Blog

6 astuces pour offrir un accès WiFi invité sécurisé

par Editeur | Avr 9, 2019 | Sécurité réseau

Depuis des années, les hôtels et cafés proposent déjà une connexion Wi-Fi gratuite à leurs clients.

Aujourd’hui, cette option est en train de devenir une offre de base pour les petits établissements qui souhaitent réaliser des avantages supplémentaires. Selon une étude réalisée en 2013, 80 % des clients estiment qu’ils sont plus enclins à acheter dans un magasin où une connexion Wi-Fi est disponible.

Chaque année, la distinction entre magasin physique et e-commerce devient de plus en plus confuse. Par exemple, Amazon vient d’annoncer cette semaine qu’il a ouvert un nouvel emplacement physique à Seattle, Washington. Pourtant, ce nouveau point de vente physique, dénommé Amazon Go, n’a pas de caisses.

Les consommateurs doivent juste télécharger l’application Amazon Go pour scanner leur Smartphone à l’entrée du magasin. L’application, qui est associée à une carte de crédit, fait office de panier virtuel.

Des capteurs peuvent donc détecter et comptabiliser virtuellement les produits qu’ils ont pris ou reposés. Après cela, ils peuvent sortir directement du magasin, tandis que le paiement se fait automatiquement sur leur compte Amazon.

À noter que la marque prévoit d’ouvrir jusqu’à 2 000 magasins similaires dans tout le pays.

Ainsi, le géant mondial de la vente au détail en ligne est désormais en concurrence avec votre magasin physique. Vous pensez toujours que vous n’avez pas besoin de connexion Wi-Fi invité dans votre magasin pour sortir du lot ?

Toutefois, sachez que la mise en place d’un réseau Wi-Fi dédié aux invités entraîne de nombreux problèmes de sécurité. Non seulement il faut protéger le réseau interne de votre commerce contre les intrus qui peuvent le sonder, mais vous devez aussi protéger vos clients contre les logiciels malveillants classiques, l’infection d’un ordinateur par « drive-by download » et les attaques « homme du milieu » ou HDM.

Pour vous assurer que votre Wi-Fi constitue un avantage supplémentaire pour votre magasin, il faut donc redoubler de vigilance en matière de sécurité réseau.

Vous trouverez ci-dessous une liste de contrôle simple pour garantir une expérience Wi-Fi sécurisée et réussie à vos précieux clients

Que signifie le terme « Drive-by Download » ?

Le « Drive-by Download » est un malware qui s’installe automatiquement sur votre appareil lorsque vous consultez un e-mail ou un site malveillant.

Il n’existe pas encore une traduction française courante de ce terme et cela complexifie sa compréhension. En réalité, le « Drive-by Download » est basé sur l’expression « Drive-by » qui peut être traduite par le fait de passer devant quelque chose en voiture. Mais on peut aussi faire référence au « Drive-by shooting », qui se traduit par « tirer des coups de feu depuis une voiture ».

Un « Drive-by Download » peut être considéré comme le téléchargement soudain, dynamique et en mouvement d’un malware. Pour ce faire, les pirates tirent parti de la présence de logiciels ou de plug-in qui ne sont pas à jour et qui présentent des vulnérabilités.

Pour infecter un maximum d’internautes, les cybercriminels utilisent des kits d’exploitation qu’ils chargent sur des pages web. En d’autres termes, ils piratent des pages web dans le but d’insérer un code de redirection, et pour cela, ils ont recours à plusieurs méthodes comme le malvertising (publicités malveillantes) et les redirections malveillantes lorsqu’un internaute fait des recherches Google.

Pour ce dernier cas, les pirates utilisent des sites bidon avec des mots clés pertinents afin qu’ils puissent être retrouvés facilement sur Google. Lorsque l’internaute clique sur le lien, il charge le kit d’exploitation sur son appareil.

Bien entendu, les pirates peuvent combiner ces deux méthodes, en piratant des sites web tout en proposant des publicités malveillantes.

Mettre en place le Wi-Fi invité est une opération facile

Configurer un réseau WiFi invité est plus facile qu’il n’y paraît. Vous n’avez pas besoin de poser un câble supplémentaire ou de payer votre fournisseur d’accès Internet. Votre routeur Wi-Fi vous permet de mettre en place un réseau supplémentaire pour vos employés, clients, etc.

il vous suffit d’aller dans les paramètres et d’activer l’option Wi-Fi invité. D’abord, vous devez saisir l’adresse IP de votre routeur dans la barre d’adresse URL de votre navigateur. Cette adresse se présente généralement sous la forme de 192.168.0.1 ou 192.168.1.1, mais pas toujours. Elle est souvent indiquée dans le manuel d’utilisation de votre routeur.

Ensuite, lorsqu’une boîte de dialogue s’ouvre, vous devez entrer votre nom d’utilisateur et votre mot de passe en tant qu’administrateur. Si vous n’avez jamais modifié ces deux informations, vous les trouverez dans le contrat de votre fournisseur d’accès Internet, ou bien dans le manuel. Pour plus de sécurité, il est toutefois recommandé de les modifier et d’utiliser un gestionnaire de mots de passe pour ne pas les oublier.

Dans les paramètres du routeur, vous activez l’option « Autoriser l’accès invité » ou « Réseau invité » qui se trouve dans la section Wi-Fi. Si vous utilisez un ancien routeur, il se peut que l’option permettant de mettre en place un réseau invité n’existe pas.

Après avoir coché la case correspondante, vous ajoutez le nom du réseau invité. Ce nom s’appelle SSID dans le panneau de contrôle de certains routeurs. C’est le nom que les utilisateurs finaux verront dans la liste des connexions disponibles.

Sur certains routeurs, l’accès Wi-Fi invité sera automatiquement activé ; mais pour d’autres, vous devrez procéder à des réglages supplémentaires. Dans tous les cas, vous devez toujours vous assurer qu’il est correctement configuré. Il convient de définir un mot de passe pour le nouveau réseau. Ainsi, seules les personnes qui connaissent le mot de passe pourront accéder à votre Wi-Fi.

Vous devez également définir le type de chiffrement pour que les informations transmises via le Wi-Fi ne puissent être interceptées par les pirates informatiques. Parmi les options disponibles, vous pouvez sélectionner WPA2 (WPA2-Personal ou WPA2-PSK). Il s’agit d’un algorithme fiable qui est pris en charge par tous les appareils sans fil modernes.

Assurez-vous de désactiver la case « Autoriser les invités à accéder aux ressources du réseau local ». Certains routeurs n’ont pas ce paramètre, mais s’il existe, décochez-le pour que les utilisateurs ne puissent voir vos fichiers et d’autres informations stockées sur vos serveurs. Certains routeurs peuvent aussi disposer d’une case à cocher « Isoler » qui permet d’isoler le réseau invité de votre réseau local. Si cette option existe, sélectionnez-la. Maintenant, vous pouvez fournir un réseau Wi-Fi invité et sécurisé aux utilisateurs finaux.

La sécurisation du WiFi invité est importante pour les entreprises

Que vous exploitiez un établissement financier, un commerce ou une société de marketing, l’accès Internet Wi-Fi est quelque chose qui est attendu par les clients. Vous devez cependant vous assurer que votre réseau Wi-Fi invité est bien sécurisé pour vous protéger ainsi que vos visiteurs.

Rappelez-vous que, plus la qualité de la connexion sans fil est bonne, meilleure sera la satisfaction des utilisateurs. Pour le personnel, cela se traduit par une productivité accrue et pour les invités, cela signifie une plus grande facilité d’utilisation et d’accès à Internet, ce qui est essentiel dans le monde actuel.

Cependant, l’accès à votre réseau sans fil comporte certains risques. Avec les bonnes compétences, un pirate informatique peut voir tous les périphériques qui y sont connectés, ce qui signifie qu’il peut pirater votre appareil et installer des malwares, des virus, ou même voler des informations personnelles concernant les utilisateurs.

Les personnes qui peuvent se connecter à votre réseau sans fil peuvent être en mesure de faire ce qui suit :

• Visualiser tous les fichiers sur votre ordinateur ou portable et répandre un virus.
• Surveiller tous les sites web que vous visitez, copier vos noms d’utilisateur et vos mots de passe et lire tous vos courriels lorsque vous les consultez sur le réseau.
• Ralentir votre ordinateur ou tout autre périphérique connecté ainsi que la vitesse de la connexion Internet.
• Envoyer des spams et/ou effectuer des activités illégales en utilisant votre connexion Internet.

Types d’attaques sur les réseaux Wifi

Les attaques ciblant les réseaux sans fil peuvent être menées via différentes méthodes et vous devez vous en soucier. Certaines méthodes consistent à piéger ou duper les utilisateurs, tandis que d’autres utilisent la force brute. D’autres ciblent les entreprises qui ne prennent pas la peine de sécuriser leur réseau.

Plusieurs de ces attaques sont entrelacées les unes avec les autres dans le monde réel. En voici quelques-unes que vous pourriez rencontrer :

Reniflement de paquets (Packet sniffing)

Lorsque l’information est envoyée dans les deux sens sur un réseau dans ce que nous appelons des paquets. Comme le trafic sans fil est envoyé par voie hertzienne, il est très facile à capturer. Beaucoup de trafic (FTP, HTTP, SNMP, etc.) est envoyé en clair, ce qui signifie qu’il n’y a pas de chiffrement et les fichiers peuvent être lus en texte clair par n’importe quel utilisateur, en utilisation un outil comme Wireshark. Cela permet à des pirates de voler des mots de passe ou de profiter des fuites d’informations sensibles assez facilement. Les données chiffrées peuvent également être capturées. Par contre, il est beaucoup plus difficile pour les pirates de déchiffrer les paquets de données chiffrés.

Rogue Access Point

Lorsqu’un point d’accès non autorisé (PA) apparaît sur un réseau, il est considéré comme un « Rogue Access Point ». Celles-ci peuvent provenir d’un employé qui est mal informé ou d’une personne mal intentionnée. Ces PA représentent une vulnérabilité pour le réseau parce qu’ils le laissent ouvert à une variété d’attaques. Les pirates peuvent analyser ces vulnérabilités pour la mener des attaques, capturer de paquets ou lancer des attaques par déni de service.

Vol de mot de passe

Lorsque vous communiquez sur des réseaux sans fil, pensez à la fréquence à laquelle vous vous connectez à un site Web. Vous envoyez des mots de passe sur le réseau, et si le site n’utilise pas les protocoles SSL ou TLS, les mots de passe des utilisateurs sont affichés en texte clair et les pirates informatiques peuvent les lire facilement. Il existe même des moyens de contourner ces méthodes de chiffrement pour voler des mots de passe, à l’exemple de l’attaque appelée Man in the Middle.

L’attaque Man in the Middle

Il est possible pour les pirates de tromper les dispositifs de communication pour qu’ils envoient des donnés vers le dispositif utilisé par l’attaquant. Pour le cas de l’attaque Man in the Middle, ils peuvent enregistrer le trafic pour le visualiser plus tard (comme dans le reniflage de paquets) et même modifier le contenu des fichiers. Différents types de malwares peuvent alors être insérés dans ces paquets. Les contenus des e-mails envoyés via le réseau peuvent également être modifiés et le trafic peut être interrompu, ce qui entraîne le blocage de la communication.

