire.
Pourtant, l’un des rares exemples de la façon dont cela pourrait profiter à quelqu’un est lorsqu’une entreprise souhaite brouiller la connexion Wi-Fi de ses concurrents. C’est tout à fait illégal (comme toutes les attaques susmentionnées), c’est-à-dire que si l’entreprise se faisait prendre, elle ferait face à de graves accusations.
Conduite de guerre
La conduite de guerre vient d’un vieux terme appelé numérotation de guerre, où les gens composaient des numéros de téléphone au hasard à la recherche de modems. La conduite de guerre tente d’utiliser des PA vulnérables pour pouvoir les attaquer. Certains cybercriminels pourraient même faire appel à des drones pour essayer de pirater les PA des étages supérieurs d’un immeuble, par exemple. En effet, une entreprise qui possède plusieurs étages suppose souvent qu’aucune personne tierce n’est à portée pour pirater son réseau sans fil, mais bien évidemment, la créativité des pirates n’a pas de limite.
Attaques WEP/WPA
Les attaques ciblant les routeurs sans fil peuvent constituer un énorme problème. Les anciennes normes de chiffrement sont extrêmement vulnérables, et il est assez facile pour les pirates d’obtenir le code d’accès dans ce cas. Une fois que quelqu’un parvient à s’introduire dans votre réseau sans fil, vous avez perdu une couche importante de sécurité. Les PA et les routeurs cachent votre adresse IP en utilisant la traduction d’adresses réseau (à moins que vous n’utilisiez IPv6). Cela permet de cacher votre adresse IP privée à ceux qui ne font pas partie de votre sous-réseau et aide à empêcher les pirates de vous atteindre directement. Cela peut donc aider à prévenir les attaques, mais ne les arrête pas complètement.
Les spécificités d’un réseau Wi-Fi invité
Voici quelques choses à savoir à propos des réseaux Wi-Fi invité.
Obligations légales : lorsque vous mettez en place un réseau Wi-Fi ouvert au public, vous devez respect un certain nombre d’obligations légales. Elles sont définies par l’ARCEP, le RGPD et la CNIL, notamment en ce qui concerne l’enregistrement et la conservation des identifiants de connexion.
Authentification : sur un réseau Wifi, les utilisateurs sont généralement authentifiés via un portail captif. Ils peuvent donc avoir plusieurs accès différents en fonction de leur profil d’utilisateur. L’authentification se fait de plusieurs façons, telles que connexion par le biais des comptes de réseaux sociaux, la validation de conditions générales d’utilisation, l’authentification par envoi d’un e-mail ou encore la création d’un identifiant avec un mot de passe.
Portail personnalisable et multilingue : le portail captif est en quelque sorte la porte d’entrée d’un utilisateur sur un réseau Wi-Fi. C’est un passage obligatoire et peut constituer un vecteur de communication. A noter que le portail est souvent multilingue pour qu’il s’adapte facilement à la langue des différents utilisateurs.
Sécurisation : le Wi-Fi invité est un environnement spécifique, étant donné que l’utilisateur peut se connecter sur un réseau sans savoir quel est son niveau de sécurité. Les solutions Wi-Fi invité doivent donc assurer un cloisonnement entre les utilisateurs si vous voulez protéger la confidentialité des données.
6 Astuces pour un accès Wi-Fi invité sécurisé
1. Sécurisez tous vos périphériques réseau
Souvent, vous êtes trop occupé à sécuriser vos systèmes numériques. Pourtant, vous oubliez que tout doit commencer par la protection physique des périphériques physiques de votre réseau, des points d’accès sans fil aux routeurs, en passant par les commutateurs, etc.
Tout appareil doté d’un port Ethernet est vulnérable aux intrus, lesquels peuvent facilement brancher leur appareil et modifier vos configurations. Afin d’éviter cela, vos périphériques réseau doivent donc être conservés dans un endroit sûr tel qu’une armoire verrouillée.
Le cas échéant, assurez-vous que les points d’accès sans fil soient dissimulés au-dessus du plafond.
Par mesure de précaution supplémentaire, vous pouvez aussi configurer plusieurs adresses IP sur tous les ports Ethernet de vos appareils.
2. Séparez votre réseau interne du réseau invité
Il importe également de séparer votre réseau d’invités du réseau interne de votre magasin. Ceci empêche les intrus de naviguer et d’accéder à vos actifs réseau et à vos données confidentielles.
Vous pouvez le faire en installant un pare-feu réseau. Pour les grandes organisations qui nécessitent l’utilisation de commutateurs d’entreprise, un VLAN séparé doit être créé pour les points d’accès qui diffusent leur SSID.
Si votre pare-feu possède des fonctions de routage, vous aurez intérêt à router tout le trafic réseau du réseau invité directement vers Internet.
Enfin, vous devriez aussi protéger tous vos serveurs et vos ordinateurs à l’aide d’un pare-feu capable d’arrêter le trafic provenant du réseau invité.
3. Modifier les mots de passe par défaut et les SSID pour tous les périphériques réseau
Cela semble évident, mais sachez que certaines des importantes cyberattaques qui se sont produites ces derniers temps ont exploité ces moyens.
Autant donc modifier tous les mots de passe administrateur par défaut pour tous vos périphériques réseau. Il est également recommandé de changer le nom de votre SSID en un nom que vos clients peuvent facilement distinguer.
4. Soyez diligent dans la mise à jour du firmware de vos périphériques réseau
De nombreuses attaques auraient facilement pu être évitées en mettant à jour des micrologiciels installés dans vos périphériques réseau.
Ces mises à jour peuvent souvent corriger certaines failles qui peuvent être immédiatement exploitées par les cybercriminels, notamment par le biais d’une attaque « zero-day ». Prenez donc le temps de vérifier les mises à jour de tous vos appareils une fois tous les mois.
5. Assurez-vous que vos signaux sans fil sont chiffrés
Effectivement, il est plus facile de mettre en place un accès sans fil ouvert et de permettre au grand public d’accéder à votre réseau. Cependant, comme beaucoup de choses dans la vie, la façon la plus simple ne signifie pas nécessairement que c’est la meilleure façon.
En effet, vos clients peuvent apprécier la facilité d’accès à votre réseau sans fil, mais cela rend également leurs sessions plus vulnérables aux tentatives d’intrusion et de piratage informatiques.
Pour éviter cela, vous pouvez sécuriser votre réseau sans fil à l’aide du chiffrement WPA2. Ensuite, vous affichez fièrement le nom des invités auquel vous avez attribué un mot de passe et un SSID. Ainsi, vos clients peuvent facilement reconnaître les intrus au cas où ils tenteraient d’accéder à votre réseau.
6. Offrir une expérience de navigation sûre
De nos jours, si vous fournissez des services Internet à vos clients, vous devez également fournir un filtrage de contenu.
Bien entendu, vous ne voulez tout de même pas que votre magasin devienne l’endroit où les mineurs se viennent pour accéder facilement à des sites dangereux, indésirables ou réservés aux adultes. Dans la foulée, vous pourrez protéger vos clients des sites susceptibles de diffuser des logiciels malveillants (malwares).
Pour ce faire, vous pouvez vous mettre en place une solution de filtrage web dans le cloud. Celle-ci vous évite l’installation et les configurations d’équipements supplémentaires ainsi que la gestion de leurs mises à jour.
Les avantages de WebTitan Cloud pour Wi-Fi
WebTitan Cloud pour Wi-Fi est une plate-forme multi-utilisateurs. Vous pouvez créer de nouveaux clients et comptes facilement et gérer un nombre illimité d’emplacements à partir d’un seul compte. Vous pouvez également déléguer l’administration au client s’il le souhaite. Ainsi, il peut dicter la politique qu’elle veut, c’est-à-dire définir ce que ses invités peuvent voir. Cela peut être configuré en quelques minutes et est géré à partir d’une interface web intuitive. Pour ce faire, vous n’avez pas besoin d’installer un logiciel local.
Cette solution utilise également des API multiples qui permettent l’intégration avec votre système de facturation, votre système d’approvisionnement automatique ou la surveillance. La possibilité d’uniformiser l’ensemble de ces systèmes rend WebTitan Cloud pour Wi-Fi très facile à utiliser.
