Bannir le sans fil ne freinera pas ses utilisateurs

Les réseaux sans fil tendent à devenir une commodité au sein de nos espaces résidentiels, dans les rues de nos principales villes ou encore dans les aéroports et les gares. Cette technologie devient ainsi omniprésente au sein de nos différents lieux de vie... À une exception près, le bureau.

L'idée est parfois tenace : pour certaines entreprises, le sans fil mettrait en péril la sécurité de leurs données, ouvrant la voie aux pertes et au détournement d'information ou encore à la prolifération de virus et autres logiciels malveillants. Sur le terrain, les fervents partisans d'une connectivité sans fil se voient encore trop souvent opposer un veto catégorique.

Ces entreprises arbitrent entre, d'une part, le risque perçu qu'un réseau sans fil puisse compromettre le sacro-saint périmètre de sécurité de leur architecture filaire et, d'autre part, les avantages de la technologie en elle-même. Elles tranchent souvent en faveur d'un statu quo qui se concrétise par une politique du "Tout Filaire".

Pourtant, dans la volonté de proscrire le sans fil, les entreprises se heurtent à deux problématiques.

En premier lieu, il est utopique de croire qu'une interdiction sera appliquée à la lettre sur le terrain. Les points d'accès sans fil sont à la portée de chacun et se veulent de plus en plus économiques. Sauf à fouiller méticuleusement chaque collaborateur lorsqu'il pénètre dans l'enceinte de l'entreprise, un simple décret d'interdiction ne mettra pas fin à la prolifération du sans fil. Ainsi, les menaces d'une mobilité non contrôlée existent, et ce, quelles que soient les directives sur le sujet.

Deuxièmement, certaines entreprises l'ignorent encore, mais la maturité des équipements sans fil propose aujourd'hui de nouvelles options pour définir une mobilité réseau sécurisée. La prise de décision sur le sujet n'est désormais plus aussi binaire que dans le passé, entre interdiction et autorisation des accès sans fil. Aujourd'hui, on peut gérer le sans fil avec des règles et une stratégie pertinentes.

L'application d'une politique du "Tout Filaire" est-elle possible ?

Il en va ainsi de la nature humaine : lorsque vous équipez vos collaborateurs de dispositifs sans fil (PC portables, PDA, smart phones, etc.), attendez-vous à ce qu'ils souhaitent tirer avantage de cette mobilité. Quoi de plus simple pour un collaborateur de connecter un routeur ou un hub Wi-Fi à une prise RJ 45 ?

Au risque de créer un réseau Wi-Fi qui portera sur les étages avoisinants d'un immeuble de bureaux (éventuellement occupés par d'autres entreprises), ou qui se rendra disponible vers l'extérieur. Cette pratique est d'autant plus alarmante que ce collaborateur n'est guère conscient des risques d'une telle installation amateur pour les ressources informatiques et le réseau de son entreprise.

Ainsi, lorsque les entreprises se rendent compte des entorses à leur politique du tout filaire, elles se penchent alors vers des solutions évoluées de réseau sans fil capables de sécuriser le trafic aérien et de répondre précisément aux problématiques suivantes.

La solution doit également neutraliser tous les réseaux WLAN ad hoc en périphérie du réseau d'entreprise, à savoir ces réseaux sans fil non gérés et qui relient les postes clients. Au sein d'un réseau 100% filaire, les WLAN ad hoc forment des points d'accès potentiels et prohibés vers le réseau d'entreprise et doivent à ce titre être détectés et désactivés. D'où l'intérêt d'une solution dotée d'un monitoring avancé de l'environnement radio, capable de neutraliser efficacement ces réseaux. Ce module de gestion radio doit également notifier les administrateurs réseau pour qu'ils puissent agir sur le réseau ad hoc à partir du client incriminé.

Avec la prolifération des PC portables équipés en Wi-Fi, les erreurs de configuration des postes client fragilisent la liaison entre le réseau filaire d'entreprise et l'interface Wi-Fi du portable, ce qui constitue une faille de sécurité importante. Ce risque plaide en faveur d'une sécurité radio évoluée, qui détecte automatiquement ces passerelles sans fil, notifie les administrateurs de leur existence et localise le client indésirable sur un plan d'étage.

