Comment surveiller le réseau dans un monde informatique de moins en moins sûr

Cloud, mobilité, IoT... Bien que ces transformations aient renforcé l'efficacité des entreprises, elles créent plus de responsabilités pour les équipes informatiques, qui doivent s'assurer que leur environnement IT est performant et sécurisé.

L'informatique d'entreprise a considérablement évolué au cours de la dernière décennie. Aujourd'hui, les équipes informatiques sont, non seulement responsables de la disponibilité et des performances du réseau, mais aussi de sa sécurité. Les principaux moteurs de la complexité informatique ont été l'adoption d'applications basées sur le Cloud et l'émergence du BYOD (Bring Your Own Device) au travail.

Et si l'on regarde vers l'avenir, le mouvement de l'Internet des Objets (IoT) va transformer la façon dont les équipes informatiques gèrent leurs réseaux. Cisco prévoit que le marché mondial de l'IoT atteindra 14400 milliards de dollars d'ici 2022 et que les applications Cloud représenteront 90 % du trafic mondial des données mobiles d'ici 2019.

Bien que ces transformations technologiques aient renforcé l'efficacité des entreprises, elles ont créé plus de responsabilités pour les équipes informatiques, qui doivent s'assurer que leur environnement informatique est disponible en continu, fournit des performances optimales aux utilisateurs et reste sécurisé. Pour que cela soit possible, les équipes informatiques doivent connaître chacune des actions se produisant dans leur environnement. Qu'il s'agisse d'un employé interne utilisant un appareil ou un service non validé, ou d'un acte externe de cybercriminalité, une visibilité proactive, mais également exploitable, est la clé du combat contre les menaces qui pèsent sur les performances et la sécurité du réseau. Voici trois bonnes pratiques pour une surveillance efficace du réseau dans les environnements informatiques complexes des entreprises :

1.     Automatiser la surveillance des enregistrements des flux et l'analyse du trafic réseau

Des fonctionnalités de collecte des flux et d'analyse du trafic peuvent alerter les équipes informatiques de toute déviation trop importante par rapport au trafic de référence. Dans ce cas, une analyse plus approfondie peut contribuer à déterminer s'il s'agit d'une utilisation non professionnelle du réseau ou d'une activité entraînant une dégradation des performances. Les résultats exploitables de cette analyse peuvent consister à limiter ou mettre fin à cette activité et à vérifier que l'utilisation professionnelle du réseau reçoive la priorité absolue. 

2.     Surveiller les journaux de tous les systèmes informatiques critiques sur le réseau

Une gestion complète des journaux peut également alerter les équipes informatiques de tout signe de brèche, comme les tentatives de mot de passe par la force brute ou les changements de configuration non autorisés. De plus, la collecte et le stockage automatiques des journaux peuvent aider dans le cadre des audits et de la conformité. En identifiant les menaces potentielles grâce à la surveillance en continu, la gestion des journaux peut simplifier le dépannage pour les services informatiques et faciliter la détection des alertes rouges de sécurité. 

3.     Utiliser la réputation et la géolocalisation des IP pour détecter une activité inhabituelle sur le réseau

La surveillance des adresses IP en fonction de leur origine et de leur réputation peut fournir de la visibilité sur toute activité inhabituelle du réseau. L'utilisation de la géolocalisation d'une adresse IP peut aider à déterminer si le réseau reçoit du trafic de zones géographiques qui ne sont pas liées aux activités de l'entreprise, et à identifier des sources de risques de sécurité. À titre d'exemple, si un administrateur informatique détermine que la majorité du trafic vient d'une zone géographique précise au cours d'une attaque par déni de service (DDoS), l'équipe informatique peut mettre en place une liste de contrôle d'accès réseau (ACL) temporaire pour bloquer tout le trafic en provenance de cette zone. De même, bloquer le trafic en provenance d'adresses IP malveillantes connues peut contribuer à réduire le risque de failles de sécurité du type scans des ports du pare-feu, communications de botnets et logiciels malveillants.

4.     Éduquez les utilisateurs sur la façon dont leur comportement informatique personnel peut affecter l'entreprise

Enfin, la sécurité informatique ne doit pas être uniquement du ressort de l'équipe informatique. Chacun, dans l'entreprise, doit en être responsable. Pour arriver à cela, les équipes informatiques doivent prendre le temps d'éduquer les employés sur la façon dont leur comportement informatique personnel peut affecter l'infrastructure et l'ensemble des activités de l'entreprise. Par exemple, les employés savent-ils comment modifier de grandes images en haute résolution afin que ces fichiers consomment moins de bande passante ? Protègent-ils par mot de passe leur ordinateur portable et leur téléphone mobile et modifient-ils ces informations de connexion si nécessaire ? Il faut inclure des informations sur la consommation de bande passante du réseau et l'importance de la sécurité quand les employés reçoivent du nouveau matériel ou de nouveaux logiciels, pour s’assurer que le réseau ne soit pas compromis par un employé bien intentionné, mais mal informé. 

Juniper Research a récemment prévu que le coût du cybercrime atteindra 2,1 milliards de dollars à l'échelle mondiale d'ici 2019. Aujourd'hui plus que jamais, les équipes informatiques — même celles aux ressources limitées — doivent se montrer créatives et vigilantes pour protéger l'infrastructure de leur entreprise. Il faut pour cela exploiter la gestion des journaux, la surveillance du réseau et l'analyse du trafic pour rester informés de toute l'activité de l'infrastructure, et utiliser la réputation et la géolocalisation des IP pour détecter toute activité inhabituelle sur le réseau. Enfin, admettre que la responsabilité de la sécurité informatique ne peut pas être du seul ressort des équipes informatiques afin de bien se protéger. Tous les collaborateurs de l’entreprise doivent être éduqués sur la façon dont le comportement informatique individuel peut avoir un impact considérable sur une entreprise et son infrastructure informatique.