AccueilCCNAÉvolution de la sécurité des réseaux

Évolution de la sécurité des réseaux

0
16532

Introduction à la Sécurité des Réseaux Modernes

La sécu­ri­té des réseaux a connu une évo­lu­tion signi­fi­ca­tive ces der­nières années, pas­sant d’un modèle prin­ci­pa­le­ment péri­mé­trique à une approche beau­coup plus dis­tri­buée et gra­nu­laire. Le CCNA ver­sion 1.1 intro­duis des concepts plus avan­cés que dans la ver­sion pré­cé­dente. Cette fiche explique les fon­de­ments théo­riques à savoir pour l’examen.

Le Modèle Zero Trust : « Ne jamais faire confiance, toujours vérifier »

Principes fondamentaux du Zero Trust

Le modèle Zero Trust repré­sente un chan­ge­ment majeur dans la concep­tion de la sécu­ri­té réseau. Tra­di­tion­nel­le­ment, les approches de sécu­ri­té sui­vaient le prin­cipe du « châ­teau fort » : une fois à l’in­té­rieur du réseau, on béné­fi­ciait d’un niveau de confiance éle­vé. Le modèle Zero Trust ren­verse com­plè­te­ment cette logique en éta­blis­sant un nou­veau prin­cipe : « ne jamais faire confiance, tou­jours véri­fier ».

Cette approche part du prin­cipe que les menaces peuvent pro­ve­nir aus­si bien de l’ex­té­rieur que de l’in­té­rieur du réseau, et qu’au­cun uti­li­sa­teur, appa­reil ou connexion ne devrait être consi­dé­ré comme intrin­sè­que­ment fiable. Chaque requête d’ac­cès aux res­sources doit être authen­ti­fiée, auto­ri­sée et chif­frée avant que l’ac­cès ne soit accor­dé, indé­pen­dam­ment de l’o­ri­gine de la connexion. On connait tous une madame Michu de la comp­ta qui a cli­qué sur un lien de phi­shing recu par email…

La micro-segmentation : clé de voûte du Zero Trust

La micro-seg­men­ta­tion consti­tue l’un des piliers tech­niques du modèle Zero Trust. Elle consiste à divi­ser le réseau en zones de sécu­ri­té iso­lées, par­fois jus­qu’au niveau de chaque charge de tra­vail indi­vi­duelle. Contrai­re­ment à la seg­men­ta­tion tra­di­tion­nelle basée sur des VLANs ou des pare-feu, la micro-seg­men­ta­tion permet :

  • D’é­ta­blir des péri­mètres de sécu­ri­té autour de res­sources spé­ci­fiques plu­tôt que de seg­ments réseau entiers
  • De défi­nir des poli­tiques de sécu­ri­té gra­nu­laires adap­tées à chaque type de ressource
  • De limi­ter dras­ti­que­ment le dépla­ce­ment laté­ral en cas de compromission
  • D’ap­pli­quer le prin­cipe du moindre pri­vi­lège à une échelle beau­coup plus fine

Dans l’en­vi­ron­ne­ment Cis­co, cette micro-seg­men­ta­tion peut être mise en œuvre à tra­vers diverses tech­no­lo­gies comme Trust­SecSGTs (Secu­ri­ty Group Tags) et SD-Access, qui per­mettent d’as­so­cier des poli­tiques de sécu­ri­té à l’i­den­ti­té plu­tôt qu’à l’a­dresse IP.

Le contrôle d’accès basé sur l’identité

Avec le modèle Zero Trust, l’i­den­ti­té devient le nou­veau péri­mètre de sécu­ri­té. Le contrôle d’ac­cès n’est plus uni­que­ment basé sur l’en­droit d’où pro­vient la connexion, mais sur qui demande l’ac­cès, l’é­tat de sécu­ri­té de son appa­reil, et le contexte de la demande.

Ce chan­ge­ment fon­da­men­tal nécessite :

  • Une authen­ti­fi­ca­tion forte et multifactorielle
  • Une éva­lua­tion conti­nue de l’au­to­ri­sa­tion (et non pas seule­ment lors de la connexion initiale)
  • Une véri­fi­ca­tion de l’état de sécu­ri­té de l’ap­pa­reil (pos­ture assessment)
  • Une ana­lyse contex­tuelle (heure, lieu, com­por­te­ment habi­tuel, etc.)

La ver­sion 1.1 du CCNA intro­duit les tech­no­lo­gies Cis­co qui per­mettent cette approche, notam­ment Cis­co ISE (Iden­ti­ty Ser­vices Engine), Duo Secu­ri­ty, et Any­Con­nect avec pos­ture assessment.