En termes de sécurité, WebTitan Cloud pour Wi-Fi permet à l’administrateur de définir des alertes instantanées qui lui permettent de découvrir en temps réel les personnes qui essaient de voir un contenu particulier. Ils peuvent savoir exactement à quels contenus les clients accèdent via votre réseau Wi-Fi. Par ailleurs, cette solution permet de mettre en place des politiques d’utilisation par emplacement pour empêcher les utilisateurs d’accéder à des contenus indésirables et pour bloquer les sites web malveillants.
Pour finir, sachez que WebTitan Cloud simplifie la gestion de la sécurité de votre connexion Wi-Fi. Cette solution prend en charge toutes les complexités du filtrage de contenu et de la sécurité, tout en offrant à vos clients une interface conviviale, dont l’utilisation ne requiert aucune formation particulière. De plus, elle est facile à gérer et totalement évolutif.
Vous êtes propriétaire d’un hôtel et vous souhaitez en savoir plus sur les avantages offerts par le filtrage Wi-Fi ? Adressez-vous à nos spécialistes ou écrivez-nous à info@titanhq.com pour toutes questions.
Les administrateurs système (AS) sont un élément clé d’une infrastructure solide dans tout environnement informatique, en particulier lorsqu’il s’agit de sécurité réseau.
Qu’il s’agisse de prévenir les menaces, de mettre en œuvre la politique informatique ou de collaborer avec les fournisseurs de technologie, c’est l’AS qui contribue à protéger l’intégrité et la sécurité de l’environnement informatique.
Son rôle implique donc un panel de tâches intimidantes, un besoin constant de mettre à jour ses connaissances au fur et à mesure que la technologie progresse, sans compter les longues heures qu’il devra consacrer pour les mettre en œuvre.
De plus, d’aucuns prédisent encore d’énormes changements dans la nature de leur travail. De nos jours, un AS est obligé de comprendre les exigences changeantes de l’industrie. C’est aussi le cas des personnes qui aspirent à devenir plus tard des AS ou des ingénieurs réseau.
Le métier d’administrateur système connaîtra plus de croissance que les autres
Un administrateur système a pour rôle de créer, d’installer et de maintenir les réseaux informatiques d’une entreprise ou d’une organisation. Il lui incombe de concevoir le réseau informatique en fonction des besoins de l’entreprise et de procéder ensuite à sa mise en place, d’installer tout le matériel et les logiciels nécessaires. Il supervise les mises à niveau et les réparations.
Un administrateur système est également chargé de la sécurité du réseau et fournit un support aux employés de son entreprise. Il recueille les données nécessaires pour évaluer le réseau, et décide de ce qui devrait y être ajouté ou ce qui devrait être modifié pour que le parc informatique fonctionne mieux et plus rapidement. En outre, il s’occupe de la gestion des serveurs et s’assure que tous les systèmes de stockage des fichiers et des données de messagerie électronique fonctionnent correctement.
L’administrateur système peut travailler dans presque tous les secteurs d’activité qui nécessitent la mise en place de serveurs informatiques. Comme nous sommes à l’ère du numérique, où internet est devenu indispensable pour assurer le bon fonctionnement de toutes les entreprises, cela démontre que les administrateurs système seront de plus en plus sollicités et que leur activité sera très lucrative. Et sachez que même les stagiaires pourront profiter de la situation. Ils pourront non seulement gagner davantage en tant qu’administrateurs, mais ils auront aussi de meilleures chances d’obtenir et de conserver leur emploi.
L’US Bureau of Labor Statistics (BLS) prévoit une croissance de 12 % pour le métier d’administrateurs de réseaux et de systèmes informatiques jusqu’en 2020. Il s’agit d’un taux de croissance moyen sur l’ensemble des métiers de la BLS. À noter que ce taux a baissé, comparé à celui du rapport précédent.
Pour reprendre l’expression du directeur informatique Donald Roper : « Si, pendant des années, il suffisait d’obtenir une certification MCAS pour décrocher un emploi d’administrateur système, aujourd’hui il faut avoir plusieurs cordes à son arc pour en obtenir un. »
Tout bon administrateur système a toujours été un touche-à-tout et ils s’efforçaient constamment d’être à l’affût des nouvelles technologies. La différence aujourd’hui, c’est l’omniprésence de l’informatique qui est devenue un service essentiel. Les réseaux continueront à se développer et les technologies de l’information en général deviendront plus complexes.
Heureusement, la formation est plus que jamais disponible sur les sites internet et les plates-formes d’apprentissage en ligne comme Udemy.
Par ailleurs, les réseaux sociaux et les forums informatiques permettent actuellement aux AS de rester plus facilement en contact avec leurs collègues dans le but d’échanger leurs connaissances et expériences.
La valeur des certifications informatiques : l’expérience l’emporte toujours sur la certification !
Bien que les administrateurs système possèdent des compétences spécifiques liées à certains domaines, la plupart d’entre eux n’ont pas encore les compétences et l’expérience nécessaires pour sécuriser le paysage moderne des menaces qui sont en constante évolution. En réalité, seul un petit pourcentage des professionnels de l’informatique en cybersécurité possède des compétences et l’expérience qui leur permettent d’assumer leurs responsabilités d’architecte du cloud, par exemple.
Il existe des rapports contradictoires entre la valeur des certifications et l’obtention ou le maintien d’un poste d’AS.
Sachez qu’il est dans l’intérêt de l’industrie de la certification de souligner l’importance des certificats. Si vous n’avez pas d’expérience sur le terrain dans le domaine des technologies, un certificat pertinent peut au moins faire passer votre CV au-delà de la phase de vérification automatique des mots.
Quoi qu’il en soit, l’expérience l’emporte toujours sur la certification, car il est bien logique de devenir certifié du moment que vous connaissez la technologie.
Certaines entreprises peuvent exiger une compétence formelle dans un domaine de l’informatique, car la formation et les certifications peuvent renforcer les chances qu’un candidat soit recruté. Mais l’expérience pratique est aussi un élément essentiel. En fait, un nombre important d’administrateurs système n’ont pas de formation officielle, mais ils ont plutôt appris sur le tas.
L’accent mis sur les compétences et l’expérience, plutôt que sur une éducation formelle n’est pas unique aux administrateurs système ou à l’industrie informatique. Comme leur rôle évolue et change constamment, l’éducation qui entoure l’administration et la sécurité des systèmes n’est pas souvent suffisante pour que les administrateurs système puissent suivre le rythme. Par conséquent, il est essentiel pour eux d’avoir une expérience pratique s’ils veulent réussir.
Même avec une formation formelle, l’apprentissage pendant les périodes où ils travaillent au sein de leur entreprise est essentiel à leur réussite. La raison est que les cours collégiaux ne couvrent pas l’ensemble des tâches d’administration des systèmes. Ils doivent être complétés par la formation professionnelle. En effet, tous les administrateurs système apprennent sur le tas, quelle que soit la formation qu’ils ont reçue auparavant pour combler les éventuelles lacunes.
Quelles sont les technologies importantes ?
Les AS et les personnes qui aspirent à le devenir devraient se familiariser avec les technologies suivantes :
L’automatisation des tâches d’administration système
Le Cloud et le logiciel en tant que service ou SaaS, incluant l’archivage, le filtrage du spam, le CRM, et bien plus encore
La virtualisation
La technologie Voix sur IP (VoIP)
Le rôle d’un administrateur système se diversifie. Il peut être un ingénieur système, un ingénieur d’application, un ingénieur de développement, un ingénieur de développement, un ingénieur de virtualisation, un ingénieur de mise en production, etc.
Étant donné que le cloud computing et la virtualisation ne cesse de prendre de l’ampleur, l’ingénierie de l’infrastructure doit être gérée de manière à utiliser des outils d’automatisation. De plus, le développement de l’informatique est omniprésent et l’analyse des données ainsi que les applications doivent être mises à l’échelle verticalement et horizontalement dans les centres de données. La plupart de plates-formes utilisées pour cela sont généralement conçues par des administrateurs système.
L’avènement du cloud a changé le rôle traditionnel des AS. Ils sont devenus des ingénieurs spécialisés dans le cloud, mais la conception de l’infrastructure et les services de base du système tels que le serveur de messagerie, le DHCP et le DNS restent les mêmes. D’autres AS se sont spécialisés dans la cybersécurité. Tout ceci signifie que le rôle de l’AS évolue, se diversifie et s’oriente vers la programmation des systèmes, vers l’ingénierie dans le cloud et vers l’ingénierie des infrastructures et l’ingénierie des performances.
Les avantages de l’automatisation des tâches de l’AS
L’automatisation permet à certains AS et ingénieurs réseau de diriger des réseaux de grande envergure et plus complexes.