Brouillage du réseau

Il existe plusieurs façons de brouiller un réseau sans fil. Une méthode consiste à inonder un PA avec des trames de désauthentification. Cela a pour effet de submerger le réseau et d’empêcher les transmissions légitimes de passer. Cette attaque est un peu inhabituelle, car le pirate n’a rien aucune raison de le faire.

Pourtant, l’un des rares exemples de la façon dont cela pourrait profiter à quelqu’un est lorsqu’une entreprise souhaite brouiller la connexion Wi-Fi de ses concurrents. C’est tout à fait illégal (comme toutes les attaques susmentionnées), c’est-à-dire que si l’entreprise se faisait prendre, elle ferait face à de graves accusations.

Conduite de guerre

La conduite de guerre vient d’un vieux terme appelé numérotation de guerre, où les gens composaient des numéros de téléphone au hasard à la recherche de modems. La conduite de guerre tente d’utiliser des PA vulnérables pour pouvoir les attaquer. Certains cybercriminels pourraient même faire appel à des drones pour essayer de pirater les PA des étages supérieurs d’un immeuble, par exemple. En effet, une entreprise qui possède plusieurs étages suppose souvent qu’aucune personne tierce n’est à portée pour pirater son réseau sans fil, mais bien évidemment, la créativité des pirates n’a pas de limite.

Attaques WEP/WPA

Les attaques ciblant les routeurs sans fil peuvent constituer un énorme problème. Les anciennes normes de chiffrement sont extrêmement vulnérables, et il est assez facile pour les pirates d’obtenir le code d’accès dans ce cas. Une fois que quelqu’un parvient à s’introduire dans votre réseau sans fil, vous avez perdu une couche importante de sécurité. Les PA et les routeurs cachent votre adresse IP en utilisant la traduction d’adresses réseau (à moins que vous n’utilisiez IPv6). Cela permet de cacher votre adresse IP privée à ceux qui ne font pas partie de votre sous-réseau et aide à empêcher les pirates de vous atteindre directement. Cela peut donc aider à prévenir les attaques, mais ne les arrête pas complètement.

Les spécificités d’un réseau Wi-Fi invité

Voici quelques choses à savoir à propos des réseaux Wi-Fi invité.

Obligations légales : lorsque vous mettez en place un réseau Wi-Fi ouvert au public, vous devez respect un certain nombre d’obligations légales. Elles sont définies par l’ARCEP, le RGPD et la CNIL, notamment en ce qui concerne l’enregistrement et la conservation des identifiants de connexion.

Authentification : sur un réseau Wifi, les utilisateurs sont généralement authentifiés via un portail captif. Ils peuvent donc avoir plusieurs accès différents en fonction de leur profil d’utilisateur. L’authentification se fait de plusieurs façons, telles que connexion par le biais des comptes de réseaux sociaux, la validation de conditions générales d’utilisation, l’authentification par envoi d’un e-mail ou encore la création d’un identifiant avec un mot de passe.

Portail personnalisable et multilingue : le portail captif est en quelque sorte la porte d’entrée d’un utilisateur sur un réseau Wi-Fi. C’est un passage obligatoire et peut constituer un vecteur de communication. A noter que le portail est souvent multilingue pour qu’il s’adapte facilement à la langue des différents utilisateurs.

Sécurisation : le Wi-Fi invité est un environnement spécifique, étant donné que l’utilisateur peut se connecter sur un réseau sans savoir quel est son niveau de sécurité. Les solutions Wi-Fi invité doivent donc assurer un cloisonnement entre les utilisateurs si vous voulez protéger la confidentialité des données.

6 Astuces pour un accès Wi-Fi invité sécurisé

1. Sécurisez tous vos périphériques réseau

Souvent, vous êtes trop occupé à sécuriser vos systèmes numériques. Pourtant, vous oubliez que tout doit commencer par la protection physique des périphériques physiques de votre réseau, des points d’accès sans fil aux routeurs, en passant par les commutateurs, etc.

Tout appareil doté d’un port Ethernet est vulnérable aux intrus, lesquels peuvent facilement brancher leur appareil et modifier vos configurations. Afin d’éviter cela, vos périphériques réseau doivent donc être conservés dans un endroit sûr tel qu’une armoire verrouillée.

Le cas échéant, assurez-vous que les points d’accès sans fil soient dissimulés au-dessus du plafond.

Par mesure de précaution supplémentaire, vous pouvez aussi configurer plusieurs adresses IP sur tous les ports Ethernet de vos appareils.

2. Séparez votre réseau interne du réseau invité

Il importe également de séparer votre réseau d’invités du réseau interne de votre magasin. Ceci empêche les intrus de naviguer et d’accéder à vos actifs réseau et à vos données confidentielles.

Vous pouvez le faire en installant un pare-feu réseau. Pour les grandes organisations qui nécessitent l’utilisation de commutateurs d’entreprise, un VLAN séparé doit être créé pour les points d’accès qui diffusent leur SSID.

Si votre pare-feu possède des fonctions de routage, vous aurez intérêt à router tout le trafic réseau du réseau invité directement vers Internet.

Enfin, vous devriez aussi protéger tous vos serveurs et vos ordinateurs à l’aide d’un pare-feu capable d’arrêter le trafic provenant du réseau invité.

3. Modifier les mots de passe par défaut et les SSID pour tous les périphériques réseau

Cela semble évident, mais sachez que certaines des importantes cyberattaques qui se sont produites ces derniers temps ont exploité ces moyens.

Autant donc modifier tous les mots de passe administrateur par défaut pour tous vos périphériques réseau. Il est également recommandé de changer le nom de votre SSID en un nom que vos clients peuvent facilement distinguer.

4. Soyez diligent dans la mise à jour du firmware de vos périphériques réseau

De nombreuses attaques auraient facilement pu être évitées en mettant à jour des micrologiciels installés dans vos périphériques réseau.

Ces mises à jour peuvent souvent corriger certaines failles qui peuvent être immédiatement exploitées par les cybercriminels, notamment par le biais d’une attaque « zero-day ». Prenez donc le temps de vérifier les mises à jour de tous vos appareils une fois tous les mois.

5. Assurez-vous que vos signaux sans fil sont chiffrés

Effectivement, il est plus facile de mettre en place un accès sans fil ouvert et de permettre au grand public d’accéder à votre réseau. Cependant, comme beaucoup de choses dans la vie, la façon la plus simple ne signifie pas nécessairement que c’est la meilleure façon.

En effet, vos clients peuvent apprécier la facilité d’accès à votre réseau sans fil, mais cela rend également leurs sessions plus vulnérables aux tentatives d’intrusion et de piratage informatiques.

Pour éviter cela, vous pouvez sécuriser votre réseau sans fil à l’aide du chiffrement WPA2. Ensuite, vous affichez fièrement le nom des invités auquel vous avez attribué un mot de passe et un SSID. Ainsi, vos clients peuvent facilement reconnaître les intrus au cas où ils tenteraient d’accéder à votre réseau.

6. Offrir une expérience de navigation sûre

De nos jours, si vous fournissez des services Internet à vos clients, vous devez également fournir un filtrage de contenu.

Bien entendu, vous ne voulez tout de même pas que votre magasin devienne l’endroit où les mineurs se viennent pour accéder facilement à des sites dangereux, indésirables ou réservés aux adultes. Dans la foulée, vous pourrez protéger vos clients des sites susceptibles de diffuser des logiciels malveillants (malwares).

Pour ce faire, vous pouvez vous mettre en place une solution de filtrage web dans le cloud. Celle-ci vous évite l’installation et les configurations d’équipements supplémentaires ainsi que la gestion de leurs mises à jour.

Les avantages de WebTitan Cloud pour Wi-Fi

WebTitan Cloud pour Wi-Fi est une plate-forme multi-utilisateurs. Vous pouvez créer de nouveaux clients et comptes facilement et gérer un nombre illimité d’emplacements à partir d’un seul compte. Vous pouvez également déléguer l’administration au client s’il le souhaite. Ainsi, il peut dicter la politique qu’elle veut, c’est-à-dire définir ce que ses invités peuvent voir. Cela peut être configuré en quelques minutes et est géré à partir d’une interface web intuitive. Pour ce faire, vous n’avez pas besoin d’installer un logiciel local.

Cette solution utilise également des API multiples qui permettent l’intégration avec votre système de facturation, votre système d’approvisionnement automatique ou la surveillance. La possibilité d’uniformiser l’ensemble de ces systèmes rend WebTitan Cloud pour Wi-Fi  très facile à utiliser.

En termes de sécurité, WebTitan Cloud pour Wi-Fi permet à l’administrateur de définir des alertes instantanées qui lui permettent de découvrir en temps réel les personnes qui essaient de voir un contenu particulier. Ils peuvent savoir exactement à quels contenus les clients accèdent via votre réseau Wi-Fi. Par ailleurs, cette solution permet de mettre en place des politiques d’utilisation par emplacement pour empêcher les utilisateurs d’accéder à des contenus indésirables et pour bloquer les sites web malveillants.

Pour finir, sachez que WebTitan Cloud simplifie la gestion de la sécurité de votre connexion Wi-Fi. Cette solution prend en charge toutes les complexités du filtrage de contenu et de la sécurité, tout en offrant à vos clients une interface conviviale, dont l’utilisation ne requiert aucune formation particulière. De plus, elle est facile à gérer et totalement évolutif.

Vous êtes propriétaire d’un hôtel et vous souhaitez en savoir plus sur les avantages offerts par le filtrage Wi-Fi ? Adressez-vous à nos spécialistes ou écrivez-nous à info@titanhq.com pour toutes questions.

Quel futur pour le rôle d’administrateur système ?

par Editeur | Avr 8, 2019 | Sécurité réseau

Les administrateurs système (AS) sont un élément clé d’une infrastructure solide dans tout environnement informatique, en particulier lorsqu’il s’agit de sécurité réseau.

Qu’il s’agisse de prévenir les menaces, de mettre en œuvre la politique informatique ou de collaborer avec les fournisseurs de technologie, c’est l’AS qui contribue à protéger l’intégrité et la sécurité de l’environnement informatique.

Son rôle implique donc un panel de tâches intimidantes, un besoin constant de mettre à jour ses connaissances au fur et à mesure que la technologie progresse, sans compter les longues heures qu’il devra consacrer pour les mettre en œuvre.

De plus, d’aucuns prédisent encore d’énormes changements dans la nature de leur travail. De nos jours, un AS est obligé de comprendre les exigences changeantes de l’industrie. C’est aussi le cas des personnes qui aspirent à devenir plus tard des AS ou des ingénieurs réseau.

Le métier d’administrateur système connaîtra plus de croissance que les autres

Un administrateur système a pour rôle de créer, d’installer et de maintenir les réseaux informatiques d’une entreprise ou d’une organisation. Il lui incombe de concevoir le réseau informatique en fonction des besoins de l’entreprise et de procéder ensuite à sa mise en place, d’installer tout le matériel et les logiciels nécessaires. Il supervise les mises à niveau et les réparations.

Un administrateur système est également chargé de la sécurité du réseau et fournit un support aux employés de son entreprise. Il recueille les données nécessaires pour évaluer le réseau, et décide de ce qui devrait y être ajouté ou ce qui devrait être modifié pour que le parc informatique fonctionne mieux et plus rapidement. En outre, il s’occupe de la gestion des serveurs et s’assure que tous les systèmes de stockage des fichiers et des données de messagerie électronique fonctionnent correctement.