Défense contre les Menaces Modernes

Systèmes de détection et prévention des intrusions

Les IDS (Intru­sion Detec­tion Sys­tems) et IPS (Intru­sion Pre­ven­tion Sys­tems) ont consi­dé­ra­ble­ment évo­lué pour faire face aux menaces avan­cées. Le CCNA 1.1 couvre :

  • La dif­fé­rence entre détec­tion pas­sive et pré­ven­tion active
  • L’ins­pec­tion appro­fon­die des paquets et son importance
  • Les méthodes de détec­tion basées sur les signa­tures vs celles basées sur les ano­ma­lies
  • L’in­té­gra­tion des sys­tèmes IDS/IPS dans l’é­co­sys­tème de sécu­ri­té global
  • Les capa­ci­tés spé­ci­fiques de Cis­co Fire­po­wer et Snort

Les sys­tèmes modernes ne se contentent plus de com­pa­rer le tra­fic à des signa­tures d’at­taques connues ; ils éta­blissent des pro­fils de com­por­te­ment nor­mal et détectent les dévia­tions. Cette approche est cru­ciale pour iden­ti­fier les menaces zero-day pour les­quelles aucune signa­ture n’existe encore.

Analyse comportementale du réseau (NBA)

L’ana­lyse com­por­te­men­tale du réseau repré­sente une évo­lu­tion majeure dans la détec­tion des menaces. Elle repose sur l’é­ta­blis­se­ment de lignes de base com­por­te­men­tales pour tous les élé­ments du réseau (uti­li­sa­teurs, appa­reils, appli­ca­tions) et la détec­tion d’é­carts par rap­port à ces com­por­te­ments normaux.

Le NBA per­met de détecter :

  • Les mou­ve­ments laté­raux d’at­ta­quants après une com­pro­mis­sion initiale
  • L’ex­fil­tra­tion lente de don­nées sensibles
  • Les acti­vi­tés de recon­nais­sance internes
  • Les com­mu­ni­ca­tions vers des ser­veurs de com­mande et contrôle (C&C)
  • Les com­por­te­ments anor­maux d’u­ti­li­sa­teurs légi­times dont les comptes auraient été compromis

Dans l’é­co­sys­tème Cis­co, cette capa­ci­té est four­nie par des tech­no­lo­gies comme Steal­th­watch, qui uti­lise Net­Flow pour éta­blir ces pro­fils com­por­te­men­taux sans néces­si­ter de déploie­ment d’agents.

Systèmes de gestion des événements et informations de sécurité (SIEM)

Face à la mul­ti­pli­ci­té des sources d’in­for­ma­tion de sécu­ri­té, les SIEM jouent un rôle cen­tral dans la cor­ré­la­tion et l’a­na­lyse des données :

  • La col­lecte et nor­ma­li­sa­tion des logs pro­ve­nant de sources diverses
  • Les tech­niques de cor­ré­la­tion d’é­vé­ne­ments pour iden­ti­fier les menaces complexes
  • L’é­ta­blis­se­ment de règles d’a­lerte pour réduire le bruit
  • L’in­té­gra­tion avec les sys­tèmes de réponse auto­ma­ti­sée
  • Le rôle du SIEM dans la confor­mi­té régle­men­taire et les inves­ti­ga­tions forensiques

Les solu­tions modernes comme Cis­co Secu­reX intègrent ces capa­ci­tés SIEM avec d’autres fonc­tions de sécu­ri­té pour offrir une visi­bi­li­té uni­fiée et une réponse coor­don­née aux incidents.

Sécurité des Périphériques IoT et BYOD

Les défis spécifiques des appareils IoT

L’In­ter­net des Objets (IoT) intro­duit aus­si des défis de sécurité :

  • La diver­si­té des sys­tèmes d’ex­ploi­ta­tion et l’im­pos­si­bi­li­té d’ins­tal­ler des agents de sécurité
  • Les cycles de mise à jour limi­tés ou inexis­tants qui laissent des vul­né­ra­bi­li­tés non corrigées
  • Les pro­to­coles de com­mu­ni­ca­tion variés, par­fois pro­prié­taires et non sécurisés
  • La pro­li­fé­ra­tion rapide d’ap­pa­reils qui com­plique l’in­ven­taire et la gestion
  • Les risques de com­pro­mis­sion à grande échelle en rai­son de vul­né­ra­bi­li­tés communes

Pour répondre à ces défis, on parle des tech­niques d’i­den­ti­fi­ca­tion et de clas­si­fi­ca­tion des appa­reils IoT (pro­fi­lage), des stra­té­gies d’i­so­la­tion réseau spé­ci­fiques à l’IoT, des méca­nismes d’ap­pli­ca­tion de poli­tiques de sécu­ri­té sans agent et de la sur­veillance com­por­te­men­tale pour détec­ter les compromissions.

