Comment sécuriser les communications unifiées

Les attaques des systèmes de communications unifiées (UC) s’intensifient et sont de celles que les entreprises comprennent le moins bien actuellement. De plus en plus d’entreprises adoptent les services de communication voix sur IP, par vidéo et de messagerie instantanée. Elles atteignent le point culminant de leur parcours de transformation numérique. Et certains de ces services, vocaux notamment, n’ont jamais transité sur IP auparavant, si bien que les entreprises ont une nouvelle application IP à protéger. Et ces communications unifiées (UC) ouvrent la voie aux transferts de fichiers, de vidéos et échanges vocaux en sortie et à destination des entreprises. Il ne s’agit donc pas tant de protéger ce qui rentre sur le réseau que ce qui sort du réseau également.

L’impact important du BYOD sur les UC

Deux éléments viennent perturber le paysage de la sécurité des communications. Le premier est que de plus en plus d’entreprises adoptent les UC purement IP. Précédemment, les communications vocales passaient par des fils de cuivre torsadés, mais dès que l’on bascule une application sur internet, le réseau devient la cible de nouveaux vecteurs d’attaque car les tentatives d’attaques sur IP sont bien plus faciles à réaliser que la pénétration d’un réseau de câblage en cuivre. Le second argument tient au fait que de nombreuses entreprises ne veulent plus héberger leurs systèmes UC. Si la migration des UC vers le cloud est un vecteur de flexibilité, de confort et d’économies, elle crée aussi une nouvelle surface d’exposition aux attaques.

Les entreprises ont aussi intérêt à considérer l’impact des pratiques BYOD. Nous savons tous combien le BYOD et le shadow IT ouvrent la voie à de nouvelles menaces. Ils induisent aussi un changement en profondeur de la façon dont les entreprises protègent leurs terminaux. Pendant des années, les entreprises s’inquiétaient juste d’équiper leurs salariés de lignes téléphoniques terrestres (en réseau fermé). Les salariés n’utilisaient jamais leurs appareils personnels pour travailler. Aujourd’hui, les entreprises doivent protéger un nombre potentiellement illimité d’appareils, des PC privés aux smartphones et aux tablettes. Les applications sont utilisées sur tous ces appareils, étendant encore la surface d’attaque.

La limite du firewall classique

La plupart des entreprises utilisent des pare-feu pour protéger leur réseau. Et ces pare-feu sont efficaces pour l’inspection des paquets en profondeur et la veille sur les menaces. Mais ceci ne concerne que l’aspect IP des données. En termes UC, cela correspond à la lecture des signatures des charges utiles.  Malheureusement, les pare-feu n’ont pas la vision globale ou d’état (statefullness) pour protéger des services SIP complexes, comme les appels vocaux et vidéo à partir de brèches dans la couche applicative. Autrement dit, les applications UC dépassent le niveau de QI du pare-feu standard d’entreprise.

Nous savons bien qu’il n’existe aucune solution capable de protéger complètement la sécurité de l’entreprise. Mais en termes UC, les contrôleurs SBC (session border controller) sont le pare-feu des communications temps réel. Les contrôleurs SBC disposent de fonctions de sécurité intégrées, comme la conscience d’état par session, le filtrage de protocole, le masquage de topologie, le chiffrement et la conscience du service qui conditionne granulairement l’utilisation des applications et l’inscription dynamique sur liste noire en cas d’abus. Cette fonctionnalité permet aux contrôleurs SBC de protéger les applications UC contre les attaques de type SIP de bien meilleure façon que les pare-feu, même les plus avancés de nouvelle génération. Ils assurent aussi le routage intelligent, le transcodage de contenu multimédia et l'interfonctionnement de signalisation garants de la qualité des expériences UC.

La communication, clé dans la lutte contre les menaces sophistiquées

La question la plus importante que les responsables de la sécurité peuvent se poser est la suivante : « comment ma posture de sécurité changerait-elle si tous les outils et toutes les solutions étaient intercompatibles ? ». Les solutions de sécurité fonctionnent actuellement comme une ligne de percussions. Chaque dispositif fait ce pour quoi il est bon et ne transmet à d’autres dispositifs de la ligne que les problèmes qu’il ne sait pas régler lui-même. Dès que les dispositifs s’échangent des informations de sécurité, la posture de sécurité globale de tout le réseau se renforce. On peut envisager cette synergie sous l’angle de la surveillance de quartier entre voisins. Dès qu’un propriétaire informe son voisin d’une tentative de cambriolage, c’est tout le voisinage qui se met en alerte. Ainsi, on bloque plus facilement une attaque plurielle, de plus en plus fréquente.

La même approche collaborative peut être envisagée pour protéger les UC. Par exemple, si un contrôleur SBC détecte une potentielle anomalie de comportement parmi ses applications UC, il peut interrompre la session en question. Une fois que c’est le cas, l’information peut être communiquée à d’autres dispositifs, les pare-feu, les routeurs ou d’autres SBC, qui se mettront en quête du même comportement anormal de la part d’autres applications. Avec une approche collaborative de la sécurité d’est en ouest, où chaque dispositif d’une entreprise partage des informations, des données et des règles, le niveau de confiance vis-à-vis des communications ainsi que la posture de sécurité globale de l’entreprise s’en trouvent renforcés. C’est donc une meilleure piste pour faire face aux menaces sans cesse plus sophistiquées.

Faut-il tout reprendre à zéro ?

De nouvelles menaces, comme des attaques des applications UC, vont émerger et continuer d’évoluer à mesure que les entreprises et les réseaux poursuivent leur transformation numérique. Plutôt que de recommencer, les responsables de la sécurité devraient s’efforcer de mieux monétiser ce qui est déjà présent sur leur réseau. Ils peuvent planifier une meilleure utilisation des solutions qui coexistent sur leur réseau pour générer de la valeur de l’existant via la collaboration contextuelle.