L’administrateur système peut travailler dans presque tous les secteurs d’activité qui nécessitent la mise en place de serveurs informatiques. Comme nous sommes à l’ère du numérique, où internet est devenu indispensable pour assurer le bon fonctionnement de toutes les entreprises, cela démontre que les administrateurs système seront de plus en plus sollicités et que leur activité sera très lucrative. Et sachez que même les stagiaires pourront profiter de la situation. Ils pourront non seulement gagner davantage en tant qu’administrateurs, mais ils auront aussi de meilleures chances d’obtenir et de conserver leur emploi.

L’US Bureau of Labor Statistics (BLS) prévoit une croissance de 12 % pour le métier d’administrateurs de réseaux et de systèmes informatiques jusqu’en 2020. Il s’agit d’un taux de croissance moyen sur l’ensemble des métiers de la BLS. À noter que ce taux a baissé, comparé à celui du rapport précédent.

Pour reprendre l’expression du directeur informatique Donald Roper : « Si, pendant des années, il suffisait d’obtenir une certification MCAS pour décrocher un emploi d’administrateur système, aujourd’hui il faut avoir plusieurs cordes à son arc pour en obtenir un. »

Tout bon administrateur système a toujours été un touche-à-tout et ils s’efforçaient constamment d’être à l’affût des nouvelles technologies. La différence aujourd’hui, c’est l’omniprésence de l’informatique qui est devenue un service essentiel. Les réseaux continueront à se développer et les technologies de l’information en général deviendront plus complexes.

Heureusement, la formation est plus que jamais disponible sur les sites internet et les plates-formes d’apprentissage en ligne comme Udemy.

Par ailleurs, les réseaux sociaux et les forums informatiques permettent actuellement aux AS de rester plus facilement en contact avec leurs collègues dans le but d’échanger leurs connaissances et expériences.

La valeur des certifications informatiques : l’expérience l’emporte toujours sur la certification !

Bien que les administrateurs système possèdent des compétences spécifiques liées à certains domaines, la plupart d’entre eux n’ont pas encore les compétences et l’expérience nécessaires pour sécuriser le paysage moderne des menaces qui sont en constante évolution. En réalité, seul un petit pourcentage des professionnels de l’informatique en cybersécurité possède des compétences et l’expérience qui leur permettent d’assumer leurs responsabilités d’architecte du cloud, par exemple.

Il existe des rapports contradictoires entre la valeur des certifications et l’obtention ou le maintien d’un poste d’AS.

Sachez qu’il est dans l’intérêt de l’industrie de la certification de souligner l’importance des certificats. Si vous n’avez pas d’expérience sur le terrain dans le domaine des technologies, un certificat pertinent peut au moins faire passer votre CV au-delà de la phase de vérification automatique des mots.

Quoi qu’il en soit, l’expérience l’emporte toujours sur la certification, car il est bien logique de devenir certifié du moment que vous connaissez la technologie.

Certaines entreprises peuvent exiger une compétence formelle dans un domaine de l’informatique, car la formation et les certifications peuvent renforcer les chances qu’un candidat soit recruté. Mais l’expérience pratique est aussi un élément essentiel. En fait, un nombre important d’administrateurs système n’ont pas de formation officielle, mais ils ont plutôt appris sur le tas.

L’accent mis sur les compétences et l’expérience, plutôt que sur une éducation formelle n’est pas unique aux administrateurs système ou à l’industrie informatique. Comme leur rôle évolue et change constamment, l’éducation qui entoure l’administration et la sécurité des systèmes n’est pas souvent suffisante pour que les administrateurs système puissent suivre le rythme. Par conséquent, il est essentiel pour eux d’avoir une expérience pratique s’ils veulent réussir.

Même avec une formation formelle, l’apprentissage pendant les périodes où ils travaillent au sein de leur entreprise est essentiel à leur réussite. La raison est que les cours collégiaux ne couvrent pas l’ensemble des tâches d’administration des systèmes. Ils doivent être complétés par la formation professionnelle. En effet, tous les administrateurs système apprennent sur le tas, quelle que soit la formation qu’ils ont reçue auparavant pour combler les éventuelles lacunes.

Quelles sont les technologies importantes ?

Les AS et les personnes qui aspirent à le devenir devraient se familiariser avec les technologies suivantes :

• L’automatisation des tâches d’administration système
• Le Cloud et le logiciel en tant que service ou SaaS, incluant l’archivage, le filtrage du spam, le CRM, et bien plus encore
• La virtualisation
• La technologie Voix sur IP (VoIP)

Le rôle d’un administrateur système se diversifie. Il peut être un ingénieur système, un ingénieur d’application, un ingénieur de développement, un ingénieur de développement, un ingénieur de virtualisation, un ingénieur de mise en production, etc.

Étant donné que le cloud computing et la virtualisation ne cesse de prendre de l’ampleur, l’ingénierie de l’infrastructure doit être gérée de manière à utiliser des outils d’automatisation. De plus, le développement de l’informatique est omniprésent et l’analyse des données ainsi que les applications doivent être mises à l’échelle verticalement et horizontalement dans les centres de données. La plupart de plates-formes utilisées pour cela sont généralement conçues par des administrateurs système.

L’avènement du cloud a changé le rôle traditionnel des AS. Ils sont devenus des ingénieurs spécialisés dans le cloud, mais la conception de l’infrastructure et les services de base du système tels que le serveur de messagerie, le DHCP et le DNS restent les mêmes. D’autres AS se sont spécialisés dans la cybersécurité. Tout ceci signifie que le rôle de l’AS évolue, se diversifie et s’oriente vers la programmation des systèmes, vers l’ingénierie dans le cloud et vers l’ingénierie des infrastructures et l’ingénierie des performances.

Les avantages de l’automatisation des tâches de l’AS

L’automatisation permet à certains AS et ingénieurs réseau de diriger des réseaux de grande envergure et plus complexes.

Pour vous donner une petite idée, il lui sera difficile de combiner les messages système d’un réseau de 1000 appareils sans avoir un service centralisé de journalisation.

Toutefois, il faut dire que l’automatisation peut aussi rendre le travail de l’AS plus difficile. Par exemple, lorsque vous voyez un X rouge d’un périphérique dans votre tableau de bord de gestion de réseau, cela pourrait indiquer un problème avec l’un ou l’autre des éléments suivants :

• Le logiciel de gestion de réseau lui-même
• L’appareil hébergeant le tableau de bord
• Le protocole de découverte
• Le routage
• Le câble reliant l’appareil au réseau
• L’appareil qui affiche le X rouge

L’automatisation a donc introduit trois niveaux supplémentaires d’abstraction (les trois premiers points susmentionnés) entre vous et le périphérique susceptible de présenter un problème. Ceci nécessite donc une formation sur d’autres technologies et rend le dépannage plus difficile sur une base quotidienne.

Cela signifie-t-il que l’automatisation est une mauvaise chose ? La réponse est « Non », mais vous (et votre direction) devez toutefois être conscient que cela entraîne des coûts cachés.

Le cloud et le service XaaS se développent

La sauvegarde et l’archivage dans le cloud ont considérablement réduit les opérations de routine de gestion des données qui exigeait beaucoup de personnel auparavant. L’utilisation du Cloud et du service Xaas (Everything as a Service) peut libérer l’AS de nombreuses tâches centrées sur le serveur.

Philip Kizer, président de la Ligue des administrateurs système professionnels (LOPSA), estime que l’informatique dans le cloud rend le rôle de l’AS plus important.

Grâce à cela, il peut défendre les intérêts de l’entreprise et filtrer les services externes qui ne répondent pas à ses besoins. Sans un AS expérimenté, les entreprises sont à la merci des fournisseurs de services, avec leurs nombreux arguments commerciaux ». Bien entendu, pour que ce soit le cas, il faut que l’AS comprenne non seulement la technologie informatique, mais aussi les besoins réels de l’entreprise.

Virtualisation et VoIP

La virtualisation ajoute d’autres niveaux d’abstraction et crée un enchevêtrement de réseaux virtuels. Cela signifie qu’un AS devrait connaître le routage et la commutation à un niveau plus avancé qu’auparavant.

Vous n’êtes pas sans savoir que la virtualisation et le cloud computing sont à la mode en ce moment, et les AS sont les heureux élus pour administrer ces technologies émergentes. Ils ont encore la chance de survivre dans ce domaine s’ils parviennent à combiner leurs compétences existantes avec les nouvelles compétences du futur.

Le VoIP, ou « Voice over Internet Protocol », est par exemple une technologie très en vogue depuis une dizaine d’années. Cette technologie permet de transmettre à la fois le son et le texte à travers un réseau informatique. Mais son principal avantage est qu’elle est économique et peut être développée pour une intercommunication de qualité entre les employés d’une organisation. Le concept consiste à mettre en œuvre le streaming audio, mais cela présente aussi des failles de sécurité lors d’une communication entre deux ou plusieurs personnes.

Comprendre la dynamique de la charge dans le réseau est essentiel si l’AS veut réussir la mise en œuvre et de la VoIP. En effet, n’oubliez pas que les utilisateurs d’aujourd’hui ne tolèrent pas les temps d’indisponibilité de la voix sur IP, car ils se sont habitués aux réseaux de téléphonie traditionnels qui avaient une disponibilité dite à cinq « neuf », c’est-à-dire des réseaux qui fonctionnaient 99,999 % du temps. Ainsi, le rôle de l’AS ne se limite plus à la mise en œuvre de la VoIP, c’est-à-dire à permettre une communication efficace, mais aussi à contrer les éventuelles menaces cybercriminelles qui en découlent.

Compétences et qualités dont un AS a besoin pour réussir

Jusqu’à présent, nous avons discuté des technologies. Mais qu’en est-il des compétences et qualités que doit avoir un AS ?

Selon l’« IS 2010 Curriculum Guidelines », une étude conjointe de l’Association for Computing Machinery (ACM) et de l’Association for Information Systems (AIS), le succès en informatique requiert les « connaissances et compétences fondamentales » suivantes :

• Leadership et collaboration
• Communication
• Négociation
• Pensée analytique et critique
• Créativité
• Mathématiques

Au-delà d’une éducation formelle, les AS qualifiés devraient aussi posséder d’autres aptitudes, notamment des compétences en matière d’analyse, de communication et de résolution des éventuels problèmes. Contrairement à d’autres postes informatiques, celui des AS va de la communication à la résolution des problèmes avec leurs collègues, tant à l’intérieur qu’à l’extérieur du département informatique.

Par ailleurs, l’AS doit être en mesure de former ses collaborateurs, y compris ceux qui ne travaillent pas dans le domaine de l’informatique. C’est pour cette raison qu’il doit posséder d’excellentes compétences en matière de communication. Cela dit, le travail d’un AS ne consiste plus à rester assis seul à son bureau toute la journée devant son écran ou à feuilleter des manuels. Il doit également être capable de comprendre l’entreprise et être coopératif.

Cela explique en partie pourquoi de nombreuses entreprises de technologie recrutent des apprentis.

Avant l’introduction et la généralisation des technologies décrites ci-dessus, un AS pouvait débuter sa carrière en tant opérateur auxiliaire et apprendre les ficelles du métier au fur et à mesure qu’il gravit les échelons. Mais cette époque est révolue. Si vous consultez les offres d’emploi d’AS de nos jours, la plupart exigent de 3 à 5 ans d’expérience dans le domaine.