Pour vous donner une petite idée, il lui sera difficile de combiner les messages système d’un réseau de 1000 appareils sans avoir un service centralisé de journalisation.
Toutefois, il faut dire que l’automatisation peut aussi rendre le travail de l’AS plus difficile. Par exemple, lorsque vous voyez un X rouge d’un périphérique dans votre tableau de bord de gestion de réseau, cela pourrait indiquer un problème avec l’un ou l’autre des éléments suivants :
Le logiciel de gestion de réseau lui-même
L’appareil hébergeant le tableau de bord
Le protocole de découverte
Le routage
Le câble reliant l’appareil au réseau
L’appareil qui affiche le X rouge
L’automatisation a donc introduit trois niveaux supplémentaires d’abstraction (les trois premiers points susmentionnés) entre vous et le périphérique susceptible de présenter un problème. Ceci nécessite donc une formation sur d’autres technologies et rend le dépannage plus difficile sur une base quotidienne.
Cela signifie-t-il que l’automatisation est une mauvaise chose ? La réponse est « Non », mais vous (et votre direction) devez toutefois être conscient que cela entraîne des coûts cachés.
Le cloud et le service XaaS se développent
La sauvegarde et l’archivage dans le cloud ont considérablement réduit les opérations de routine de gestion des données qui exigeait beaucoup de personnel auparavant. L’utilisation du Cloud et du service Xaas (Everything as a Service) peut libérer l’AS de nombreuses tâches centrées sur le serveur.
Philip Kizer, président de la Ligue des administrateurs système professionnels (LOPSA), estime que l’informatique dans le cloud rend le rôle de l’AS plus important.
Grâce à cela, il peut défendre les intérêts de l’entreprise et filtrer les services externes qui ne répondent pas à ses besoins. Sans un AS expérimenté, les entreprises sont à la merci des fournisseurs de services, avec leurs nombreux arguments commerciaux ». Bien entendu, pour que ce soit le cas, il faut que l’AS comprenne non seulement la technologie informatique, mais aussi les besoins réels de l’entreprise.
Virtualisation et VoIP
La virtualisation ajoute d’autres niveaux d’abstraction et crée un enchevêtrement de réseaux virtuels. Cela signifie qu’un AS devrait connaître le routage et la commutation à un niveau plus avancé qu’auparavant.
Vous n’êtes pas sans savoir que la virtualisation et le cloud computing sont à la mode en ce moment, et les AS sont les heureux élus pour administrer ces technologies émergentes. Ils ont encore la chance de survivre dans ce domaine s’ils parviennent à combiner leurs compétences existantes avec les nouvelles compétences du futur.
Le VoIP, ou « Voice over Internet Protocol », est par exemple une technologie très en vogue depuis une dizaine d’années. Cette technologie permet de transmettre à la fois le son et le texte à travers un réseau informatique. Mais son principal avantage est qu’elle est économique et peut être développée pour une intercommunication de qualité entre les employés d’une organisation. Le concept consiste à mettre en œuvre le streaming audio, mais cela présente aussi des failles de sécurité lors d’une communication entre deux ou plusieurs personnes.
Comprendre la dynamique de la charge dans le réseau est essentiel si l’AS veut réussir la mise en œuvre et de la VoIP. En effet, n’oubliez pas que les utilisateurs d’aujourd’hui ne tolèrent pas les temps d’indisponibilité de la voix sur IP, car ils se sont habitués aux réseaux de téléphonie traditionnels qui avaient une disponibilité dite à cinq « neuf », c’est-à-dire des réseaux qui fonctionnaient 99,999 % du temps. Ainsi, le rôle de l’AS ne se limite plus à la mise en œuvre de la VoIP, c’est-à-dire à permettre une communication efficace, mais aussi à contrer les éventuelles menaces cybercriminelles qui en découlent.
Compétences et qualités dont un AS a besoin pour réussir
Jusqu’à présent, nous avons discuté des technologies. Mais qu’en est-il des compétences et qualités que doit avoir un AS ?
Selon l’« IS 2010 Curriculum Guidelines », une étude conjointe de l’Association for Computing Machinery (ACM) et de l’Association for Information Systems (AIS), le succès en informatique requiert les « connaissances et compétences fondamentales » suivantes :
Leadership et collaboration
Communication
Négociation
Pensée analytique et critique
Créativité
Mathématiques
Au-delà d’une éducation formelle, les AS qualifiés devraient aussi posséder d’autres aptitudes, notamment des compétences en matière d’analyse, de communication et de résolution des éventuels problèmes. Contrairement à d’autres postes informatiques, celui des AS va de la communication à la résolution des problèmes avec leurs collègues, tant à l’intérieur qu’à l’extérieur du département informatique.
Par ailleurs, l’AS doit être en mesure de former ses collaborateurs, y compris ceux qui ne travaillent pas dans le domaine de l’informatique. C’est pour cette raison qu’il doit posséder d’excellentes compétences en matière de communication. Cela dit, le travail d’un AS ne consiste plus à rester assis seul à son bureau toute la journée devant son écran ou à feuilleter des manuels. Il doit également être capable de comprendre l’entreprise et être coopératif.
Cela explique en partie pourquoi de nombreuses entreprises de technologie recrutent des apprentis.
Avant l’introduction et la généralisation des technologies décrites ci-dessus, un AS pouvait débuter sa carrière en tant opérateur auxiliaire et apprendre les ficelles du métier au fur et à mesure qu’il gravit les échelons. Mais cette époque est révolue. Si vous consultez les offres d’emploi d’AS de nos jours, la plupart exigent de 3 à 5 ans d’expérience dans le domaine.
Les défis des administrateurs système de la prochaine génération
Nous sommes désormais à l’ère du « Big Data » et les gestionnaires de centres de données sont contraints de faire plus avec un budget et des équipements réduits. Les réseaux des entreprises sont surchargés alors qu’un grand flux de données peut provenir des matériels utilisés par leurs employés, notamment ceux provenant des appareils IoT. Selon les chiffres fournis par McKinsey, la taille totale du marché de l’internet des objets passera à plus de 3,3 milliards d’euros en 2020, avec un taux de croissance annuel d’environ 32,6 %.
Les AS ont toujours fait partie du dépannage de matériels informatiques, de la mise en place des câbles réseau et de la surveillance des données. Aujourd’hui, ils doivent aussi gérer les nouvelles technologies qui n’existaient même pas il y a dix ans. Il leur incombe donc de gérer la connectivité des télétravailleurs, le BYOD, les réseaux informatiques de son entreprise, l’internet des objets, l’accès Wi-Fi, sans oublier la sécurité de tous ces points d’accès.
Ce qui a changé la donne, c’est que nous sommes de plus en plus dépendants envers les centres de données dans une société obsédée par le numérique. Ce qui signifie que l’AS sera toujours d’une grande utilité pour que les utilisateurs bénéficient d’un accès internet en continu, sans aucune défaillance du réseau et aucune faille de sécurité.
De nos jours, les AS doivent être à même de déplacer, de tester, d’administrer et surtout de sécuriser les données du réseau de manière optimale. Ces cadres peuvent être considérés comme l’un des maillons qui garantissent la réussite du plan stratégique de leur entreprise.
Comment gérer ces défis ?
La seule chose que les AS doivent retenir est que leur travail continue d’évoluer. Un serveur hôte sur site peut actuellement contenir plusieurs dizaines de serveurs virtuels, dont chacun nécessite des fonctions critiques pour plusieurs locataires différents. Une panne sur un matériel connecté à ce serveur hôte pourrait avoir des répercussions sur les résultats d’une entreprise et sur sa réputation.
De nombreuses entreprises utilisent actuellement les données elles-mêmes comme le cœur de leur activité. De nombreux centres de données ont été également conçus pour répondre à ces demandes. Ils adoptent des processeurs multi-cœurs très puissants, des BladeSystems – une plate-forme et une infrastructure et de gestion qui permet d’accélérer la prestation de services – et des interfaces à large bande passante.
De plus, l’administrateur réseau d’aujourd’hui doit faire face à toute une variété de réglementations telles que l’HIPAA, le RGPD, et bien d’autres. Tout cela ne fait que compliquer un rôle de l’AS qui est déjà difficile. Pour relever ces défis, il doit donc comprendre l’écosystème informatique et ajuster continuellement ses compétences.
