Sécurité des communications cloud : qui est responsable ?

L’une des graves erreurs que les entreprises commettent avec l'Unified Communications-as-a-Service est de penser que la sécurité est déjà prévue.

C’est officiel : la technologie Unified Communications-as-a-Service (UCaaS) est désormais mainstream, au point d’ailleurs que les analystes d’IDC déclarent 2017 « l’année de l’UcaaS ». Mais avant que l’industrie approuve et signe, plusieurs réponses restent encore à trouver, à commencer par « qui est responsable de la sécurité d’UcaaS ? ».

Soyons clairs : la sécurité n’est pas une raison pour ne pas migrer les communications unifiées (UC) dans le Cloud. L’intensification des communications mobiles et des pratiques de télétravail, sous l’effet de facteurs démographiques et de marché inarrêtables, exige de pouvoir compter sur des expériences de communication et de collaboration que seules les UC peuvent délivrer. Le Cloud permet aux entreprises de déployer les applications de communication rapidement et de façon cohérente, de les faire évoluer facilement et de les mettre à niveau régulièrement. Il peut entourer ces applications de garanties de sécurité, à condition que les entreprises comprennent quel niveau et quel type de sécurité elles obtiennent avec leur service.

La sécurité est l’affaire de chacun

L’une des graves erreurs que les entreprises commettent avec UCaaS est de penser que la sécurité est déjà prévue avec le service. Même si le fournisseur s’y engage par écrit, la sécurité des UC doit être une responsabilité partagée ; l’enjeu est trop important pour faire intégralement confiance à une tierce partie. Et alors que vos applications UC résident dans le Cloud, ce n’est pas le cas de votre réseau, des terminaux, des flux des appels et des supports, si bien que vous ne pouvez pas attendre de votre fournisseur Cloud qu’il les protège.

Les entreprises ont intérêt à coopérer avec leur fournisseur UCaaS afin de déterminer qui assure la sécurité de quoi. Ce plan doit préciser dans le détail comment le fournisseur et l’entreprise vont protéger les terminaux et sécuriser la connexion entre le réseau de l’entreprise et le Cloud.

Faire le point dès aujourd’hui sur les communications en temps réel

La migration des UC dans le Cloud ne se fait pas sans le réseau de l’entreprise. En réalité, cette extension au Cloud du périmètre le rend plus poreux et multiplie les vecteurs d’attaque. Les appels vocaux et vidéo, par exemple, devront toujours transiter du Cloud par votre réseau et vice versa. Les travailleurs distants qui passent un appel via le service UC ne seront pas sur votre réseau, mais leurs flux média et de signalisation traverseront probablement votre réseau à un moment ou à un autre. Et même si votre fournisseur UCaaS chiffre les flux média et de signalisation (certains le font pour tous les flux), des problèmes peuvent toujours se poser.

Toutefois, dès leur conception, la plupart des réseaux d’entreprise visent à sécuriser les communications de données entrantes et sortantes et non les communications en temps réel. Les applications des communications en temps réel, comme pour les UC, diffèrent des applications exclusivement à base de données car elles utilisent le protocole SIP (Session Initiation Protocol) basé sur IP. Un protocole SIP mal sécurisé expose l’entreprise à plus de risques d’exfiltration de données, d’attaque par déni de service (DoS), d’attaque par déni de service de téléphonie (TDoS) et même d’écoute illicite. Mais même si les pare-feu autonomes font un excellent travail de protection des données, ils ne sont pas adaptés à la protection des applications SIP. Dans de nombreux cas, vous devez désactiver des fonctions spécifiques du pare-feu pour faire fonctionner la voix et la vidéo.

Donc, pour transmettre un appel vocal ou vidéo via un pare-feu de données standard, vous devrez probablement désactiver la fonctionnalité de passerelle de la couche applicative (ALG, application layer gateway) du protocole SIP du pare-feu. Mais ce faisant, vous créez malheureusement une brèche de sécurité par laquelle des cybercriminels peuvent vous dérober des données ou perpétrer des attaques DDoS.

Si les entreprises veulent des communications Cloud réellement sécurisées, elles doivent ajouter un contrôleur SBC (session border controller) à leur réseau. Un contrôleur SBC sert de pare-feu SIP capable de protéger et de chiffrer des communications en temps réel, comme la voix et la vidéo, mais aussi de délivrer de précieux services, d’assurance de qualité de service (QoS), de transcodage de contenu multimédia et d'interfonctionnement de signalisation.

Adopter une approche intelligente de la sécurité des communications Cloud

Dans un monde où près d'un million de nouveaux malwares sont diffusés chaque jour, se protéger contre les menaces connues n’est pas du tout suffisant. C’est ce qui explique que de nombreuses entreprises se tournent vers l’analytique de sécurité avancée pour mieux détecter et bloquer les nouvelles attaques. Bien entendu, ces informations de sécurité doivent être partagées dans toute l’entreprise, et avec les partenaires de service Cloud, pour être utiles et efficaces.

Par exemple, imaginez qu’un contrôleur SBC et un pare-feu soient tous les deux visés par une nouvelle attaque à quelques instants l’un de l’autre. Le SBC pourrait analyser la signature de l’attaque, déterminer le niveau de danger potentiel et empêcher le trafic SIP de pénétrer sur le réseau. Mais si le SBC ne communique pas l’information au pare-feu, l’attaque pourrait se propager et le bénéfice ponctuel de l’analyse serait alors perdu. L’intégration des informations de sécurité aux différents systèmes pour qu’elles puissent être relayées aux applications et distribuées en temps réel sera un composant clé de la sécurité Cloud à l’avenir.

Voici trois recommandations en ce sens pour aider les entreprises à sécuriser leurs services UC Cloud :

Convenir d’un plan de sécurité avec votre fournisseur UCaaS et veiller à ce que les responsabilités de chaque partie soient clairement définies et comprises.

Sécuriser les logiciels de téléphonie (softphone) et autres terminaux en les mettant systématiquement à jour des derniers correctifs.  

Prévoir d’ajouter un contrôleur SBC sur chaque site qui se connectera au Cloud. Un contrôleur SBC ne sert pas uniquement à sécuriser les flux d’appels SIP, mais veille aussi à ce que votre expérience UCaaS délivre à chacun une qualité vocale et vidéo supérieure.

La sécurité ne doit pas être un frein à la migration vers le Cloud. Voyez cela comme un dos d’âne qui vous oblige à ralentir et à préparer les choses soigneusement pour progresser doucement mais sûrement.