Les défis des administrateurs système de la prochaine génération

Nous sommes désormais à l’ère du « Big Data » et les gestionnaires de centres de données sont contraints de faire plus avec un budget et des équipements réduits. Les réseaux des entreprises sont surchargés alors qu’un grand flux de données peut provenir des matériels utilisés par leurs employés, notamment ceux provenant des appareils IoT. Selon les chiffres fournis par McKinsey, la taille totale du marché de l’internet des objets passera à plus de 3,3 milliards d’euros en 2020, avec un taux de croissance annuel d’environ 32,6 %.

Les AS ont toujours fait partie du dépannage de matériels informatiques, de la mise en place des câbles réseau et de la surveillance des données. Aujourd’hui, ils doivent aussi gérer les nouvelles technologies qui n’existaient même pas il y a dix ans. Il leur incombe donc de gérer la connectivité des télétravailleurs, le BYOD, les réseaux informatiques de son entreprise, l’internet des objets, l’accès Wi-Fi, sans oublier la sécurité de tous ces points d’accès.

Ce qui a changé la donne, c’est que nous sommes de plus en plus dépendants envers les centres de données dans une société obsédée par le numérique. Ce qui signifie que l’AS sera toujours d’une grande utilité pour que les utilisateurs bénéficient d’un accès internet en continu, sans aucune défaillance du réseau et aucune faille de sécurité.

De nos jours, les AS doivent être à même de déplacer, de tester, d’administrer et surtout de sécuriser les données du réseau de manière optimale. Ces cadres peuvent être considérés comme l’un des maillons qui garantissent la réussite du plan stratégique de leur entreprise.

Comment gérer ces défis ?

La seule chose que les AS doivent retenir est que leur travail continue d’évoluer. Un serveur hôte sur site peut actuellement contenir plusieurs dizaines de serveurs virtuels, dont chacun nécessite des fonctions critiques pour plusieurs locataires différents. Une panne sur un matériel connecté à ce serveur hôte pourrait avoir des répercussions sur les résultats d’une entreprise et sur sa réputation.

De nombreuses entreprises utilisent actuellement les données elles-mêmes comme le cœur de leur activité. De nombreux centres de données ont été également conçus pour répondre à ces demandes. Ils adoptent des processeurs multi-cœurs très puissants, des BladeSystems – une plate-forme et une infrastructure et de gestion qui permet d’accélérer la prestation de services – et des interfaces à large bande passante.

De plus, l’administrateur réseau d’aujourd’hui doit faire face à toute une variété de réglementations telles que l’HIPAA, le RGPD, et bien d’autres. Tout cela ne fait que compliquer un rôle de l’AS qui est déjà difficile. Pour relever ces défis, il doit donc comprendre l’écosystème informatique et ajuster continuellement ses compétences.

Quelques moyens d’atténuer ces difficultés

Pour assurer le bon fonctionnement de leur entreprise, pour sécuriser les données des clients et employés, et pour se conformer aux réglementations en vigueur, les AS doivent :

• Élaborer des protocoles standards qui donnent des privilèges à chaque type d’utilisateurs et leurs rôles ;
• Concevoir des algorithmes d’apprentissage machine permettant de maximiser l’accessibilité et la sécurisation des données ou d’augmenter la capacité de stockage lorsque la demande est élevée ;
• Mettre en place une architecture à plusieurs niveaux pour les déploiements de serveurs plus importants et adopter l’archivage des données sur plusieurs sites et sur plusieurs formats ;
• Trouver des moyens de standardiser le centre de données dans le but de rationaliser le déploiement des matériels utilisés par les employés. Cela pourrait inclure des solutions telles que le filtrage DNS et l’utilisation de capteurs IoT.
• Mettre en place une équipe constituée de représentants du niveau de la suite C pour aligner les objectifs de l’entreprise avec les stratégies des centres de données ;
• Faire évoluer les structures de base afin d’y intégrer les nouvelles technologies et d’améliorer les performances et la fiabilité de leur entreprise.

Administrateurs réseau : les prévisions pour l’avenir

L’AS du futur se concentrera essentiellement sur la gestion de la bande passante et sur la connectivité Internet. Pour les entreprises, leurs réseaux se déplaceront de plus en plus vers le cloud. Cela rend la tâche des AS encore plus important, car un réseau trop saturé pourrait signifier un désastre. Par ailleurs, nul ne peut nier que le partage du trafic sera de plus en plus important à l’avenir. Ceci signifie que la sécurité constituera encore un élément essentiel qui va s’ajouter au rôle traditionnel des AS, qui seront chargés de rédiger les politiques de sécurité de l’entreprise et de prévenir les menaces sur le web.

Désormais, les entreprises sont même devenues de véritables centres de données. Les organisations qui ne parviennent pas à exploiter efficacement leurs données ne pourront pas faire face à la rude concurrence. Ce qui était autrefois la norme dans le centre de données est de nos jours changée en de nouveaux modèles. Les AS auront donc un important rôle à jouer dans le déploiement des nouvelles tendances technologiques et pour répondre aux besoins des entreprises qui sont très exigeantes en termes de bande passante et de sécurité web.

La sécurisation des données, une tâche critique pour les AS

Les administrateurs système sont responsables de la cybersécurité. Ils sont les mieux qualifiés en matière de protection des données, de détection des menaces, de réaction et de rétablissement en cas de sinistre.

Les responsabilités d’un administrateur en charge de la sécurité informatique peuvent varier en fonction de la taille de votre organisation.

S’il s’agit d’une petite entreprise, il peut être la personne qui mène la barque et qui se charge de tout, de la définition de la politique de sécurité à la gestion des aspects techniques de la sécurité, en passant par toutes les tâches qui se trouvent entre les deux.

Dans une grande entreprise, il peut assurer tout simplement le rôle du responsable de la sécurité informatique et ses activités sont plus restreintes.

Par exemple, l’administrateur système peut être tout simplement un responsable de la sécurité technique. Dans ce cas, il sera responsable des systèmes de sécurité, comme les pare-feu, la protection des données, la mise en œuvre des correctifs, le chiffrement des données, l’analyse des vulnérabilités, etc.

Pour une grande entreprise, l’administrateur peut aussi assurer la sécurité des programmes. Pour ce cas précis, il aura un rôle plus stratégique, notamment la gestion et l’atténuation des risques.

Souvent, ce professionnel participe à l’évaluation des risques concernant la gestion de données des fournisseurs ; à l’examen des contrats ou des conditions de service de ces derniers et il peut aider les équipes de votre entreprise pour qu’elle comprenne les risques en matière de cybercriminalité ; aux questions de confidentialité des données ; etc.

N’oubliez pas que les responsabilités d’un administrateur système qui est en charge de la sécurité informatique peuvent varier énormément en fonction de la taille de votre équipe et de votre secteur d’activité.

Neuf rôles stratégiques d’un administrateur système en termes de sécurité des données

• L’AS doit surveiller toutes les opérations et l’infrastructure de votre réseau informatique. Il peut faire cela seul ou en équipe. Dans les deux cas, son travail quotidien consiste à passer en revue les alertes et les journaux dans le but de surveiller l’infrastructure de votre organisation pour détecter les failles en matière de sécurité numérique.
• Il conserve tous les outils et technologies de sécurité. Cela peut également se faire de manière individuelle ou selon une responsabilité partagée.
• Il surveille le respect des politiques internes et externes. Le but est de faire en sorte que vos fournisseurs et vos employés comprennent vos politiques de gestion des risques en matière de cybersécurité et qu’ils opèrent dans ce cadre.
• Il surveille la conformité aux règlements. C’est très important, notamment s’il travaille dans un secteur très réglementé et qu’il doit traiter des informations comme les données de cartes de crédit, les données relatives aux soins de santé ou d’autres informations qui permettent d’identifier une personne.
• Il travaille avec les différents services de votre entreprise pour réduire les risques. Sur ce point, il sera probablement amené à travailler avec différents services de votre entreprise pour s’assurer que tout le monde soit sur la même longueur d’onde en termes de sécurisation des données.
• Il met en œuvre les nouvelles technologies. Par exemple, si votre organisation envisage de déployer une nouvelle technologie comme le système de paiement en ligne, il doit d’abord l’évaluer et participer à la mise en œuvre de tout contrôle qui peut réduire le risque de son fonctionnement.
• Il vérifie les politiques et les contrôles en permanence. La sécurisation des données est un processus circulaire et, en tant qu’administrateur système, il doit faire avancer ce processus. Cela signifie qu’il doit procéder régulièrement à des audits des politiques et des contrôles que vous mettez en place. Grâce à ces audits, vous pourrez indiquer s’il y a quelque chose à améliorer, à corriger ou à réparer rapidement.
• Il décrit en détail le programme de réponse aux incidents de sécurité. Chaque entreprise doit avoir un plan d’action bien défini et documenté qu’il faut mettre en place au cas où un incident de sécurité se produirait.
• En tant que responsable de la sécurité informatique, l’AS doit veiller à ce que tous les programmes informatiques soient testés à l’échelle de l’organisation et à ce que chaque responsable de haut niveau connaisse ses fonctions en cas d’incident.

Dans de nombreuses grandes organisations, l’administrateur système peut participer à l’information des membres du conseil d’administration en matière de cybersécurité, mais selon la taille et la maturité du programme de sécurité de votre entreprise, cette tâche peut incomber au responsable de la sécurité informatique ou de la cybersécurité.

Serez-vous prêts ?

Il est crucial de considérer votre profession comme une opportunité d’apprentissage tout au long de la vie. Si vous le faites, les possibilités sont infinies. Profitez d’une formation en ligne gratuite, élargissez votre réseau social, etc. Perfectionnez vos compétences en communication et vos compétences liées à la collaboration. Et par-dessus tout, apprenez sans cesse les technologies critiques.

Nous aimerions faciliter la vie de l’AS, qui est généralement surchargé de travail, en lui fournissant une liste pratique d’outils qui lui permettent de diagnostiquer les problèmes courants.

Découvrez donc notre boîte à outils qui se veut incontournable pour les administrateurs système. Vous y trouverez de nombreuses ressources qui vous seront utiles si jamais vous êtes victime d’un incident ou d’une brèche de sécurité.

Ces outils vous guideront également dans la préparation aux sinistres et dans la récupération de vos données après sinistre.

Conclusion

Dans ce dossier, nous avons bien défini les tâches les plus importantes dont un administrateur système est responsable, mais son rôle va bien au-delà de ces fonctions.

Par exemple, l’AS doit assurer la coordination avec plusieurs équipes pour résoudre les problèmes, pour communiquer avec les clients et pour mettre à jour votre base de données.

Il doit également s’assurer que votre réseau informatique fonctionne à 100 % et préparer des rapports hebdomadaires, mensuels, trimestriels, sans oublier qu’il doit procéder à une surveillance continue de vos serveurs au cas où des alarmes se déclencheraient.

L’AS constitue le maillon fort de votre sécurité informatique, de la sécurisation de votre centre de données ou de votre centre d’exploitation du réseau. Il peut même résoudre les problèmes liés à l’hébergement web, aux pannes des applications et de vos serveurs et à d’autres problèmes critiques en matière d’exploitation informatique.

Ce pour cette raison que TitanHQ cherche toujours à aider les administrateurs système pour qu’ils puissent contrer les éventuelles vulnérabilités. Nous pouvons les aider à contrer les attaques contre votre réseau informatique et nous contribuons à gérer de manière plus efficace leurs réseaux informatiques et nous les aidons à inverser la tendance en matière d’exposition liée aux attaques contre les utilisateurs via le web.