Quelques moyens d’atténuer ces difficultés
Pour assurer le bon fonctionnement de leur entreprise, pour sécuriser les données des clients et employés, et pour se conformer aux réglementations en vigueur, les AS doivent :
Élaborer des protocoles standards qui donnent des privilèges à chaque type d’utilisateurs et leurs rôles ;
Concevoir des algorithmes d’apprentissage machine permettant de maximiser l’accessibilité et la sécurisation des données ou d’augmenter la capacité de stockage lorsque la demande est élevée ;
Mettre en place une architecture à plusieurs niveaux pour les déploiements de serveurs plus importants et adopter l’archivage des données sur plusieurs sites et sur plusieurs formats ;
Trouver des moyens de standardiser le centre de données dans le but de rationaliser le déploiement des matériels utilisés par les employés. Cela pourrait inclure des solutions telles que le filtrage DNS et l’utilisation de capteurs IoT.
Mettre en place une équipe constituée de représentants du niveau de la suite C pour aligner les objectifs de l’entreprise avec les stratégies des centres de données ;
Faire évoluer les structures de base afin d’y intégrer les nouvelles technologies et d’améliorer les performances et la fiabilité de leur entreprise.
Administrateurs réseau : les prévisions pour l’avenir
L’AS du futur se concentrera essentiellement sur la gestion de la bande passante et sur la connectivité Internet. Pour les entreprises, leurs réseaux se déplaceront de plus en plus vers le cloud. Cela rend la tâche des AS encore plus important, car un réseau trop saturé pourrait signifier un désastre. Par ailleurs, nul ne peut nier que le partage du trafic sera de plus en plus important à l’avenir. Ceci signifie que la sécurité constituera encore un élément essentiel qui va s’ajouter au rôle traditionnel des AS, qui seront chargés de rédiger les politiques de sécurité de l’entreprise et de prévenir les menaces sur le web.
Désormais, les entreprises sont même devenues de véritables centres de données. Les organisations qui ne parviennent pas à exploiter efficacement leurs données ne pourront pas faire face à la rude concurrence. Ce qui était autrefois la norme dans le centre de données est de nos jours changée en de nouveaux modèles. Les AS auront donc un important rôle à jouer dans le déploiement des nouvelles tendances technologiques et pour répondre aux besoins des entreprises qui sont très exigeantes en termes de bande passante et de sécurité web.
La sécurisation des données, une tâche critique pour les AS
Les administrateurs système sont responsables de la cybersécurité. Ils sont les mieux qualifiés en matière de protection des données, de détection des menaces, de réaction et de rétablissement en cas de sinistre.
Les responsabilités d’un administrateur en charge de la sécurité informatique peuvent varier en fonction de la taille de votre organisation.
S’il s’agit d’une petite entreprise, il peut être la personne qui mène la barque et qui se charge de tout, de la définition de la politique de sécurité à la gestion des aspects techniques de la sécurité, en passant par toutes les tâches qui se trouvent entre les deux.
Dans une grande entreprise, il peut assurer tout simplement le rôle du responsable de la sécurité informatique et ses activités sont plus restreintes.
Par exemple, l’administrateur système peut être tout simplement un responsable de la sécurité technique. Dans ce cas, il sera responsable des systèmes de sécurité, comme les pare-feu, la protection des données, la mise en œuvre des correctifs, le chiffrement des données, l’analyse des vulnérabilités, etc.
Pour une grande entreprise, l’administrateur peut aussi assurer la sécurité des programmes. Pour ce cas précis, il aura un rôle plus stratégique, notamment la gestion et l’atténuation des risques.
Souvent, ce professionnel participe à l’évaluation des risques concernant la gestion de données des fournisseurs ; à l’examen des contrats ou des conditions de service de ces derniers et il peut aider les équipes de votre entreprise pour qu’elle comprenne les risques en matière de cybercriminalité ; aux questions de confidentialité des données ; etc.
N’oubliez pas que les responsabilités d’un administrateur système qui est en charge de la sécurité informatique peuvent varier énormément en fonction de la taille de votre équipe et de votre secteur d’activité.
Neuf rôles stratégiques d’un administrateur système en termes de sécurité des données
L’AS doit surveiller toutes les opérations et l’infrastructure de votre réseau informatique. Il peut faire cela seul ou en équipe. Dans les deux cas, son travail quotidien consiste à passer en revue les alertes et les journaux dans le but de surveiller l’infrastructure de votre organisation pour détecter les failles en matière de sécurité numérique.
Il conserve tous les outils et technologies de sécurité. Cela peut également se faire de manière individuelle ou selon une responsabilité partagée.
Il surveille le respect des politiques internes et externes. Le but est de faire en sorte que vos fournisseurs et vos employés comprennent vos politiques de gestion des risques en matière de cybersécurité et qu’ils opèrent dans ce cadre.
Il surveille la conformité aux règlements. C’est très important, notamment s’il travaille dans un secteur très réglementé et qu’il doit traiter des informations comme les données de cartes de crédit, les données relatives aux soins de santé ou d’autres informations qui permettent d’identifier une personne.
Il travaille avec les différents services de votre entreprise pour réduire les risques. Sur ce point, il sera probablement amené à travailler avec différents services de votre entreprise pour s’assurer que tout le monde soit sur la même longueur d’onde en termes de sécurisation des données.
Il met en œuvre les nouvelles technologies. Par exemple, si votre organisation envisage de déployer une nouvelle technologie comme le système de paiement en ligne, il doit d’abord l’évaluer et participer à la mise en œuvre de tout contrôle qui peut réduire le risque de son fonctionnement.
Il vérifie les politiques et les contrôles en permanence. La sécurisation des données est un processus circulaire et, en tant qu’administrateur système, il doit faire avancer ce processus. Cela signifie qu’il doit procéder régulièrement à des audits des politiques et des contrôles que vous mettez en place. Grâce à ces audits, vous pourrez indiquer s’il y a quelque chose à améliorer, à corriger ou à réparer rapidement.
Il décrit en détail le programme de réponse aux incidents de sécurité. Chaque entreprise doit avoir un plan d’action bien défini et documenté qu’il faut mettre en place au cas où un incident de sécurité se produirait.
En tant que responsable de la sécurité informatique, l’AS doit veiller à ce que tous les programmes informatiques soient testés à l’échelle de l’organisation et à ce que chaque responsable de haut niveau connaisse ses fonctions en cas d’incident.
Dans de nombreuses grandes organisations, l’administrateur système peut participer à l’information des membres du conseil d’administration en matière de cybersécurité, mais selon la taille et la maturité du programme de sécurité de votre entreprise, cette tâche peut incomber au responsable de la sécurité informatique ou de la cybersécurité.
Serez-vous prêts ?
Il est crucial de considérer votre profession comme une opportunité d’apprentissage tout au long de la vie. Si vous le faites, les possibilités sont infinies. Profitez d’une formation en ligne gratuite, élargissez votre réseau social, etc. Perfectionnez vos compétences en communication et vos compétences liées à la collaboration. Et par-dessus tout, apprenez sans cesse les technologies critiques.
Nous aimerions faciliter la vie de l’AS, qui est généralement surchargé de travail, en lui fournissant une liste pratique d’outils qui lui permettent de diagnostiquer les problèmes courants.
Découvrez donc notre boîte à outils qui se veut incontournable pour les administrateurs système. Vous y trouverez de nombreuses ressources qui vous seront utiles si jamais vous êtes victime d’un incident ou d’une brèche de sécurité.
Ces outils vous guideront également dans la préparation aux sinistres et dans la récupération de vos données après sinistre.
Conclusion
Dans ce dossier, nous avons bien défini les tâches les plus importantes dont un administrateur système est responsable, mais son rôle va bien au-delà de ces fonctions.
Par exemple, l’AS doit assurer la coordination avec plusieurs équipes pour résoudre les problèmes, pour communiquer avec les clients et pour mettre à jour votre base de données.
Il doit également s’assurer que votre réseau informatique fonctionne à 100 % et préparer des rapports hebdomadaires, mensuels, trimestriels, sans oublier qu’il doit procéder à une surveillance continue de vos serveurs au cas où des alarmes se déclencheraient.
L’AS constitue le maillon fort de votre sécurité informatique, de la sécurisation de votre centre de données ou de votre centre d’exploitation du réseau. Il peut même résoudre les problèmes liés à l’hébergement web, aux pannes des applications et de vos serveurs et à d’autres problèmes critiques en matière d’exploitation informatique.
