21 avril 2021
Laisser un tiers (représentant, client, fournisseur, personne extérieur à l’établissement) se connecter à votre réseau internet est devenu une pratique courante. En se connectant ainsi à Internet, il se connecte aussi à votre réseau interne informatique.
Dans la mesure du possible, nous vous conseillons d’appliquer ces quelques conseils.
Interdire toute connexion à votre réseau par des tiers qui ne font pas partie de votre organisation
Cependant, pour les organismes souhaitant offrir cette possibilité, il est nécessaire de scinder le réseau interne de l’organisation et l’accès externe. Cela permet d’offrir une facilité de connexion à internet, tout en bloquant l’accès à vos postes informatiques.
Pas nécessairement parce que le tiers qui s’y connecte aurait de mauvaises intentions. Ce n’est peut-être pas le cas. Mais parce qu’à son insu, son appareil numérique (portable, tablette ou smartphone) peut être porteur d’éléments malsains qui peuvent contaminer vos propres postes. Bloquer l’accès à votre réseau interne est donc une sécurité nécessaire.
Et ce tant pour les connexions wifi que pour les connections filaires. Il est nécessaire de s’équiper de commutateurs réseaux, dits « switchs », qui soient administrables, permettant ainsi de segmenter le réseau local en plusieurs sous réseaux (réseaux virtuels, dirs « vlans ») plus sécurisés.
Avec de telles solutions matérielles, il est ainsi possible de dissocier les réseaux : en créant un réseau « invité » où seul internet sera accessible depuis un point identifié, tandis que sur votre réseau « privé », l’ensemble de vos postes communiquent entre eux sans être vus ni accessibles par le réseau « invité ».
Activer un réseau Wifi en entreprise
Les données qui transitent en Wifi sont facilement récupérables et exploitables par un utilisateur averti ou mal intentionné. La connexion par câble Ethernet, dite connexion filaire, est un choix qu’il faut privilégier à chaque fois que cela est possible.
La connexion filaire bénéficie de 2 avantages : sa sécurité renforcée par rapport au Wifi et sa vitesse de connexion.
Si la mise en place d’un réseau Wifi est incontournable
Dans certains cas (utilisation de portables, de tablettes) l’utilisation du Wifi est une obligation. Alors il est nécessaire de sécuriser l’accès par la création de Vlans (réseaux virtuels), par une gestion très stricte des équipements connectés et par une politique de sécurité respectant des règles qui doivent être régulièrement remises en causes.
Seuls les équipements informatiques de l’entreprise doivent pouvoir se connecter sur le réseau privé. Les équipements actuels professionnels permettent de reconnaître ces appareils et de n’autoriser que ceux-ci sur le réseau.
Les cybercriminels ont trouvé la parade à cette sécurité, avec la technique du « Mac Spoofing » (se faire passer pour un équipement reconnu et autorisé sur le réseau), mais la mise en oeuvre est complexe et ne reste accessible qu’à certains.
Conseils pour limiter les risques
Il est tout de même nécessaire de configurer le réseau Wifi avec un système de chiffrement : TKIP (WPA) ou AES (WPA2) et d’authentification forte : WPA-SPK (clé partagée) ou WPA-EAP (certificat).
Il est également important de s’assurer qu’aucun équipement ne puisse se connecter à un réseau Wifi de type p2p (peer-to-peer ou pair à pair en français) ni qu’il puisse accéder en même temps au LAN et au Wifi, ceci afin d’éviter les attaques de type de pontage (anti-hybrid network bridging).
Le point d’accès Wifi doit être en mesure d’enregistrer un journal de connexion, qui doit être régulièrement vérifié. Il doit également être en mesure de gérer des plages horaires de connexion. Cela permet de stopper tout accès Wifi en dehors des jours et heures d’ouverture de l’établissement.
La mise en place d’un contrôleur Wifi facilite la maintenance et la gestion des points d’accès, sécurise l’ensemble du réseau (possibilité de mise en quarantaine).
Enfin, si pour les raisons de convenances, vous disposez d’un Wifi « public » pour autoriser vos visiteurs à se connecter à internet, la clé d’accès wifi publique doit être changée chaque jour. En référence : loi n°2006-604 du 23 janvier 2006.
Dans tous les cas, la sécurité d’un réseau informatique est une tâche complexe. Elle doit être confiée à un professionnel ayant de solides compétences et expériences dans ce domaine. La mise en place et la gestion des réseaux virtuels, de l’authentification, de VPN, de contrôle de flux est un métier de spécialiste.
Ce qu’il faut retenir
- A chaque fois que cela est possible : privilégier un réseau informatique filaire plutôt que wifi.
- Interdire à un « invité » toute connexion si le réseau de l’organisation ne gère pas de réseau public.
- Un matériel professionnel conforte la sécurité de base d’un réseau.
- La mise en place est complexe : elle doit être mise en place par un spécialiste.