Questions fréquentes sur l’avenir des administrateurs système

Quelles sont les perspectives d’avenir pour les administrateurs système?

Le métier d’administrateur système est en forte demande.

Ce segment de marché n’est pas affecté par la crise. Au contraire, il opère en flux croissant depuis plus de 20 ans.

Le rôle d’un administrateur système reste toutefois complexe et demande une amélioration continue des compétences techniques.

Quelles sont les différences entre gestionnaire réseau, administrateur réseau, manager réseau, network administrator et responsable réseau ?

Eh bien, ce sont tout simplement les autres noms qu’on peut attribuer au poste d’administrateur système.

Il faut toutefois noter que ce dernier peut devenir un responsable des télécommunications, un architecte réseau, voire un ingénieur d’affaires qui pourra travailler en tant que consultant.

Quelles sont les principales qualités que devrait avoir un administrateur système ?

La liste est longue, mais en général, il doit faire preuve de rigueur et d’organisation ; d’une capacité d’analyse ; de réactivité et de disponibilité ; de résistance au stress ; de prise d’initiative ; de polyvalence ; de curiosité technique et d’aisance relationnelle.

Quel type d’entreprise recrute souvent les administrateurs système ?

Ces professionnels peuvent être recrutés par tout type d’organisation qui bénéficie de leurs propres infrastructures réseau.

Il peut s’agir d’une PME, d’un grand groupe, d’un hébergeur ou encore d’une agence qui propose des prestations numériques.

Quels sont les enjeux de demain en ce qui concerne le futur rôle des administrateurs système ?

D’une part, ils doivent s’attendre au développement du cloud et du big data. Ils devront mettre en place des infrastructures réseau de plus en plus développées et être à l’affut des nouvelles normes à venir en matière de stockage et d’utilisation des données. Mais le principal défi qu’ils doivent relever est la cybersécurité.

Un meilleur pare-feu de segmentation de la zone de sécurité, pour garantir une sécurité optimale de votre réseau

par Editeur | Avr 4, 2019 | Sécurité réseau

Le pare-feu matériel (firewall hardware) est la pierre angulaire de la sécurité réseau pour presque tous les réseaux TCP/IP. Qu’il s’agisse d’une PME ou d’une grande entreprise, le pare-feu fournit une défense de base contre les attaques des systèmes informatiques et des actifs d’information numériques.

Bien que les réseaux modernes s’étendent actuellement au-delà du périmètre du pare-feu, la plupart d’entre eux disposent encore d’une structure bien définie qui inclut la zone réseau interne, la zone réseau externe non fiable et d’autres zones de sécurité de réseau intermédiaires optionnelles.

Une zone de sécurité se définit comme un segment de réseau qui héberge un groupe de systèmes ayant des exigences similaires en matière de protection des informations.

En d’autres termes, une zone de sécurité est généralement un sous-réseau de niveau 3 sur lequel plusieurs hôtes (serveurs, postes de travail, etc.) sont connectés.

Le trafic à destination et en provenance de ce réseau spécifique est alors contrôlé par un pare-feu aux niveaux IP et Port, voire même au niveau des applications.

Généralités sur la segmentation du réseau

Le concept de segmentation ne date pas d’hier. Dans l’histoire ancienne, les Romains l’utilisaient déjà pour créer des unités de combat basées sur l’identité géographique et ethnique des guerriers capturés. L’idée consistait à regrouper ceux qui ont des antécédents similaires pour qu’ils puissent s’unir et devenir de meilleurs groupes de combat. Puis, le concept a été utilisé pour la création de groupes ethniques, religieux, géographiques, politiques et sexistes.

Les entreprises ont également repris cette idée pour les utilisateurs, le trafic ou les données pour protéger les parties centrales de leurs infrastructures informatiques via des moyens physiques ou logicielles.

Historiquement, la segmentation réseau était utilisée avec un pare-feu périmétrique sur la passerelle Internet des entreprises. Les organisations pouvaient déployer une paire de pare-feu qui entourent une zone démilitarisée pour fournir un environnement séparé entre les zones fiables et non fiables.

Le problème avec les architectures réseau traditionnelles est qu’elles ont été construites en plaçant les joyaux de la couronne, ou plus précisément les données sensibles, dans un château bien gardé, c’est-à-dire le centre de données. Les entreprises avaient donc l’impression que toutes leurs ressources critiques étaient bien protégées par un périmètre solide et que personne ne pouvait passer à travers leurs systèmes de défenses, sauf si elles obtiennent des autorisations. Mais elles ne pouvaient rien faire si la personne non autorisée se trouvait déjà à l’intérieur du château, si elle disposait déjà des accès aux données et qu’elle trouvait des moyens de sortir les informations sensibles de leurs centres de données.

Le fait est que le zonage d’un réseau « digne de confiance » – c’est-à-dire un réseau entier qui est considéré comme un seul segment – crée un environnement où une seule intrusion permet à un pirate d’avoir un accès étendu. Il peut également avoir le contrôle sur hôtes et les services avec un minimum d’effort, et les entreprises ne pouvaient pas le détecter.

De nos jours, les techniques de phishing, d’ingénierie sociale et l’utilisation croissante des appareils mobiles et du télétravail obligent les entreprises à déployer des moyens plus efficaces pour contrer les cyber-menaces. Elles se doivent de segmenter leurs réseaux et de séparer leurs informations sensibles, leurs services de messagerie en ligne et les autres services Internet.

La segmentation du réseau est une alternative qui leur permet de limiter le niveau d’accès à certaines informations et à des services sensibles, de manière à ce qu’elles puissent continuer à fonctionner efficacement, même en cas d’attaque informatique. Mais pour être efficaces, les solutions de segmentation du réseau doivent être soigneusement planifiées, appliquées et surveillées avec rigueur pour qu’elles ne puissent être contournées.

Qu’est-ce qu’un pare-feu ?

Puisque nous allons parler de pare-feu tout au long de ce dossier, il convient de définir ce que c’est. Un pare-feu peut se présenter sous la forme d’un composant matériel ou d’un logiciel. Il est conçu pour défendre un ordinateur local contre les virus et d’autres formes d’attaques malveillantes.

Le pare-feu peut interdire certaines communications et en autoriser d’autres. Ainsi, votre réseau interne pourra accéder à l’extérieur, aux serveurs de messagerie et aux serveurs web quand vous le souhaitez. De la même façon, vous pouvez le configurer pour permettre au réseau externe d’accéder aux serveurs de messagerie et aux serveurs web, sans pour autant autoriser l’accès au réseau interne.

A titre d’exemple, si vous vous connectez à WAMP depuis votre ordinateur et que vous ouvrez le port 80 de votre box internet. Vous bloquez ensuite votre pare-feu pour cette machine, de telle sorte que les autres ordinateurs ne puissent pas y accéder via de votre box internet et via le port 80, on pourrait donc dire que vous utilisez votre pare-feu afin que votre machine puisse servir d’une zone DMZ.

Segmentation de la zone de sécurité périmétrique des réseaux d’entreprise

Il n’existe pas de topologie de réseau périmétrique unique qui convienne à tous les réseaux, car chacun a ses propres exigences et fonctionnalités pour satisfaire les besoins d’une entreprise.

Cependant, il existe une approche de « meilleure pratique » pour mettre en œuvre un périmètre de réseau qui offre une sécurité et une protection des données améliorées contre les menaces en ligne. Cette approche est illustrée sur le schéma ci-dessous.

Encore une fois, la topologie de réseau que nous avons fourni n’est qu’un exemple qui a été mis en œuvre dans de nombreuses entreprises, mais elle peut avoir différentes variations, à savoir l’utilisation de deux pare-feu au lieu d’un, d’une seule zone DMZ au lieu de deux, etc.

Le réseau périmétrique suggéré ci-dessus comprend deux zones démilitarisées (DMZ), c’est-à-dire des sous-réseaux séparés du réseau local et isolés de celui-ci et d’Internet, à savoir DMZ1 et DMZ2, ainsi qu’une zone interne. Les flèches rouges indiquent le flux de trafics autorisé à partir du pare-feu.

Comment les pirates peuvent-ils compromettre votre système informatique ?

En règle générale, les cybercriminels vont tenter de compromettre votre réseau, souvent en ciblant un hôte sous le contrôle d’un utilisateur légitime par le biais de l’ingénierie sociale. Ceci étant fait, il va se déplacer sur le réseau dans le but de localiser et d’accéder aux informations sensibles.

Il peut également tenter d’établir des connexions directement entre un hôte plus sensible et un hôte compromis, en utilisant divers outils et techniques. Par exemple, il peut dans un premier temps compromettre un poste de travail, puis créer une connexion à distance avec un serveur. Cela lui permet de mapper des lecteurs réseau ou d’utiliser des outils d’administration réseau légitimes pour accéder à des informations sensibles ou pour exécuter un code malveillant sur ce serveur. Cette seconde option est souvent utilisée pour cibler le serveur d’authentification d’une entreprise.

Afin de minimiser l’impact d’une éventuelle intrusion dans le réseau, vous devriez rendre aussi difficile que possible pour les pirates de trouver et d’accéder à ces informations ou de se déplacer dans le réseau sans que vous ne puissiez les détecter. L’une des solutions que vous pouvez mettre en œuvre et la création d’une ou plusieurs zones DMZ.

Zones DMZ

Une zone DMZ est un sous-réseau de couche 3 isolé sur lequel les hôtes connectés sont généralement exposés à l’Internet public afin de fournir des services aux utilisateurs (Web, Email, DNS, etc.). Ils sont donc les plus vulnérables aux attaques.

En raison du nombre croissant des hôtes victimes d’une attaque, le sous-réseau est donc placé dans une zone démilitarisée (DMZ) afin de minimiser les dommages au réseau protégé interne au cas où un de ces serveurs serait compromis.

Architecture des zones démilitarisées du réseau

Il existe plusieurs manières de concevoir un réseau avec une DMZ. L’une des méthodes les plus utilisées consiste à utiliser un pare-feu, avec au moins trois interfaces réseau. Mais la plupart des architectures DMZ de nos jours sont conçues avec deux pare-feu. Cette seconde approche est la plus sûre pour créer un réseau DMZ.

Les deux pare-feu sont déployés avec le réseau DMZ, placé entre eux. Le premier pare-feu, également appelé pare-feu périphérique, est configuré pour autoriser le trafic externe, tout particulièrement destiné à la DMZ. Quant au second, c’est-à-dire le pare-feu interne, il n’autorise que le trafic de la DMZ vers le réseau interne. Cette solution est considérée comme plus sûre, étant donné que les pirates ne peuvent pas accéder au réseau local interne que si les deux périphériques sont compromis.

Ces approches de base peuvent être étendues si vous voulez créer des architectures plus complexes.

Dans le réseau de segmentation du périmètre que nous proposons sur le schéma ci-dessus, nous avons deux zones DMZ, ce qui offre une meilleure protection à la zone interne.

DMZ1

Une DMZ est un sous-réseau physique ou logique, séparant un réseau local interne (LAN) des autres réseaux non fiables, notamment l’internet public. Les serveurs, ressources et services externes sont situés dans la DMZ1.