Enfin, il est tout aussi important d'empêcher les clients au sein d'un espace Wi-Fi sécurisé de se connecter à un réseau sans fil adjacent, une opération qui doit être transparente tant pour le point d'accès adjacent que pour le client. Une infrastructure sans fil efficace classifiera automatiquement les points d'accès adjacents dans la catégorie des "interférences" et non des points d'accès "indésirables", et cette discrimination évitera toute association entre un client sécurisé et point d'accès externe.

D'une politique du "Tout Filaire" vers une mobilité sécurisée
Avec les progrès de la sécurité et de la technologie, les préoccupations initiales face aux accès sans fil se sont atténuées et les entreprises sont sensibilisées aux avantages de la mobilité pour leurs collaborateurs. Au sein de ces entreprises, l'idée que le sans fil soit devenu plus sécurisé que le filaire fait son chemin.

D'autant plus que le déploiement d'un réseau sans fil est à l'évidence une option plus simple, conviviale et économique que celle d'un réseau câblé. Les WLAN peuvent être déployés en tant que couche de service supplémentaire des réseaux filaires, sans mise à jour ou reconfiguration de ces derniers. D'où un intérêt émergent de la part des entreprises pour s'approprier les avantages d'une mobilité sécurisée.

La première étape d'une migration progressive vers le sans fil est de déployer un accès Wi-Fi dédié aux invités pour offrir aux visiteurs un accès rapide aux informations d'entreprise. Lorsqu'une politique du tout filaire s'enrichit d'un accès sans fil pour invités, cette migration doit être totalement transparente pour la sécurité et la gestion du réseau et minimiser la mobilisation des équipes informatiques internes.

Parallèlement, les accès doivent être restreints selon des critères d'heure et de lieu, avec comme avantage de n'offrir l'accès sans fil que pendant les heures d'ouverture des bureaux physiques par exemple. Certaines solutions WLAN du marché proposent cette fonctionnalité qui désactive un point d'accès ou un groupe de points d'accès pendant une période définie (en horaire nuit notamment). Cette souplesse d'exploitation limite l'exposition du réseau sans fil aux risques et garantit la disponibilité, et donc la réactivité des équipes informatique en cas de dysfonctionnement.

La restriction des accès utilisateurs aux applications qui leur sont nécessaires représente l'étape suivante d'une évolution vers un sans fil sécurisé. Avec cette fonctionnalité de confinement, les entreprises bénéficient de règles qui associent un protocole, une adresse IP et des applications cibles. Un WLAN doté d'un pare-feu dynamique va automatiquement mettre sur liste noire les clients qui transgressent certaines règles de sécurité du pare-feu. Ce blacklisting automatique déconnecte immédiatement l'équipement incriminé du réseau et en notifie l'administrateur.

Enfin, une solution réseau basée sur l'identité, qui consolide des fonctionnalités de cryptage, d'authentification et de contrôle d'accès au sein d'un équipement unique, offre tous les avantages d'une mobilité évoluée adossée à une sécurité de qualité filaire. L'identité d'un équipement sans fil est connue dès que celui-ci se connecte au réseau. Le cryptage des flux acheminés vers le coeur de réseau immunise le trafic réseau contre un éventuel intrus et garantit leur intégrité. Enfin, lorsque le contrôle d'accès est assuré par le pare-feu, les règles de sécurité doivent être discriminantes et basées sur l'identité et le profil de l'utilisateur plutôt que sur un critère arbitraire de type adresse IP.

En dépit de ces multiples avantages, certaines entreprises continuent à privilégier le tout filaire au sein de leur réseau. Ces entreprises doivent néanmoins être sensibilisées à l'impératif que représente un audit exhaustif qui identifie les risques d'une telle politique.

L'innovation technologique apporte les solutions nécessaires qui permettent d'appliquer une politique du tout filaire en tant que première étape vers une mobilité évoluée et sécurisée. Une solution WLAN de nouvelle génération s'impose ainsi pour que cette migration vers le sans fil ne se réalise pas au détriment de la sécurité du réseau d'entreprise.