Stratégies de segmentation pour BYOD

Le phé­no­mène BYOD (Bring Your Own Device) a intro­duit une com­plexi­té sup­plé­men­taire dans la sécu­ri­té réseau en brouillant les fron­tières entre appa­reils per­son­nels et pro­fes­sion­nels. Les stra­té­gies modernes pour sécu­ri­ser ces environnements :

  • La dif­fé­ren­cia­tion des niveaux d’ac­cès selon l’é­tat de sécu­ri­té de l’appareil
  • L’é­ta­blis­se­ment de zones de sécu­ri­té dis­tinctes pour les appa­reils personnels
  • Les tech­niques d’on­boar­ding sécu­ri­sé et de pro­vi­sion­ne­ment automatique
  • La ges­tion des appli­ca­tions et don­nées d’en­tre­prise sur des appa­reils personnels
  • L’é­qui­libre entre sécu­ri­té et expé­rience utilisateur

Cis­co pro­pose plu­sieurs tech­no­lo­gies notam­ment l’in­té­gra­tion d’ISE avec Mobile Device Mana­ge­ment (MDM) et l’u­ti­li­sa­tion de conte­neurs d’ap­pli­ca­tions sécurisés.

Contrôle d’accès réseau (NAC)

Le contrôle d’ac­cès réseau repré­sente un élé­ment fon­da­men­tal dans la pro­tec­tion des envi­ron­ne­ments IoT et BYOD :

  • L’au­then­ti­fi­ca­tion des appa­reils avant l’ac­cès au réseau (802.1X, MAB)
  • L’é­va­lua­tion de la pos­ture de sécu­ri­té (véri­fi­ca­tion des logi­ciels anti­vi­rus, mises à jour OS, etc.)
  • L’ap­pli­ca­tion dyna­mique de poli­tiques basées sur l’i­den­ti­té et le contexte
  • Les méca­nismes de remé­dia­tion auto­ma­tique pour les appa­reils non conformes
  • L’in­té­gra­tion avec le reste de l’é­co­sys­tème de sécurité

Le NAC moderne, repré­sen­té par des solu­tions comme Cis­co ISE, va bien au-delà du simple contrôle d’ac­cès binaire (autoriser/refuser) pour offrir un contrôle gra­nu­laire adap­té à chaque situation.

Gestion des identités et des accès (IAM)

Au cœur de la sécu­ri­té moderne se trouve la ges­tion des iden­ti­tés et des accès, qui englobe :

  • La ges­tion cen­tra­li­sée des iden­ti­tés numériques
  • L’authen­ti­fi­ca­tion forte et multifactorielle
  • La fédé­ra­tion d’i­den­ti­té entre dif­fé­rents sys­tèmes et clouds
  • La ges­tion du cycle de vie des iden­ti­tés (créa­tion, modi­fi­ca­tion, révocation)
  • Les modèles d’au­to­ri­sa­tion basés sur les rôles et les attributs

Dans l’é­co­sys­tème Cis­co, cette fonc­tion est assu­rée par des solu­tions comme Cis­co ISE et Duo Secu­ri­ty, qui per­mettent d’é­ta­blir une source unique de véri­té pour les iden­ti­tés et les poli­tiques d’accès.

Mise en œuvre pratique et défis opérationnels

Intégration des solutions de sécurité

La mise en œuvre d’une sécu­ri­té effi­cace néces­site l’in­té­gra­tion de mul­tiples solutions :

  • Les défis d’in­té­gra­tion entre solu­tions de dif­fé­rents fournisseurs
  • Les API et stan­dards qui faci­litent cette intégration
  • L’im­por­tance des pla­te­formes d’or­ches­tra­tion comme Cis­co Secu­reX
  • Les stra­té­gies de migra­tion pro­gres­sive vers un modèle Zero Trust

Réponse aux incidents et reprise

La détec­tion des menaces n’est qu’une par­tie de l’é­qua­tion ; la réponse effi­cace est tout aus­si cruciale :

  • L’é­ta­blis­se­ment de pro­ces­sus for­mels de réponse aux incidents
  • L’iso­la­tion auto­ma­ti­sée des sys­tèmes compromis
  • Les tech­niques d’in­ves­ti­ga­tion et de foren­sique réseau
  • Les stra­té­gies de remé­dia­tion et de retour à la normale
  • Les leçons à tirer pour amé­lio­rer conti­nuel­le­ment la pos­ture de sécurité

Conclusion

La sécu­ri­té des réseaux moderne néces­site une approche glo­bale qui va bien au-delà des pare-feu péri­mé­triques tra­di­tion­nels. Le modèle Zero Trust, l’a­na­lyse com­por­te­men­tale, et la ges­tion fine des iden­ti­tés consti­tuent désor­mais le socle d’une stra­té­gie de défense effi­cace. Ces évo­lu­tions se reflète dans le CCNA ver­sion 1.1.

Article précédent
Réseau basé sur l’intention
Article suivant
Évolutions des technologies sans-fil

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Les plus populaires

Voir plus

©2024 Réussir son CCNA — reussirsonccna.fr. Tous droits réservés.
Mentions légales