Ces ressources et services (Web, email, DNS, proxy, etc.)  sont donc accessibles depuis l’internet. Par contre, le reste du réseau local interne reste inaccessible. Cette solution fournit une couche de sécurité supplémentaire au réseau local, étant donné qu’elle limite la capacité d’un pirate à accéder directement à vos serveurs et données sensibles via l’internet.

Le pare-feu ne doit permettre que le trafic d’Internet vers DMZ1. De plus, seuls les ports TCP/UDP requis peuvent y accéder.

À titre d’exemple, en 2016, une compagnie d’électricité américaine a été la victime d’une attaque de ransomware. Celui-ci a affecté ses appareils informatiques et empêché un grand nombre de ses clients de recevoir de l’électricité.

En réalité, ladite société ne disposait pas d’une DMZ entre ses appareils informatiques et les autres appareils d’exploitation. De plus, ses appareils d’exploitation n’étaient pas bien équipés pour gérer le ransomware une fois qu’ils étaient affectés. Cette attaque a profondément affecté l’infrastructure de la société d’électricité et ses nombreux clients.

Même la mise en place d’une DMZ1 aurait permis une segmentation accrue du réseau afin d’éviter les dégâts de débordement que le ransomware avait causés. Mieux encore, ils pouvaient mettre en place une seconde DMZ, c’est-à-dire une DMZ2.

DMZ2

Il s’agit d’une zone intermédiaire qui permet d’héberger des serveurs d’applications, des serveurs de bases de données, etc. Ces serveurs sont indirectement accessibles depuis Internet via la zone DMZ1.

Par exemple, les meilleures pratiques en matière de sécurité suggèrent qu’un serveur web qui peut accéder aux informations dans une base de données ne doit pas être installé sur la même machine que le serveur. Par conséquent, il est recommandé de placer le serveur de base de données sur DMZ2.

Un serveur Web frontal qui communique avec un serveur d’application Web devrait également être placé dans deux zones de sécurité distinctes.

L’arrangement ci-dessus protège la zone interne, de telle sorte que toute compromission des serveurs de base de données ou d’applications (via les serveurs DMZ1) n’entraîne pas l’accès à cette zone.

Le pare-feu doit autoriser l’accès à DMZ2 à partir de DMZ1 uniquement sur les ports requis . De plus, DMZ2 peut avoir un accès limité à la zone interne pour certains cas spéciaux, comme l’accès à un serveur de gestion interne, pour la sauvegarde et l’authentification Active Directory.

Zone de sécurité interne

Cette zone héberge généralement les postes de travail des utilisateurs internes et d’autres serveurs importants tels que les serveurs de fichiers, les serveurs Active Directory, les bases de données internes, les applications spécialisées (ERP, logiciels comptables), etc.

Le pare-feu ne doit pas permettre un accès direct depuis Internet vers ce réseau interne. De plus, le trafic web sortant des utilisateurs de ce réseau peut utiliser un serveur proxy HTTP  situé dans DMZ1 pour accéder à Internet.

Il existe d’innombrables topologies de périmètre de réseau qui peuvent être mises en œuvre par les entreprises pour s’assurer de leur bon fonctionnement. L’exemple ci-dessus est une proposition de segmentation de zone de pare-feu que vous pouvez utiliser pour atteindre une sécurité réseau solide pour votre entreprise.

Comment fonctionnent les zones démilitarisées ?

Les DMZ constituent une sorte de zone tampon entre le réseau de votre entreprise et l’Internet public. En déployant une DMZ entre deux pare-feu, vous pouvez garantir que tous les paquets réseau entrants sont filtrés par le biais d’un pare-feu ou d’un autre dispositif de sécurité avant d’arriver sur les serveurs hébergés.

Si un pirate informatique parvient à passer à travers le premier pare-feu et que vous en utilisez deux, il ne pourra pas obtenir un accès non autorisé à vos ressources et services pour faire des dégâts. De plus, ces systèmes peuvent encore être renforcés contre les éventuelles attaques lancées via le web.

Supposons qu’un pirate possède des ressources suffisantes pour franchir le pare-feu externe. Il pourra donc prendre en charge un système hébergé dans la DMZ1. Pourtant, il doit encore contourner le pare-feu interne avant pour avoir accès aux données sensibles de votre entreprise. Lorsqu’il tentera de contourner la DMZ2, cela devrait déclencher des alarmes. Ainsi, votre équipe informatique pourra avoir suffisamment d’avertissements pour éviter une attaque contre votre organisation.

Plus votre réseau est grand, plus il est difficile à protéger

Si vous disposez d’un grand réseau non segmenté, sachez qu’il présente une grande surface d’attaque, plus de failles et de vulnérabilités. Pourquoi ? Simplement parce que tout le trafic et les applications peuvent accéder à l’ensemble du réseau. Lorsqu’un pirate informatique parvient à faire cela, il pourra accéder à vos données critiques.

L’autre chose que vous devez savoir est qu’un grand réseau est plus difficile à contrôler et à surveiller. La segmentation est donc une excellente solution pour limiter la capacité d’un attaquant de s’introduire dans votre réseau et pour l’empêcher de se déplacer latéralement entre les zones de sécurité.

Le terme zone de sécurité fait référence à un groupe d’une ou plusieurs interfaces de pare-feu virtuels ou physiques où les segments de réseau sont connectés à des interfaces. Le but est de contrôler chacune des zones pour qu’elles reçoivent les protections spécifiques dont elles ont besoin.

Chaque fois qu’il existe une fonctionnalité spécifique que vous devez protéger, il est important de créer des privilèges d’accès pour certains utilisateurs. Ainsi, vous pouvez ne donner l’accès au réseau qu’aux utilisateurs, aux applications et aux appareils concernés ou refuser tout autre trafic.

La DMZ est-elle encore d’actualité ?

Si la DMZ était auparavant indispensable pour toute entreprise connectée à Internet, de nombreuses organisations pensent que le cloud a rendu cette technique inutile.

Bien entendu, de nombreuses entreprises choisissent actuellement d’héberger leurs propres serveurs web et déploient des applications Software-as-a-Service. Pourtant, le fait de mettre en place une zone démilitarisée pour se protéger des attaques en ligne, en séparant les données critiques du reste de votre réseau, se présente encore comme une stratégie de sécurité efficace.

Les DMZ ont joué un rôle important dans la sécurisation des réseaux d’entreprise, et ce, depuis que les pare-feu ont été utilisés. Elles vous permettent de protéger les systèmes et ressources sensibles de votre entreprise. Mais le principal avantage de l’utilisation des DMZ est de fournir l’accès aux services Internet à partir de l’Internet public, et ce, de façon sécurisée.

Les réseaux DMZ permettent également d’isoler et de séparer certains systèmes sensibles des réseaux internes, et surtout de réduire et de contrôler l’accès à ces systèmes depuis l’extérieur de votre entreprise.

Les menaces en ligne

Quelle que soit l’architecture réseau que vous mettez en place vos serveurs, routeurs, PC, systèmes de stockage, etc. sont toujours vulnérables à un certain niveau, et ce, pour différentes raisons.

D’abord, vous devez savoir que les cybercriminels ne cessent de chercher les nouvelles vulnérabilités, que ce soit sur vos réseaux sociaux, votre service de messagerie instantanée, ou votre réseau sans fil.

Ensuite, les politiques de sécurité de nos jours sont souvent complexes à mettre en place puisqu’elles doivent opérer simultanément sur tout le réseau pour de nombreux utilisateurs.

Enfin, les employés adoptent de plus en plus des comportements qui permettent aux pirates informatiques de mener de nouvelles attaques.

Les menaces cybercriminelles peuvent être classées en quatre grandes catégories.

La technique d’intrusion

Lorsqu’un pirate utilise cette technique, il va tenter de s’introduire sur votre réseau informatique dans le but de voler ou de modifier vos données.

Les techniques les plus simples reposent sur l’intervention de vos employés, soit par intrusion, soit par le vol d’équipements comme les ordinateurs portables. Quant aux attaques les plus sophistiquées, elles font appel à des techniques d’interception des rayonnements émis par certains équipements ou via l’écoute des flux d’information entre deux appareils.

Quoi qu’il en soit, le principe consiste à s’introduire sur vos systèmes d’information via vos systèmes informatiques. Pour ce faire, les pirates utilisent souvent le téléchargement d’un cheval de Troie (un programme informatique qui comporte une fonctionnalité cachée, dont l’attaquant seul connaît) qui lui permet de prendre le contrôle de votre ordinateur s’il est compromis. Ensuite, il pourra utiliser votre appareil à votre insu.

À la différence des virus qui sont lancés à très grande échelle via Internet, les chevaux de Troie visent souvent des victimes bien ciblées et ils ne sont pas souvent détectés automatiquement par les solutions antivirus. De plus, ils peuvent s’installer durablement sur la machine compromise.

Les dénis de service (DOS et DDOS)

Le but d’une attaque utilisant les dénis de service est d’empêcher une application ou d’un service que vous utilisez au sein de votre entreprise de fonctionner normalement.

Lors d’une attaque par déni de service, ou DoS (Denial of Service), les pirates tentent de perturber, ou de paralyser totalement le fonctionnement de votre serveur informatique en le bombardant de requêtes erronées. Leur but est d’affecter votre service en ligne ou votre réseau d’entreprise en saturant une des ressources de votre système, notamment la bande passante, votre espace de stockage ou encore ressources de calcul de vos processeurs.

La nouvelle variante de cette menace est déni de service distribué ou DDOS ou « Distributed Denial Of Service ». Le but reste le même, mais l’attaque DDOS ne vise pas une seule machine. En fait, les pirates s’attaquent à de nombreux appareils qui deviendront des « botnet ». Cela leur permet de les contrôler facilement et à distance.

À noter qu’un botnet peut compter jusqu’à plusieurs milliers d’ordinateurs dont les utilisateurs ignorent tout de l’infection dont ils sont victimes.

Actuellement, l’une des pratiques les plus répandues consiste à louer un botnet dans le but de perpétrer une attaque. Pour quelques euros de l’heure, on trouve facilement ce genre d’outils sur le dark web.

Le phishing

Il s’agit d’une technique dont le but est d’inciter un ou plusieurs employés à réaliser une action, notamment de cliquer sur un lien qui pointe vers un site malveillant ou d’ouvrir une pièce jointe malveillante qui permettra aux pirates de voler des données sensibles ou de télécharger des malwares.

La technique du phishing utilise l’ingénierie sociale. Elle consiste à exploiter non pas une faille informatique, mais les vulnérabilités de vos employés en les dupant par le biais d’un e-mail qui semble provenir d’une entreprise de confiance, notamment une banque ou un site e-commerce.

Le message envoyé par les pirates usurpe l’identité d’une enseigne connue et les invite à se connecter en ligne via un lien hypertexte et à mettre à jour des informations les concernant dans un formulaire d’une page web malveillante, copie conforme d’un site authentique, en prétextant par exemple la mise à jour d’un service, l’intervention du support technique, etc.

Les adresses électroniques sont collectées par les pirates au hasard sur le web et le message a souvent peu de sens. Il est bien possible que la victime reconnaisse le message malveillant, mais avec la quantité des messages que les pirates envoient, il peut toujours arriver que le destinataire tombe dans le piège. Ainsi, ils peuvent obtenir les identifiants et les mots de passe de vos employés ainsi que leurs données personnelles ou bancaires. Ils pourront ainsi transférer directement l’argent sur leur compte ou obtenir ultérieurement les données nécessaires en utilisant intelligemment les données personnelles qu’ils ont collectées à des fins malveillantes.

