Réduire les risques de sécurité à la périphérie du réseau. Meilleures pratiques pour les entreprises distribuées CE QUE VOUS OBTIENDREZ :

Transcription

1 Livre blanc / Sécurité Réduire les risques de sécurité à la périphérie du réseau Meilleures pratiques pour les entreprises distribuées CE QUE VOUS OBTIENDREZ : ++ Menaces affectant les entreprises distribuées et stratégies pour renforcer la sécurité des réseaux. ++ Impératifs de la configuration de réseau. ++ Informations sur la sécurité cloud, la conformité PCI et les réseaux parallèles méthodes pour accroître la sécurité.

2 Chaque année, les spécialistes en relations publiques d'au moins une entreprise de premier plan doivent invariablement travailler en toute urgence sur une communication de crise, pour essayer d'expliquer à un public en colère et aux craintes justifiées ce qui a conduit l'entreprise à compromettre les données de ses clients. Il y a toujours un impact immédiat sur la réputation de l'entreprise, entraînant une perte de fidélité à l'égard de la marque, et le départ de clients. Les violations de sécurité ont évidemment bien d'autres conséquences. Impacts potentiels d'une violation de données : + + Frais juridiques + + Perte de revenus ou de production en raison de l'indisponibilité des ressources de production + + Amendes pour violation de confidentialité + + Amendes pour violation des normes de sécurité des données de l'industrie des cartes de paiement + + Perte d'informations intellectuelles, concurrentielles ou exclusives + + Perte de bénéfices futurs résultant de l'incapacité à prouver la force du processus de sécurité aux clients, fournisseurs et partenaires Siège En tant que passerelle de l'entreprise vers Internet, les entreprises distribuées à la périphérie du réseau sont très vulnérables aux menaces de sécurité. EN CAS DE VIOLATION DE SÉCURITÉ, 90 % DU TEMPS MOYEN DE RÉSOLUTION EST CONSACRÉ À IDENTIFIER LE PROBLÈME. 1 DANS PLUS DE 1300 INCIDENTS DE VIOLATION DE DONNÉES EN 2013 : 91 % DES INCIDENTS ONT UNE ORIGINE EXTÉRIEURE. 88 % ONT RÉUSSI À COMPROMETTRE ET EXFILTRER EN QUELQUES MINUTES. 85 % ONT PRIS DES SEMAINES POUR ÊTRE DÉCOUVERTS. 45 % INTÉGRAIENT DES LOGICIELS MALVEILLANTS. 2 TOUS CES POURCENTAGES ONT FORTEMENT AUGMENTÉ DEPUIS L'ANNÉE PRÉCÉDENTE Cradlepoint. Tous droits réservés cradlepoint.com 2

3 RISQUES À LA PÉRIPHÉRIE Les entreprises dotées de centaines ou de milliers de sites sont confrontées en permanence à des défis majeurs pour maintenir la sécurité du réseau et ont un risque particulièrement élevé de subir des violations de données. Très vulnérable, la périphérie du réseau doit être soigneusement protégée contre les failles, les menaces et les attaques malveillantes. Les criminels considèrent la périphérie du réseau comme une cible facile, puisque les sites distribués traitent fréquemment des données très sensibles (par ex., cartes de crédit) tout en employant souvent des pratiques de sécurité plus faibles. Les facteurs contribuant aux failles de sécurité des réseaux de périphérie distribués comprennent : + + L'absence de support informatique sur site. Les mesures de sécurité telles que les mises à jour de micrologiciel et l'application de stratégies (par ex., règles de pare-feu, listes de contrôle d'accès, configurations sans fil, et VLAN) doivent être mises en œuvre régulièrement, mais peuvent être facilement négligées en l'absence de personnel informatique sur place. Même les succursales dotées de personnel informatique ont rarement l'expertise nécessaire pour mettre en œuvre et gérer des configurations de sécurité complexes. + + Le manque de sensibilisation à la sécurité des employés. À l'époque du «Apportez votre propre périphérique», les appareils des employés qui accèdent au réseau d'entreprise présentent des failles via les points d'accès non autorisés, l'hameçonnage et d'autres attaques d'ingénierie sociale. En l'absence d'une formation adéquate, les employés font courir des risques aux entreprises en ouvrant des s ou en cliquant sur des liens qui permettent aux programmes malveillants de s'installer sur leur périphérique et le réseau. + + Les tierces parties et les clients qui accèdent au réseau. De nombreuses entreprises ont affaire à des tiers qui nécessitent un accès Internet. Par exemple, un fournisseur de CVC peut demander à utiliser le réseau de l'entreprise pour surveiller et modifier les réglages de chauffage et climatisation. Les bornes placées dans les magasins exigent l'accès au réseau pour transmettre des données, et les clients nécessitent le WiFi pour utiliser leurs portables pendant qu'ils font des achats. Avec de multiples acteurs nécessitant un accès Internet et d'innombrables risques de violation de sécurité, les entreprises doivent faire preuve d'une vigilance permanente dans le développement, la mise à jour et l'application des stratégies de sécurité à la périphérie du réseau. LES ENTREPRISES DOTÉES DE PETITS SITES DISTRIBUÉS OU SUCCURSALES SONT LES PLUS À RISQUE DE SUBIR DES VIOLATIONS DE DONNÉES. 80 % DES VIOLATIONS DE DONNÉES DANS LE SECTEUR DE LA VENTE AU DÉTAIL ONT LIEU DANS LES MAGASINS DE MOINS DE 100 EMPLOYÉS. 24 % DES ATTAQUES AFFECTENT LES SECTEURS DE L'INFORMATION ET DES SERVICES PROFESSIONNELS. 34 % DES VIOLATIONS DE DONNÉES TOUCHENT LES ENTREPRISES FINANCIÈRES. 20 % DES ATTAQUES CIBLENT LE SECTEUR DE LA FABRICATION ET LES ACTIVITÉS CONNEXES. 30 % DES VIOLATIONS DE DONNÉES PASSENT PAR LES APPAREILS DES UTILISATEURS Cradlepoint. Tous droits réservés cradlepoint.com 3