Ce pour cette raison que TitanHQ cherche toujours à aider les administrateurs système pour qu’ils puissent contrer les éventuelles vulnérabilités. Nous pouvons les aider à contrer les attaques contre votre réseau informatique et nous contribuons à gérer de manière plus efficace leurs réseaux informatiques et nous les aidons à inverser la tendance en matière d’exposition liée aux attaques contre les utilisateurs via le web.
Questions fréquentes sur l’avenir des administrateurs système
Quelles sont les perspectives d’avenir pour les administrateurs système?
Le métier d’administrateur système est en forte demande.
Ce segment de marché n’est pas affecté par la crise. Au contraire, il opère en flux croissant depuis plus de 20 ans.
Le rôle d’un administrateur système reste toutefois complexe et demande une amélioration continue des compétences techniques.
Quelles sont les différences entre gestionnaire réseau, administrateur réseau, manager réseau, network administrator et responsable réseau ?
Eh bien, ce sont tout simplement les autres noms qu’on peut attribuer au poste d’administrateur système.
Il faut toutefois noter que ce dernier peut devenir un responsable des télécommunications, un architecte réseau, voire un ingénieur d’affaires qui pourra travailler en tant que consultant.
Quelles sont les principales qualités que devrait avoir un administrateur système ?
La liste est longue, mais en général, il doit faire preuve de rigueur et d’organisation ; d’une capacité d’analyse ; de réactivité et de disponibilité ; de résistance au stress ; de prise d’initiative ; de polyvalence ; de curiosité technique et d’aisance relationnelle.
Quel type d’entreprise recrute souvent les administrateurs système ?
Ces professionnels peuvent être recrutés par tout type d’organisation qui bénéficie de leurs propres infrastructures réseau.
Il peut s’agir d’une PME, d’un grand groupe, d’un hébergeur ou encore d’une agence qui propose des prestations numériques.
Quels sont les enjeux de demain en ce qui concerne le futur rôle des administrateurs système ?
D’une part, ils doivent s’attendre au développement du cloud et du big data. Ils devront mettre en place des infrastructures réseau de plus en plus développées et être à l’affut des nouvelles normes à venir en matière de stockage et d’utilisation des données. Mais le principal défi qu’ils doivent relever est la cybersécurité.
2017 a été une année difficile en matière de cybersécurité à cause des attaques de phishing de grande envergure qui ont grandement affecté des agences gouvernementales et entreprises du monde entier. Même les organisations ayant les plus gros budgets dédiés à la protection web, comme Google, Yahoo et Equifax, ont été victimes de ces cyberattaques.
Chaque année, les cybercriminels proposent de nouvelles façons d’amener les utilisateurs à laisser des données sensibles ou à révéler des informations d’identification sur leurs comptes.
Les attaques de phishing sont l’une des façons les plus populaires qu’ils utilisent pour accéder à ces données ou pour infecter un réseau interne avec des logiciels malveillants. En début 2018, ils proposaient déjà de nouvelles idées qui leur permettent d’accéder davantage à vos données. En voici quelques exemples, à retenir pour ne pas se faire avoir par le phishing en 2019 !
Utiliser les Jeux olympiques d’hiver pour tromper les utilisateurs
Dès le mois de janvier 2018, les cybercriminels ont commencé à utiliser des événements mondiaux tels que les Jeux olympiques d’hiver pour réaliser des attaques de phishing.
Des courriels de phishing de masse ont été envoyés à partir d’une adresse électronique usurpée du centre antiterroriste sud-coréen. Celle-ci contenait une pièce jointe contenant une macro malveillante. La macro permettait aux cybercriminels d’accéder aux serveurs si le bon destinataire ouvre le fichier et exécute l’application.
Ce spear pishing particulier visait un groupe de personnes ciblé, notamment celles qui avaient accès à des réseaux de grande envergure. Une fois qu’il accède à ces réseaux, le logiciel malveillant peut infecter silencieusement d’autres machines ou voler des données en arrière-plan sans pouvoir être détecté.
La leçon à tirer de ces attaques est que les événements spéciaux sont désormais l’un des moyens les plus prisés par les cybercriminels pour faire du phishing.
Les attaques Business Email Compromise pourraient coûter 9 milliards de dollars
Selon un rapport publié récemment, les compromissions de la messagerie en entreprise (Business Email Compromise) pourraient entraîner une perte de revenus de 9 milliards de dollars en 2018.
Bien qu’il existe plusieurs façons de tromper les utilisateurs, l’objectif principal des cybercriminels est de voler leurs identifiants. Pour ce faire, ces derniers ciblent de plus en plus les personnels occupant un poste à hautes responsabilités.
Ils choisissent par exemple les représentants des RH, le personnel financier ou les cadres supérieurs de niveau C, car ceux-ci ont un niveau d’accès plus élevé aux données sensibles de leur entreprise.
Étant donné qu’ils sont les principales cibles des cybercriminels, ces hauts responsables devraient donc être les mieux informés concernant les éléments auxquels faire attention et les signes qui permettent d’identifier un email de phishing.
Les réseaux sociaux restent un outil de reconnaissance primaire pour le Spear phishing en 2019
Pour réussir leurs attaques, les cybercriminels doivent faire des recherches et trouver les bonnes personnes à qui ils vont envoyer des emails de pishing. Cette étape préliminaire s’appelle la phase de reconnaissance.
Aucun compte spécial ou payant n’est nécessaire. Pour ce faire, ils font tout simplement des recherches sur les médias sociaux, comme Facebook, LinkedIn, Twitter et Instagram.
Il est possible de gérer la plupart des risques associés aux médias sociaux en éduquant les utilisateurs. Par exemple, ils devraient être conscients de l’ingénierie sociale et du fait qu’ils mettent trop d’informations personnelles sur les médias sociaux.
Pourquoi ?
Parce que, si ces utilisateurs sont trop ouverts sur ces réseaux, les cybercriminels peuvent facilement collecter les informations qui les concernent en vue de les utiliser dans le cadre d’une attaque de phishing.
Les cybercriminiels sont plus patients et prennent leur temps pour réaliser de gros gain grâce au phishing
Par le passé, les cybercriminels se contentaient d’envoyer des centaines d’emails dans l’espoir d’obtenir un nombre aléatoire de victimes. De nos jours, leur but est de lancer une attaque de phishing pour obtenir des informations d’identification et des données spécifiques, de sorte qu’ils puissent réaliser de gros gains sur le long terme.
Ainsi, ils créent des bases de données sur le deep web, en regroupant des profils d’individus spécifiques sur des pages invisibles et non indexés. Lorsqu’un cybercriminel achète ces profils, il peut utiliser les données ailleurs, sans que la personne ne soit au courant de la menace.
Pour éviter cela, les utilisateurs d’internet doivent donc savoir parfaitement ce qu’ils recherchent sur le web et ne jamais exécuter de macros ni ouvrir des pièces jointes suspicieuses. Il ne faut pas oublier que les méthodes de pishing ne cessent de s’accroitre et se diversifier et elles sont de plus en plus efficaces.
Étant donné que le phishing connaît actuellement un grand succès, les cybercriminels s’en servent comme principal moyen d’attaquer les utilisateurs d’Internet.
Pas plus tard que la semaine dernière, le journal italien Il Tempo a rapporté que des comptables de la région de Latium se sont fait escroquer et ont envoyé 2 millions d’euros (1,75 million de livres sterling) sur un compte bancaire de fraudeurs. Cela démontre clairement l’importance de la sécurité antiphishing et de la sensibilisation aux menaces. Bref, chaque organisation doit être à l’affut de ces nouvelles menaces, car aucune d’elles n’est à l’abri d’un piratage informatique.
Le pare-feu matériel (firewall hardware) est la pierre angulaire de la sécurité réseau pour presque tous les réseaux TCP/IP. Qu’il s’agisse d’une PME ou d’une grande entreprise, le pare-feu fournit une défense de base contre les attaques des systèmes informatiques et des actifs d’information numériques.
Bien que les réseaux modernes s’étendent actuellement au-delà du périmètre du pare-feu, la plupart d’entre eux disposent encore d’une structure bien définie qui inclut la zone réseau interne, la zone réseau externe non fiable et d’autres zones de sécurité de réseau intermédiaires optionnelles.
Une zone de sécurité se définit comme un segment de réseau qui héberge un groupe de systèmes ayant des exigences similaires en matière de protection des informations.
En d’autres termes, une zone de sécurité est généralement un sous-réseau de niveau 3 sur lequel plusieurs hôtes (serveurs, postes de travail, etc.) sont connectés.