Le spoofing

Ce type de menace est un peu basique. Les pirates tentent de falsifier une adresse IP pour que ses victimes pensent qu’un e-mail (par exemple) semble provenir d’une source fiable. Le pirate peut également exploiter les failles au niveau de votre protocole DNS pour rediriger vos employés vers des sites malveillants.

Le spoofing consiste à déguiser une communication provenant d’une source inconnue en communication provenant d’une source connue et fiable. Cela peut se faire via les emails, les appels téléphoniques et les sites web, ou peut être plus technique, comme l’usurpation d’une adresse IP, d’un serveur DNS (Domain Name System)ou d’un protocole de résolution d’adresse (ARP).

Les pirates peuvent utiliser l’usurpation d’adresse pour accéder à vos informations personnelles ; pour diffuser des malwares par le biais de liens ou de pièces jointes infectées ou pour contourner les contrôles d’accès au réseau et redistribuer le trafic pour mener une attaque par déni de service. Le spoofing est souvent le moyen par lequel un cybercriminel obtient l’accès afin d’exécuter une cyberattaque plus importante comme une menace persistante avancée ou une attaque du type « man in the middle ».

Si une telle attaque est réussie contre votre organisation, cela peut entraîner l’infection de vos systèmes et réseaux informatiques, la violation de vos données sensibles et la perte de revenus, outre la perte de réputation de votre enseigne.

Faites appel à TitanHQ pour mieux sécuriser votre réseau

Quelle que soit la taille de votre entreprise, vous pouvez toujours adopter une stratégie pour contrer les menaces en ligne telles que l’accès à vos serveurs et à vos postes de travail ainsi que le vol de vos données sensibles.

L’une de ces solutions est de mettre en place un pare-feu matériel. Comme susmentionné, le pare-feu matériel est essentiel pour sécuriser vos biens numériques, à condition qu’il soit bien configuré.

Vous devez segmenter votre réseau et mettre en place des zones de sécurité de pare-feu. De cette manière, vous améliorerez la sécurité et garder votre réseau interne sécurisé contre les attaques lancées via le web.

N’oubliez pas que chaque entreprise dispose d’une structure de réseau bien définie, comprenant à la fois une zone de réseau interne et une zone de réseau externe qui n’est pas souvent sécurisée, et éventuellement des zones de sécurité intermédiaires, mais chaque zone a des exigences de sécurité presque similaires.

Autrement dit, il n’existe pas de configuration unique et idéale pour toutes les entreprises et pour tous les réseaux.

Si vous respectez les meilleures pratiques en matière de segmentation du réseau et si vous utilisez la segmentation des DMZ et de votre pare-feu, vous tirerez le meilleur parti de la sécurité du réseau.

Nous recommandons également de mettre en place une solution de filtrage web basée dans le cloud pour plus de sécurité. Vous pouvez par exemple opter pour WebTitan, un filtre web efficace qui peut empêcher vos employés d’accéder à des sites web connus pour héberger des malwares, conçus pour permettre aux pirates de mener des attaques de phishing ou de spoofing ; ou ceux qui enfreignent les politiques d’utilisation acceptable de l’Internet au sein de votre organisation.

Vous êtes un professionnel de l’informatique et vous voulez vous assurer que les données et les appareils sensibles de vos clients et de votre personnel sont protégés ? Contactez nos spécialistes dans le domaine. Vous pouvez aussi nous envoyer un courriel à info@titanhq.com pour toute autre question.

FAQ sur la segmentation réseau

Quel est le but ultime de la segmentation du réseau en utilisant la DMZ ?

Le principal objectif d’une DMZ est de permettre l’accès à vos ressources qui proviennent des réseaux non fiables, tout en maintenant la sécurité de votre réseau privé derrière un pare-feu.

Quelles sont les différentes ressources qui peuvent résider dans une DMZ ?

La zone DMS contient tous les services accessibles aux utilisateurs via un réseau externe. Ces ressources sont généralement les serveurs Web, les serveurs de messagerie, les serveurs VoIP, les serveurs FTP et le service DNS.

Est-il possible pour un utilisateur de contourner le pare-feu en utilisant la DMZ ?

La DMZ n’est pas conçue pour cela. Comme elle est située entre le pare-feu interne et le pare-feu Internet externe d’une entreprise, elle ne remplace pas le pare-feu ou les dispositifs de filtrage de contenus. Ainsi, un utilisateur ne pourra pas l’utiliser pour contourner le pare-feu. Elle est plutôt destinée à fonctionner avec les mécanismes de sécurité existants et surtout à les étendre. Pour plus de sécurité, il est recommandé d’utiliser deux pare-feux développés par deux fournisseurs.

Qu’est-ce qu’un serveur DMZ ?

C’est un serveur hébergé dans la DMZ et qui est souvent utilisé pour externaliser des ressources vers un réseau public, à savoir l’Internet. En déployant un serveur DMZ, vous bénéficierez d’un niveau de protection supplémentaire, car vous pourrez restreindre l’accès distant à vos serveurs et à vos informations sensibles, dont la violation pourrait être particulièrement préjudiciable.

La DMZ est-elle sûre ?

Aucune solution n’est fiable à 100 % pour contrer les menaces en ligne. Bien entendu, les DMZ constituent une couche de protection supplémentaire contre les attaques externes, mais elles ne peuvent pas vous protéger des attaques internes telles que le spoofing par e-mail ou le reniflage de paquets sur un réseau.

9 choses qu’un administrateur système ne doit jamais faire – Les interdits de la sécurité réseau

par Editeur | Avr 1, 2019 | Sécurité réseau

Le travail d’administrateur système est difficile. Il y a la myriade de tâches intimidantes ; le besoin constant de mettre à jour ses connaissances à mesure que la technologie avance, sans parler des longues heures qu’il doit y consacrer. Il doit également travailler avec des équipements complexes, des logiciels obtus et des utilisateurs exigeants. En plus des choses que l’administrateur système doit faire, il doit encore tenir compte de certaines choses qu’il ne devrait jamais faire.

La question n’est pas de savoir si les administrateurs font toujours des choses qu’ils n’auraient pas dû faire. Mais il peut parfois arriver qu’ils enfreignent une règle, dans l’unique but de faire leur travail.

Par exemple, imaginez que vous êtes un administrateur système et le directeur des ventes vous appelle. En effet, il vous demande d’accéder à une série de sites pour une présentation qu’il va faire dans la salle de conférence dans trois minutes. Pourtant, les sites en questions sont bloqués. Dans ce cas, vous n’avez pas le temps de comprendre les raisons de ce blocage et vous pourriez être tenté d’essayer de les débloquer en désactivant le pare-feu ou du filtre Web de votre réseau, dans l’unique but d’assurer le bon déroulement de la présentation. Grâce à cela, la réunion se déroule sans accroc et votre directeur est heureux.

Malheureusement, vous avez un million d’autres urgences de ce genre à gérer. Vous risquez donc d’oublier la solution de rechange hâtive que vous avez adoptée, ce qui rend votre ordinateur largement ouvert aux malwares et aux autres menaces sur Internet.

Deux mois plus tard, quelqu’un télécharge un ransomware à partir d’un site de déploiement de malwares connu et toutes les données de votre entreprise sont chiffrées. Là, vous allez comprendre que même les meilleures intentions du monde peuvent mener à la catastrophe.

C’est pourquoi nous avons dressé une courte liste de choses que vous, en tant qu’administrateur, faites parfois (intentionnellement ou non) alors qu’elles n’auraient pas dû avoir lieu pour éviter les mauvaises surprises.

Les choses qu’un administrateur système ne doit jamais faire

1. Ne jamais faire d’exemptions de pare-feu et de filtre Web pour les machines.

Tout d’abord, ces règles concernent l’adresse IP de la machine désignée, qui est souvent attribuée par DHCP. Cela signifie qu’une autre machine peut avoir cette adresse ultérieurement. Il est probable que cette machine soit utilisée par une personne à qui vous ne voudriez peut-être jamais fournir un tel niveau de liberté. Afin d’éviter le scénario susmentionné, vous devriez donc créer une politique d’entreprise concernant les demandes d’accès, précisant ainsi le délai requis pour répondre à une demande. Vérifiez périodiquement les listes d’exemption de votre pare-feu et de votre filtre Web et supprimez toutes les règles d’attribution que vous avez configurées.

2. Ignorer les règles du pare-feu sortant

Vous savez très bien qu’il est important de configurer le pare-feu de périmètre pour le trafic entrant, mais vous oubliez souvent l’importance du trafic sortant. La raison est que le processus de sécurisation du trafic sortant est plus complexe que celui de l’entrée, car vous devez vous assurer que vos règles n’empiètent pas sur le trafic autorisé et sur les applications qui nécessitent un accès Internet. Pour ce faire, vous devrez faire des recherches opportunes et avoir une bonne connaissance de ce que font exactement vos utilisateurs.

Le filtrage du trafic sortant est important non seulement pour votre propre entreprise, mais aussi pour mieux protéger votre parc informatique. Si un périphérique est compromis au sein de votre réseau, il peut alors être utilisé par des gestionnaires distants pour générer du spam, déployer des malwares ou héberger des données de zone pour un domaine malveillant.

Un filtrage approprié du trafic sortant peut toutefois éviter ces genres d’incidents : vous pouvez par exemple établir des règles limitant le trafic de courrier électronique sortant et le trafic DNS aux seuls serveurs internes autorisés. Comme il ne devrait pas y avoir de ports d’entrée ouverts, il ne devrait pas y avoir de ports de sortie non plus.

3. Placer les ressources accessibles à Internet sur le réseau local interne

N’importe quel pare-feu d’entreprise permet la création de plusieurs zones. Il s’agit notamment de la zone publique (Internet), du réseau local interne (où résident les utilisateurs et leurs appareils, services et données) et d’une DMZ. Le but de la DMZ est de fournir une zone spéciale pour les serveurs et les dispositifs qui doivent être accessibles à partir d’Internet, tels que les serveurs de messagerie, les serveurs FTP et les serveurs de terminaux.

La zone DMZ doit être de nature moins restrictive que le réseau local interne, ce qui rend les dispositifs qui s’y trouvent plus vulnérables. Beaucoup de choses potentiellement indésirables peuvent se produire lorsque des appareils accessibles à Internet sont placés dans le réseau local interne. Si un périphérique est compromis, il est facile pour les malwares ou tout autre type de programme malveillant de se répandre sur le réseau local, mettant ainsi en péril les ressources de l’entreprise.

Le but de la DMZ est donc de limiter les éventuelles compromissions d’un appareil accessible via Internet. Cela exige également que le trafic entre la DMZ et le réseau local interne soit étroitement contrôlé et sécurisé. Trop souvent, la DMZ a un accès ouvert au réseau local interne parce que personne n’a pris le soin de verrouiller sa séparation à ce réseau.

Même avec le système DMZ en place, il est toujours essentiel de suivre vos systèmes. Considérez-les comme de petits enfants. Il faut les surveiller, sinon ils risquent d’avoir des ennuis. Le fameux proverbe « pas de nouvelle, bonne nouvelle » ne doit jamais devenir votre règle. Les choses peuvent sembler étrangement calmes, mais cela ne signifie pas que tout va bien. À moins que vous ne disposiez d’outils et de données qui indiquant que votre réseau va bien, pensez toujours que quelque chose de mal pourrait se produire en arrière-plan.

