Fastbooking, éditeur français de logiciels de gestion et de réservation pour le secteur hôtelier, a récemment admis avoir été victime d’un piratage, suite à une vulnérabilité dans une application tierce installée sur son serveur. C’est désormais un fait avéré : toutes les organisations – peu importe leur taille, leur industrie ou encore leur renommée – sont des cibles potentielles pour les cybercriminels. Les entreprises s’équipent donc en conséquence et déploient des outils pour faire face aux menaces. Ainsi, celles qui possèdent des bureaux distants adoptent massivement les réseaux étendus définis par logiciels (ou SD-WAN, pour Software-Defined Wide Area Networks), afin de gagner en agilité, en facilité de gestion, en réactivité et, surtout, pour bénéficier d’une meilleure sécurité et ce, de manière simplifiée.
Le SD-WAN permet la sécurisation des réseaux grâce à six points clés :
- Le transport – Pour une meilleure sécurité, il est conseillé d’utiliser une connexion internet directe depuis la succursale vers les applications SaaS et web de confiance. Une solution SD-WAN de pointe sécurise les connexions internet en créant des chemins chiffrés entre chaque site du réseau – que le trafic intervienne entre les bureaux distants, ou entre une succursale et le Siège de l’entreprise – tout en profitant de la sécurité SSL fournie par les applications SaaS. Il s’agit d’une protection similaire à celle procurée par un réseau privé virtuel (VPN), mais sans la complexité du provisioning et de la configuration de ce dernier. Avec des chemins de bout en bout et un pare-feu dynamique, une solution SD-WAN ainsi sécurisée peut empêcher l’entrée du trafic externe non autorisé dans le réseau d’un bureau distant.
- La micro-segmentation – Il s’agit de la segmentation du trafic en fonction des caractéristiques, des performances, des besoins et des règles de sécurité applicatives. Celle-ci est capable de déployer une approche évolutive, qui s’étend du datacenter à travers le WAN, pour faire face aux cybermenaces, même sophistiquées. Plus largement, la micro-segmentation permet aussi de segmenter et d’appliquer des stratégies distinctes pour chaque application ou groupe d’applications, et de répondre rapidement aux menaces, pour les contenir et les isoler. Grâce à elle, les équipes pourront automatiser l’application des règles et stratégies, ainsi que réduire la surface d’attaque en isolant, si besoin, des applications compromises, améliorant donc le contrôle et la gestion.
- L’identification applicative granulaire – Une solution SD-WAN de pointe permet d’orienter le trafic applicatif de la succursale vers internet, éliminant ainsi le backhauling inefficace – soit l’acheminent du trafic applicatif entre un bureau distant et le Siège. Il est en outre possible d’automatiser l’identification des applications de confiance (pouvant être directement connectées à internet) et, à l’inverse, celles qui doivent être renvoyées pour être inspectées. Pour ce faire, il est nécessaire de procéder à une identification applicative granulaire basée sur le premier paquet reçu. Le trafic est alors redirigé en fonction de règles préétablies : directement sur internet pour le trafic approuvé ; vers une passerelle web, sécurisée, pour d’autres types de trafic, tels que le streaming de vidéos YouTube par exemple ; ou vers un pare-feu pour le trafic inconnu ou suspect. Les risques de sécurité sont ainsi diminués et le réseau s’adapte automatiquement aux conditions changeantes.
- Le zero-touch provisioning – Il s’agit de l’un des principaux avantages du passage à une solution SD-WAN, car il permet de connecter un nouveau site distant en quelques minutes et sans qu’aucune expertise ne soit requise. Cette technique minimise également le risque d’erreur humaine, car, lorsqu’une règle est définie ou modifiée, elle est automatiquement appliquée à tous les appareils du réseau SD-WAN. Cependant, le Zero-Touch provisioning nécessite des mesures de sécurité avancées, pour s’assurer que l’automatisation ne rime pas avec vulnérabilités.
- Le service chaining – Pour atteindre les niveaux de sécurité les plus élevés possibles, les technologies de déploiement et de sécurité doivent se compléter les unes les autres. Pour ce faire, le service chaining, qui relie le SD-WAN aux meilleures solutions de sécurité tierces, est l’outil idéal. Il est en outre possible de déployer des outils d’orchestration et de gestion centralisés pour faciliter la mise en place et la gérance de service chaining relatif à la sécurisation des applications locales, centrales ou basée sur le cloud.
- Le respect des règles de conformité – Que l’entreprise soit dans un secteur hautement réglementé, comme les services financiers ou la santé, ou non, il existe un certain nombre de lois auxquelles les organisations doivent dorénavant se plier. Pour améliorer la conformité, tout en allégeant les coûts, une solution SD-WAN de pointe peut assurer la sécurité des données avec des superpositions chiffrées et une micro-segmentation du trafic. Les overlays aident à isoler le trafic afin qu’il respecte les obligations de conformité, par exemple en segmentant les transactions par carte de crédit pour respecter la norme de sécurité de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard ou PCI DSS). Autre point important, la sécurisation est facilitée via un contrôle des accès basé sur les droits, des alarmes en cas d’activités inhabituelles, une surveillance des mots de passe, ou encore un registre des logs.
______________
Pierre Langlois est Country Manager France, chez Silver Peak