Le trafic à destination et en provenance de ce réseau spécifique est alors contrôlé par un pare-feu aux niveaux IP et Port, voire même au niveau des applications.
Généralités sur la segmentation du réseau
Le concept de segmentation ne date pas d’hier. Dans l’histoire ancienne, les Romains l’utilisaient déjà pour créer des unités de combat basées sur l’identité géographique et ethnique des guerriers capturés. L’idée consistait à regrouper ceux qui ont des antécédents similaires pour qu’ils puissent s’unir et devenir de meilleurs groupes de combat. Puis, le concept a été utilisé pour la création de groupes ethniques, religieux, géographiques, politiques et sexistes.
Les entreprises ont également repris cette idée pour les utilisateurs, le trafic ou les données pour protéger les parties centrales de leurs infrastructures informatiques via des moyens physiques ou logicielles.
Historiquement, la segmentation réseau était utilisée avec un pare-feu périmétrique sur la passerelle Internet des entreprises. Les organisations pouvaient déployer une paire de pare-feu qui entourent une zone démilitarisée pour fournir un environnement séparé entre les zones fiables et non fiables.
Le problème avec les architectures réseau traditionnelles est qu’elles ont été construites en plaçant les joyaux de la couronne, ou plus précisément les données sensibles, dans un château bien gardé, c’est-à-dire le centre de données. Les entreprises avaient donc l’impression que toutes leurs ressources critiques étaient bien protégées par un périmètre solide et que personne ne pouvait passer à travers leurs systèmes de défenses, sauf si elles obtiennent des autorisations. Mais elles ne pouvaient rien faire si la personne non autorisée se trouvait déjà à l’intérieur du château, si elle disposait déjà des accès aux données et qu’elle trouvait des moyens de sortir les informations sensibles de leurs centres de données.
Le fait est que le zonage d’un réseau « digne de confiance » – c’est-à-dire un réseau entier qui est considéré comme un seul segment – crée un environnement où une seule intrusion permet à un pirate d’avoir un accès étendu. Il peut également avoir le contrôle sur hôtes et les services avec un minimum d’effort, et les entreprises ne pouvaient pas le détecter.
De nos jours, les techniques de phishing, d’ingénierie sociale et l’utilisation croissante des appareils mobiles et du télétravail obligent les entreprises à déployer des moyens plus efficaces pour contrer les cyber-menaces. Elles se doivent de segmenter leurs réseaux et de séparer leurs informations sensibles, leurs services de messagerie en ligne et les autres services Internet.
La segmentation du réseau est une alternative qui leur permet de limiter le niveau d’accès à certaines informations et à des services sensibles, de manière à ce qu’elles puissent continuer à fonctionner efficacement, même en cas d’attaque informatique. Mais pour être efficaces, les solutions de segmentation du réseau doivent être soigneusement planifiées, appliquées et surveillées avec rigueur pour qu’elles ne puissent être contournées.
Qu’est-ce qu’un pare-feu ?
Puisque nous allons parler de pare-feu tout au long de ce dossier, il convient de définir ce que c’est. Un pare-feu peut se présenter sous la forme d’un composant matériel ou d’un logiciel. Il est conçu pour défendre un ordinateur local contre les virus et d’autres formes d’attaques malveillantes.
Le pare-feu peut interdire certaines communications et en autoriser d’autres. Ainsi, votre réseau interne pourra accéder à l’extérieur, aux serveurs de messagerie et aux serveurs web quand vous le souhaitez. De la même façon, vous pouvez le configurer pour permettre au réseau externe d’accéder aux serveurs de messagerie et aux serveurs web, sans pour autant autoriser l’accès au réseau interne.
A titre d’exemple, si vous vous connectez à WAMP depuis votre ordinateur et que vous ouvrez le port 80 de votre box internet. Vous bloquez ensuite votre pare-feu pour cette machine, de telle sorte que les autres ordinateurs ne puissent pas y accéder via de votre box internet et via le port 80, on pourrait donc dire que vous utilisez votre pare-feu afin que votre machine puisse servir d’une zone DMZ.
Segmentation de la zone de sécurité périmétrique des réseaux d’entreprise
Il n’existe pas de topologie de réseau périmétrique unique qui convienne à tous les réseaux, car chacun a ses propres exigences et fonctionnalités pour satisfaire les besoins d’une entreprise.
Cependant, il existe une approche de « meilleure pratique » pour mettre en œuvre un périmètre de réseau qui offre une sécurité et une protection des données améliorées contre les menaces en ligne. Cette approche est illustrée sur le schéma ci-dessous.
Encore une fois, la topologie de réseau que nous avons fourni n’est qu’un exemple qui a été mis en œuvre dans de nombreuses entreprises, mais elle peut avoir différentes variations, à savoir l’utilisation de deux pare-feu au lieu d’un, d’une seule zone DMZ au lieu de deux, etc.
Le réseau périmétrique suggéré ci-dessus comprend deux zones démilitarisées (DMZ), c’est-à-dire des sous-réseaux séparés du réseau local et isolés de celui-ci et d’Internet, à savoir DMZ1 et DMZ2, ainsi qu’une zone interne. Les flèches rouges indiquent le flux de trafics autorisé à partir du pare-feu.
Comment les pirates peuvent-ils compromettre votre système informatique ?
En règle générale, les cybercriminels vont tenter de compromettre votre réseau, souvent en ciblant un hôte sous le contrôle d’un utilisateur légitime par le biais de l’ingénierie sociale. Ceci étant fait, il va se déplacer sur le réseau dans le but de localiser et d’accéder aux informations sensibles.
Il peut également tenter d’établir des connexions directement entre un hôte plus sensible et un hôte compromis, en utilisant divers outils et techniques. Par exemple, il peut dans un premier temps compromettre un poste de travail, puis créer une connexion à distance avec un serveur. Cela lui permet de mapper des lecteurs réseau ou d’utiliser des outils d’administration réseau légitimes pour accéder à des informations sensibles ou pour exécuter un code malveillant sur ce serveur. Cette seconde option est souvent utilisée pour cibler le serveur d’authentification d’une entreprise.
Afin de minimiser l’impact d’une éventuelle intrusion dans le réseau, vous devriez rendre aussi difficile que possible pour les pirates de trouver et d’accéder à ces informations ou de se déplacer dans le réseau sans que vous ne puissiez les détecter. L’une des solutions que vous pouvez mettre en œuvre et la création d’une ou plusieurs zones DMZ.
Zones DMZ
Une zone DMZ est un sous-réseau de couche 3 isolé sur lequel les hôtes connectés sont généralement exposés à l’Internet public afin de fournir des services aux utilisateurs (Web, Email, DNS, etc.). Ils sont donc les plus vulnérables aux attaques.
En raison du nombre croissant des hôtes victimes d’une attaque, le sous-réseau est donc placé dans une zone démilitarisée (DMZ) afin de minimiser les dommages au réseau protégé interne au cas où un de ces serveurs serait compromis.
Architecture des zones démilitarisées du réseau
Il existe plusieurs manières de concevoir un réseau avec une DMZ. L’une des méthodes les plus utilisées consiste à utiliser un pare-feu, avec au moins trois interfaces réseau. Mais la plupart des architectures DMZ de nos jours sont conçues avec deux pare-feu. Cette seconde approche est la plus sûre pour créer un réseau DMZ.
Les deux pare-feu sont déployés avec le réseau DMZ, placé entre eux. Le premier pare-feu, également appelé pare-feu périphérique, est configuré pour autoriser le trafic externe, tout particulièrement destiné à la DMZ. Quant au second, c’est-à-dire le pare-feu interne, il n’autorise que le trafic de la DMZ vers le réseau interne. Cette solution est considérée comme plus sûre, étant donné que les pirates ne peuvent pas accéder au réseau local interne que si les deux périphériques sont compromis.
Ces approches de base peuvent être étendues si vous voulez créer des architectures plus complexes.
Dans le réseau de segmentation du périmètre que nous proposons sur le schéma ci-dessus, nous avons deux zones DMZ, ce qui offre une meilleure protection à la zone interne.
DMZ1
Une DMZ est un sous-réseau physique ou logique, séparant un réseau local interne (LAN) des autres réseaux non fiables, notamment l’internet public. Les serveurs, ressources et services externes sont situés dans la DMZ1.