Ayez une vision globale de votre infrastructure réseau, y compris le trafic, l’utilisation de la mémoire, le processeur ainsi que la capacité du système. Analysez vos bases de données et les besoins en ressources des utilisateurs du réseau pour prévoir les futurs besoins en termes de capacité.

4. Autoriser le trafic de la zone DNS vers n’importe quel serveur

De nombreux administrateurs le font, soit par commodité, soit par inexpérience. Si vous autorisez les transferts de zone vers n’importe quel serveur, tous les enregistrements de ressources de ladite zone seront visibles par tout hôte qui peut interroger votre serveur DNS, y compris les serveurs DNS malveillants qui se trouvent sur votre réseau. Afin d’éviter cela, assurez-vous que les transferts de zone ne soient autorisés pour les serveurs intégrés Active Directory (AD) que si vous disposez d’un réseau Windows AD. Si ce n’est pas le cas, vous devriez donc spécifier les adresses IP de tous les serveurs DNS autorisés et limiter les transferts de zone à ces derniers. La réalisation de cette tâche prend plus de temps, mais cela en vaut la peine si vous voulez assurer l’intégrité de vos zones DNS.

5. Vérifier vos emails ou naviguer sur le Web à l’aide de votre compte d’administrateur

Voulez-vous ouvrir un email important pendant que vous configurez un nouveau serveur ? Voulez-vous tout simplement naviguer pendant quelques minutes sur le web en attendant la fin de l’installation ou de la mise à jour d’une application ? Attention, car cela n’en vaut pas la peine.

Certains administrateurs pensent que les règles ne s’appliquent pas à eux. Cette attitude est souvent associée à l’attitude appelée « power trip ». En réalité, il s’agit du comportement des administrateurs qui refusent de se soumettre aux règles informatiques qu’ils dictent ou appliquent eux-mêmes. Cela peut créer des situations désagréables par exemple lorsqu’un administrateur consulte des contenus offensants ou inappropriés pendant les heures de travail de manière bien visible par d’autres employés.

Les administrateurs système ne doivent pas oublier qu’ils occupent des postes de confiance. Par conséquent, ils doivent conserver une certaine attitude professionnelle. Ce n’est pas parce qu’ils ont le privilège d’exécuter certaines activités avec leurs autorisations et leurs droits d’accès élevés qu’ils doivent le faire.

N’oubliez pas que les comptes administrateur sont les clés du royaume que tout hacker malintentionné souhaite le plus avoir, ce qui pourrait impliquer l’installation de malwares sur les comptes utilisateurs. Autrement dit, les comptes d’administrateur sont comme des stéroïdes pour les malwares qui leur donnent un accès total à l’ensemble du réseau.

6. Héberger plus qu’Active Directory sur un contrôleur de domaine

Un contrôleur de domaine est une machine qui exécute Window Active Directory et il doit donc être correctement sécurisé. La première chose à faire est donc l’isolement total, c’est-à-dire que la machine hébergeant Active Directory ne doit plus être utilisée à autre chose.

Héberger quoi que ce soit d’autre sur cette machine, cela risque de résulter en une catastrophe. Dans le domaine de la sécurité de l’information, les différents actifs doivent toujours être isolés. Ainsi, si l’un des actifs venait à être compromis, les autres pourraient encore rester en sécurité pendant un certain moment. Si, en revanche, vous deviez exécuter un serveur de sauvegarde sur cette même machine et au cas où votre serveur de sauvegarde venait à être compromis, de combien de temps pensez-vous qu’un hacker aurait besoin pour remarquer le fonctionnement de cette machine ? Alors, pourquoi prendre un tel risque ?

7. Réutiliser le même mot de passe

Cette règle semble simple et évidente, mais le bon sens n’est pas si commun à tous. En tant qu’administrateur système, vous ne devez jamais réutiliser le même mot de passe pour deux machines ou services différents (ou plus). Si vous faites cela et qu’un attaquant décide d’essayer ce mot de passe sur n’importe quel service ou machine auquel vous vous connectez, ils pourront donc accéder facilement à votre compte.

Ne pensez pas que vous l’avez toujours fait de cette façon.  En utilisant l’attaque par force brute, un pirate informatique peut facilement deviner le mot de passe que vous avez réutilisé. Ainsi, si plusieurs machines sont configurées via ces mots de passe, le problème pourrait s’aggraver. Au lieu de configurer le même mot de passe root sur plusieurs machines, vous aurez intérêt à utiliser un fichier clé.

En tant qu’administrateur, votre poste de travail peut avoir une clé privée, alors que chaque serveur peut utiliser une clé publique. Dans ce cas, la clé publique est associée à la clé privée, ce qui vous permet d’accéder à toutes les machines connectées au réseau. Par contre, il serait difficile pour un pirate informatique de se connecter à votre réseau et de s’y déplacer latéralement sans la clé valide.

8. Utiliser les informations d’identification pour se connecter à un poste de travail

Si vous utilisez vos informations d’identification administrateur pour vous connecter à la machine qui n’est pas un contrôleur de domaine, vous mettez littéralement ces informations à la disposition des attaquants. De nos jours, il existe des moyens très simples d’obtenir vos informations d’identification en cache. Et si vous utilisez un compte Administrateur local, sachez qu’il faut moins de 20 secondes pour élever vos privilèges d’administrateur local à celles d’administrateur de domaine à l’aide du code disponible gratuitement sur la plate-forme Github.

À moins que vous deviez effectuer des tâches de superutilisateur, vous ne devriez pas vous connecter en tant qu’administrateur. Pour se connecter au réseau, les utilisateurs devront utiliser leurs comptes personnels et utiliser par exemple la commande SUDO (Superuser DO) pour pouvoir réaliser des commandes spécifiques.

9. Déployer des réseaux Wi-Fi ouverts

Il n’est pas nécessaire d’avoir des réseaux Wi-Fi ouverts dans les espaces professionnels. Si vous avez besoin d’un réseau d’invités, vous pouvez lui attribuer un mot de passe, en veillant à le changer régulièrement. Si les gens se plaignent de toujours de devoir obtenir le nouveau mot de passe, posez-vous la question suivante : ces gens ne vont-ils pas se plaindre quand vous serez occupé, en train de réparer les éventuels dégâts causés par un compromis ? Une chose est sure : quand ça tourne mal, tout le monde vous blâmera pour le désordre.

Avec une technologie comme WebTitan WiFi, vous pouvez facilement fournir une expérience Wi-Fi rapide et sécurisée aux personnes qui accèdent à votre réseau. Vous pouvez bloquer les programmes malveillants et appliquer des règles de navigation acceptables à tous les emplacements.

À propos de WebTitan WiFi ?

WebTitan WiFi est un outil qui peut être utilisé par les fournisseurs de services souhaitant offrir de façon rentable le service WiFi contrôlé par le contenu dans le cadre de leur offre de produits. Il s’agit d’une solution de gestion robuste qui s’intègre facilement aux systèmes existants des fournisseurs de service pour leur donner la possibilité de fournir un service supplémentaire à leurs clients à un coût très raisonnable.

WebTitan WiFi s’adresse également aux grandes institutions qui disposent de multiples points d’accès WiFi dans divers endroits, à l’instar des universités, des centres commerciaux et des aéroports.

Si votre PME fournit du WiFi gratuit et si vous souhaitez protéger vos clients et votre réseau des contenus inappropriés et des malwares, tout en garantissant la protection de votre marque, WebTitan WiFi est la solution idéale pour vous.

Caractéristiques et avantages

• Configuration en quelques minutes ;
• Solution 100 % basé dans le cloud ;
• Aucune installation logicielle ou matérielle requise ;
• Filtre DNS qui n’a pratiquement aucune latence sur le trafic réseau ;
• Prise en charge des adresses IP dynamiques et statiques ;
• Protection contre les attaques de malware, de ransomware et de phishing ;
• Panneau de contrôle d’administration en ligne facile à utiliser ;
• Solution hautement évolutive, sans limites de dispositifs ou d’utilisateurs ;
• Rapports personnalisables sur l’utilisation et le trafic réseau ;
• Prix compétitifs et politique tarifaire transparente.

Conclusion

Désormais, les administrateurs systèmes doivent maintenir les systèmes en état de marche en permanence, car le web et les infrastructures d’information deviennent de plus en plus étendus et complexes. Ils doivent se tenir au courant des réseaux et des systèmes qu’ils gèrent. Les pirates ne cessent de développer de nouvelles techniques sophistiquées pour pénétrer les réseaux informatiques. Il est donc essentiel d’examiner l’ensemble du système et de le rendre suffisamment résistant aux actes de piratage ou de violation de données.

La sécurité ne devrait jamais être sacrifiée au détriment de la commodité. La majorité des administrateurs système ne songeraient jamais à respecter les bonnes pratiques mentionnées dans cet article. L’administration du réseau est une opération difficile, car chaque réseau est différent. La configuration, la sécurité et le dépannage du réseau restent donc des compétences hautement spécialisées et valorisées, du moins pour le moment.

Êtes-vous un professionnel de l’informatique qui cherche à protéger vos utilisateurs contre les attaques de phishing ? Contactez nos spécialistes ou écrivez-nous à info@titanhq.com pour toute autre question.

FAQs

Quel est exactement l’utilité d’un pare-feu pour mon réseau ?

Un pare-feu agit comme un filtre ou une barrière entre votre ordinateur et un autre réseau comme Internet. Sans cela, les attaquants pourraient mettre votre réseau hors service, le remettre en marche et récupérer vos données, ce qui pourrait vous faire perdre du temps et de l’argent.

Pouvez-vous donner plus d’explications sur le fonctionnement du réseau DMZ ?

Un réseau DMZ constitue un tampon entre le réseau privé d’une organisation et l’Internet. Il est idéalement situé entre deux pare-feu et garantit que les paquets réseau entrants sont analysés par un pare-feu avant qu’ils ne parviennent aux serveurs hébergés dans la DMZ. Ainsi, même si un attaquant avisé parvient à passer le premier pare-feu, il doit encore accéder aux services renforcés de la DMZ avant de pouvoir causer des dommages à votre entreprise.

Pourquoi Active Directory est-il si important ?

En tant qu’administrateur, Active Directory vous aide à organiser tous les utilisateurs, ordinateurs et bien d’autres appareils de votre entreprise. Vous pouvez l’utiliser pour organiser la hiérarchie complète de votre organisation, depuis les ordinateurs qui appartiennent à tel ou tel réseau jusqu’aux profils des employés. Bref, il contient les secrets de tous les utilisateurs de votre réseau et constitue donc une cible privilégiée pour les cybercriminels.

L’administrateur peut-il utiliser plusieurs DNS ?

Oui, et c’est fortement recommandé d’en avoir plusieurs. Si vous n’avez qu’un seul DNS et qu’il tombe en panne, le service Active Directory qui en dépend sera également paralysé, ce qui pourrait engendrer des pertes potentielles.

Comment WebTitan protège-t-il mon réseau ?

WebTitan est une solution de sécurité et de filtrage web basée sur les DNS. Il est conçu pour protéger votre réseau en contrôlant les contenus web, bloque plus de 300 000 sites web malveillants chaque jour et contrôle plus de 3 millions de sites malveillants à tout moment. Ceci permet de protéger efficacement votre réseau contre les cyber-menaces basées sur le web, notamment les malwares, les ransomwares et les sites malveillants.