Ces ressources et services (Web, email, DNS, proxy, etc.) sont donc accessibles depuis l’internet. Par contre, le reste du réseau local interne reste inaccessible. Cette solution fournit une couche de sécurité supplémentaire au réseau local, étant donné qu’elle limite la capacité d’un pirate à accéder directement à vos serveurs et données sensibles via l’internet.
Le pare-feu ne doit permettre que le trafic d’Internet vers DMZ1. De plus, seuls les ports TCP/UDP requis peuvent y accéder.
À titre d’exemple, en 2016, une compagnie d’électricité américaine a été la victime d’une attaque de ransomware. Celui-ci a affecté ses appareils informatiques et empêché un grand nombre de ses clients de recevoir de l’électricité.
En réalité, ladite société ne disposait pas d’une DMZ entre ses appareils informatiques et les autres appareils d’exploitation. De plus, ses appareils d’exploitation n’étaient pas bien équipés pour gérer le ransomware une fois qu’ils étaient affectés. Cette attaque a profondément affecté l’infrastructure de la société d’électricité et ses nombreux clients.
Même la mise en place d’une DMZ1 aurait permis une segmentation accrue du réseau afin d’éviter les dégâts de débordement que le ransomware avait causés. Mieux encore, ils pouvaient mettre en place une seconde DMZ, c’est-à-dire une DMZ2.
DMZ2
Il s’agit d’une zone intermédiaire qui permet d’héberger des serveurs d’applications, des serveurs de bases de données, etc. Ces serveurs sont indirectement accessibles depuis Internet via la zone DMZ1.
Par exemple, les meilleures pratiques en matière de sécurité suggèrent qu’un serveur web qui peut accéder aux informations dans une base de données ne doit pas être installé sur la même machine que le serveur. Par conséquent, il est recommandé de placer le serveur de base de données sur DMZ2.
Un serveur Web frontal qui communique avec un serveur d’application Web devrait également être placé dans deux zones de sécurité distinctes.
L’arrangement ci-dessus protège la zone interne, de telle sorte que toute compromission des serveurs de base de données ou d’applications (via les serveurs DMZ1) n’entraîne pas l’accès à cette zone.
Le pare-feu doit autoriser l’accès à DMZ2 à partir de DMZ1 uniquement sur les ports requis . De plus, DMZ2 peut avoir un accès limité à la zone interne pour certains cas spéciaux, comme l’accès à un serveur de gestion interne, pour la sauvegarde et l’authentification Active Directory.
Zone de sécurité interne
Cette zone héberge généralement les postes de travail des utilisateurs internes et d’autres serveurs importants tels que les serveurs de fichiers, les serveurs Active Directory, les bases de données internes, les applications spécialisées (ERP, logiciels comptables), etc.
Le pare-feu ne doit pas permettre un accès direct depuis Internet vers ce réseau interne. De plus, le trafic web sortant des utilisateurs de ce réseau peut utiliser un serveur proxy HTTP situé dans DMZ1 pour accéder à Internet.
Il existe d’innombrables topologies de périmètre de réseau qui peuvent être mises en œuvre par les entreprises pour s’assurer de leur bon fonctionnement. L’exemple ci-dessus est une proposition de segmentation de zone de pare-feu que vous pouvez utiliser pour atteindre une sécurité réseau solide pour votre entreprise.
Comment fonctionnent les zones démilitarisées ?
Les DMZ constituent une sorte de zone tampon entre le réseau de votre entreprise et l’Internet public. En déployant une DMZ entre deux pare-feu, vous pouvez garantir que tous les paquets réseau entrants sont filtrés par le biais d’un pare-feu ou d’un autre dispositif de sécurité avant d’arriver sur les serveurs hébergés.
Si un pirate informatique parvient à passer à travers le premier pare-feu et que vous en utilisez deux, il ne pourra pas obtenir un accès non autorisé à vos ressources et services pour faire des dégâts. De plus, ces systèmes peuvent encore être renforcés contre les éventuelles attaques lancées via le web.
Supposons qu’un pirate possède des ressources suffisantes pour franchir le pare-feu externe. Il pourra donc prendre en charge un système hébergé dans la DMZ1. Pourtant, il doit encore contourner le pare-feu interne avant pour avoir accès aux données sensibles de votre entreprise. Lorsqu’il tentera de contourner la DMZ2, cela devrait déclencher des alarmes. Ainsi, votre équipe informatique pourra avoir suffisamment d’avertissements pour éviter une attaque contre votre organisation.
Plus votre réseau est grand, plus il est difficile à protéger
Si vous disposez d’un grand réseau non segmenté, sachez qu’il présente une grande surface d’attaque, plus de failles et de vulnérabilités. Pourquoi ? Simplement parce que tout le trafic et les applications peuvent accéder à l’ensemble du réseau. Lorsqu’un pirate informatique parvient à faire cela, il pourra accéder à vos données critiques.
L’autre chose que vous devez savoir est qu’un grand réseau est plus difficile à contrôler et à surveiller. La segmentation est donc une excellente solution pour limiter la capacité d’un attaquant de s’introduire dans votre réseau et pour l’empêcher de se déplacer latéralement entre les zones de sécurité.
Le terme zone de sécurité fait référence à un groupe d’une ou plusieurs interfaces de pare-feu virtuels ou physiques où les segments de réseau sont connectés à des interfaces. Le but est de contrôler chacune des zones pour qu’elles reçoivent les protections spécifiques dont elles ont besoin.
Chaque fois qu’il existe une fonctionnalité spécifique que vous devez protéger, il est important de créer des privilèges d’accès pour certains utilisateurs. Ainsi, vous pouvez ne donner l’accès au réseau qu’aux utilisateurs, aux applications et aux appareils concernés ou refuser tout autre trafic.
La DMZ est-elle encore d’actualité ?
Si la DMZ était auparavant indispensable pour toute entreprise connectée à Internet, de nombreuses organisations pensent que le cloud a rendu cette technique inutile.
Bien entendu, de nombreuses entreprises choisissent actuellement d’héberger leurs propres serveurs web et déploient des applications Software-as-a-Service. Pourtant, le fait de mettre en place une zone démilitarisée pour se protéger des attaques en ligne, en séparant les données critiques du reste de votre réseau, se présente encore comme une stratégie de sécurité efficace.
Les DMZ ont joué un rôle important dans la sécurisation des réseaux d’entreprise, et ce, depuis que les pare-feu ont été utilisés. Elles vous permettent de protéger les systèmes et ressources sensibles de votre entreprise. Mais le principal avantage de l’utilisation des DMZ est de fournir l’accès aux services Internet à partir de l’Internet public, et ce, de façon sécurisée.
Les réseaux DMZ permettent également d’isoler et de séparer certains systèmes sensibles des réseaux internes, et surtout de réduire et de contrôler l’accès à ces systèmes depuis l’extérieur de votre entreprise.
Les menaces en ligne
Quelle que soit l’architecture réseau que vous mettez en place vos serveurs, routeurs, PC, systèmes de stockage, etc. sont toujours vulnérables à un certain niveau, et ce, pour différentes raisons.
D’abord, vous devez savoir que les cybercriminels ne cessent de chercher les nouvelles vulnérabilités, que ce soit sur vos réseaux sociaux, votre service de messagerie instantanée, ou votre réseau sans fil.
Ensuite, les politiques de sécurité de nos jours sont souvent complexes à mettre en place puisqu’elles doivent opérer simultanément sur tout le réseau pour de nombreux utilisateurs.
Enfin, les employés adoptent de plus en plus des comportements qui permettent aux pirates informatiques de mener de nouvelles attaques.
Les menaces cybercriminelles peuvent être classées en quatre grandes catégories.
La technique d’intrusion
Lorsqu’un pirate utilise cette technique, il va tenter de s’introduire sur votre réseau informatique dans le but de voler ou de modifier vos données.
Les techniques les plus simples reposent sur l’intervention de vos employés, soit par intrusion, soit par le vol d’équipements comme les ordinateurs portables. Quant aux attaques les plus sophistiquées, elles font appel à des techniques d’interception des rayonnements émis par certains équipements ou via l’écoute des flux d’information entre deux appareils.
Quoi qu’il en soit, le principe consiste à s’introduire sur vos systèmes d’information via vos systèmes informatiques. Pour ce faire, les pirates utilisent souvent le téléchargement d’un cheval de Troie (un programme informatique qui comporte une fonctionnalité cachée, dont l’attaquant seul connaît) qui lui permet de prendre le contrôle de votre ordinateur s’il est compromis. Ensuite, il pourra utiliser votre appareil à votre insu.
À la différence des virus qui sont lancés à très grande échelle via Internet, les chevaux de Troie visent souvent des victimes bien ciblées et ils ne sont pas souvent détectés automatiquement par les solutions antivirus. De plus, ils peuvent s’installer durablement sur la machine compromise.
Les dénis de service (DOS et DDOS)
Le but d’une attaque utilisant les dénis de service est d’empêcher une application ou d’un service que vous utilisez au sein de votre entreprise de fonctionner normalement.
Lors d’une attaque par déni de service, ou DoS (Denial of Service), les pirates tentent de perturber, ou de paralyser totalement le fonctionnement de votre serveur informatique en le bombardant de requêtes erronées. Leur but est d’affecter votre service en ligne ou votre réseau d’entreprise en saturant une des ressources de votre système, notamment la bande passante, votre espace de stockage ou encore ressources de calcul de vos processeurs.
La nouvelle variante de cette menace est déni de service distribué ou DDOS ou « Distributed Denial Of Service ». Le but reste le même, mais l’attaque DDOS ne vise pas une seule machine. En fait, les pirates s’attaquent à de nombreux appareils qui deviendront des « botnet ». Cela leur permet de les contrôler facilement et à distance.
À noter qu’un botnet peut compter jusqu’à plusieurs milliers d’ordinateurs dont les utilisateurs ignorent tout de l’infection dont ils sont victimes.
Actuellement, l’une des pratiques les plus répandues consiste à louer un botnet dans le but de perpétrer une attaque. Pour quelques euros de l’heure, on trouve facilement ce genre d’outils sur le dark web.
Le phishing
Il s’agit d’une technique dont le but est d’inciter un ou plusieurs employés à réaliser une action, notamment de cliquer sur un lien qui pointe vers un site malveillant ou d’ouvrir une pièce jointe malveillante qui permettra aux pirates de voler des données sensibles ou de télécharger des malwares.
La technique du phishing utilise l’ingénierie sociale. Elle consiste à exploiter non pas une faille informatique, mais les vulnérabilités de vos employés en les dupant par le biais d’un e-mail qui semble provenir d’une entreprise de confiance, notamment une banque ou un site e-commerce.
Le message envoyé par les pirates usurpe l’identité d’une enseigne connue et les invite à se connecter en ligne via un lien hypertexte et à mettre à jour des informations les concernant dans un formulaire d’une page web malveillante, copie conforme d’un site authentique, en prétextant par exemple la mise à jour d’un service, l’intervention du support technique, etc.
Les adresses électroniques sont collectées par les pirates au hasard sur le web et le message a souvent peu de sens. Il est bien possible que la victime reconnaisse le message malveillant, mais avec la quantité des messages que les pirates envoient, il peut toujours arriver que le destinataire tombe dans le piège. Ainsi, ils peuvent obtenir les identifiants et les mots de passe de vos employés ainsi que leurs données personnelles ou bancaires. Ils pourront ainsi transférer directement l’argent sur leur compte ou obtenir ultérieurement les données nécessaires en utilisant intelligemment les données personnelles qu’ils ont collectées à des fins malveillantes.
Le spoofing
Ce type de menace est un peu basique. Les pirates tentent de falsifier une adresse IP pour que ses victimes pensent qu’un e-mail (par exemple) semble provenir d’une source fiable. Le pirate peut également exploiter les failles au niveau de votre protocole DNS pour rediriger vos employés vers des sites malveillants.
Le spoofing consiste à déguiser une communication provenant d’une source inconnue en communication provenant d’une source connue et fiable. Cela peut se faire via les emails, les appels téléphoniques et les sites web, ou peut être plus technique, comme l’usurpation d’une adresse IP, d’un serveur DNS (Domain Name System)ou d’un protocole de résolution d’adresse (ARP).
Les pirates peuvent utiliser l’usurpation d’adresse pour accéder à vos informations personnelles ; pour diffuser des malwares par le biais de liens ou de pièces jointes infectées ou pour contourner les contrôles d’accès au réseau et redistribuer le trafic pour mener une attaque par déni de service. Le spoofing est souvent le moyen par lequel un cybercriminel obtient l’accès afin d’exécuter une cyberattaque plus importante comme une menace persistante avancée ou une attaque du type « man in the middle ».
Si une telle attaque est réussie contre votre organisation, cela peut entraîner l’infection de vos systèmes et réseaux informatiques, la violation de vos données sensibles et la perte de revenus, outre la perte de réputation de votre enseigne.
Faites appel à TitanHQ pour mieux sécuriser votre réseau
Quelle que soit la taille de votre entreprise, vous pouvez toujours adopter une stratégie pour contrer les menaces en ligne telles que l’accès à vos serveurs et à vos postes de travail ainsi que le vol de vos données sensibles.
L’une de ces solutions est de mettre en place un pare-feu matériel. Comme susmentionné, le pare-feu matériel est essentiel pour sécuriser vos biens numériques, à condition qu’il soit bien configuré.
Vous devez segmenter votre réseau et mettre en place des zones de sécurité de pare-feu. De cette manière, vous améliorerez la sécurité et garder votre réseau interne sécurisé contre les attaques lancées via le web.
N’oubliez pas que chaque entreprise dispose d’une structure de réseau bien définie, comprenant à la fois une zone de réseau interne et une zone de réseau externe qui n’est pas souvent sécurisée, et éventuellement des zones de sécurité intermédiaires, mais chaque zone a des exigences de sécurité presque similaires.
Autrement dit, il n’existe pas de configuration unique et idéale pour toutes les entreprises et pour tous les réseaux.
Si vous respectez les meilleures pratiques en matière de segmentation du réseau et si vous utilisez la segmentation des DMZ et de votre pare-feu, vous tirerez le meilleur parti de la sécurité du réseau.
Nous recommandons également de mettre en place une solution de filtrage web basée dans le cloud pour plus de sécurité. Vous pouvez par exemple opter pour WebTitan, un filtre web efficace qui peut empêcher vos employés d’accéder à des sites web connus pour héberger des malwares, conçus pour permettre aux pirates de mener des attaques de phishing ou de spoofing ; ou ceux qui enfreignent les politiques d’utilisation acceptable de l’Internet au sein de votre organisation.
Vous êtes un professionnel de l’informatique et vous voulez vous assurer que les données et les appareils sensibles de vos clients et de votre personnel sont protégés ? Contactez nos spécialistes dans le domaine. Vous pouvez aussi nous envoyer un courriel à info@titanhq.com pour toute autre question.
FAQ sur la segmentation réseau
Quel est le but ultime de la segmentation du réseau en utilisant la DMZ ?
Le principal objectif d’une DMZ est de permettre l’accès à vos ressources qui proviennent des réseaux non fiables, tout en maintenant la sécurité de votre réseau privé derrière un pare-feu.
Quelles sont les différentes ressources qui peuvent résider dans une DMZ ?
La zone DMS contient tous les services accessibles aux utilisateurs via un réseau externe. Ces ressources sont généralement les serveurs Web, les serveurs de messagerie, les serveurs VoIP, les serveurs FTP et le service DNS.
Est-il possible pour un utilisateur de contourner le pare-feu en utilisant la DMZ ?
La DMZ n’est pas conçue pour cela. Comme elle est située entre le pare-feu interne et le pare-feu Internet externe d’une entreprise, elle ne remplace pas le pare-feu ou les dispositifs de filtrage de contenus. Ainsi, un utilisateur ne pourra pas l’utiliser pour contourner le pare-feu. Elle est plutôt destinée à fonctionner avec les mécanismes de sécurité existants et surtout à les étendre. Pour plus de sécurité, il est recommandé d’utiliser deux pare-feux développés par deux fournisseurs.
Qu’est-ce qu’un serveur DMZ ?
C’est un serveur hébergé dans la DMZ et qui est souvent utilisé pour externaliser des ressources vers un réseau public, à savoir l’Internet. En déployant un serveur DMZ, vous bénéficierez d’un niveau de protection supplémentaire, car vous pourrez restreindre l’accès distant à vos serveurs et à vos informations sensibles, dont la violation pourrait être particulièrement préjudiciable.
La DMZ est-elle sûre ?
Aucune solution n’est fiable à 100 % pour contrer les menaces en ligne. Bien entendu, les DMZ constituent une couche de protection supplémentaire contre les attaques externes, mais elles ne peuvent pas vous protéger des attaques internes telles que le spoofing par e-mail ou le reniflage de paquets sur un réseau.