4 ARCHITECTURES RÉSEAU POUR LES ENTREPRISES DISTRIBUÉES RÉSEAU EN ÉTOILE : ACCÈS CONTRÔLÉ À UN CENTRE DE DONNÉES CENTRALISÉ «Réseau en étoile» décrit les architectures qui exploitent un réseau privé virtuel (VPN) ou des passerelles cloud privées. Certains réseaux privés virtuels ne peuvent pas utiliser le cryptage pour protéger la confidentialité des données. Bien que les VPN fournissent souvent un certain degré de sécurité, un réseau superposé non crypté ne peut pas être proprement considéré comme un réseau sécurisé ou fiable. Les VPN doivent être configurés pour fonctionner comme passerelle vers un ou plusieurs segments de l'environnement, en s'appuyant sur des exigences robustes d'authentification, des fonctions d'inspection de point de terminaison, et l'intégration avec les technologies de bureau virtuel, de périphérique exclusif ou de point de vente. L'ARCHITECTURE RÉSEAU EN ÉTOILE UTILISE VPN POUR ACCORDER UN ACCÈS CONTRÔLÉ À UN CENTRE DE DONNÉES CENTRALISÉ. Siège Magasin Connexions Internet non sécurisées Réseau VPN sécurisé 2015 Cradlepoint. Tous droits réservés cradlepoint.com 4

5 AVANTAGES Sécurité. Dans le cas de multiples sites distants, un VPN peut économiser le coût d'une connexion Internet dédiée. La maintenance de l'établissement d'une connexion LAN via un VPN Internet est très faible par rapport aux solutions traditionnelles de lignes dédiées. Accompagnée de systèmes de cryptage et d'authentification appropriés, l'architecture VPN est une solution rentable et extrêmement évolutive pour transmettre des données en toute sécurité. Détection des menaces. Les données peuvent être analysées pendant leur déplacement à travers le réseau et utilisées pour identifier les menaces ou violations potentielles. L'exploitation de la même infrastructure de prévention des intrusions du cœur du réseau pour les succursales minimise les chances de mauvaise configuration à la périphérie du réseau. Gouvernance. Les entreprises chargées de transmettre ou stocker des données très sensibles peuvent être plus convaincues d'avoir le contrôle de la mise en œuvre et de la maintenance de l'architecture de sécurité. RISQUES Erreurs de planification et configuration. Le déploiement d'un VPN nécessite un haut niveau de planification et de configuration, ainsi que la mise à jour régulière du micrologiciel de routeur et l'application sans failles des stratégies de sécurité. Les réseaux doivent être correctement configurés et régulièrement maintenus. Les segments mal configurés peuvent créer des failles de sécurité dans le réseau central, que les pirates peuvent exploiter pour accéder aux données sensibles. La sécurité physique est également importante pour prévenir le vol du routeur ou de la passerelle de périphérie, qui peut être utilisé(e) pour accéder aux réseaux d'entreprise et aux données sensibles. LA CLÉ DE LA RÉUSSITE Sécuriser l'architecture réseau en étoile avec l'isolement et la segmentation. Dans le passé, de nombreuses organisations ont utilisé une architecture à simple ou double pare-feu, qui divise les réseaux en segments au niveau des couches 3 et 4, limitant ainsi les plages d'adresses IP et les ports TCP (Transmission Control Protocol) et UDP (User Diagram Protocol) susceptibles de traverser un segment ou un autre. Bien que cette architecture de sécurité réseau soit encore prédominante, plusieurs organisations commencent à contrôler le trafic au niveau des couches supérieures et à utiliser les nouvelles technologies qui facilitent l'enregistrement, l'analyse et le contrôle du trafic. Pour plus d'informations, reportez-vous à la page 11, «Deux méthodes pour améliorer la sécurité». LE CLOUD POUR LES SERVICES DE SÉCURITÉ De nombreuses organisations veulent profiter des économies et de l'efficacité du cloud, sans sacrifier leurs niveaux traditionnels de contrôle et de sécurité. Les solutions traditionnelles de sécurité réseau nécessitent un matériel coûteux surchargé de fonctionnalités, des interfaces de ligne de commande archaïques, des cours de formation intensive sur plusieurs jours, des programmes de certification, et des manuels de 400 pages. Lorsque la sécurité devient trop complexe, les risques d'erreurs de configuration et de conséquences imprévues augmentent. Pour les entreprises distribuées dotées d'un support informatique minimal sur site, la sécurité cloud offre la visibilité, la configuration et le contrôle de milliers de périphériques, partout dans le monde. Les entreprises distribuées devraient idéalement déployer des solutions de sécurité combinant l'immédiateté de la gestion sur site à la simplicité et au contrôle centralisé du cloud Cradlepoint. Tous droits réservés cradlepoint.com 5

6 AVANTAGES Évolutivité et concentration. Accroître l'échelle d'une architecture de sécurité cloud peut être réalisé d'une manière plus facile et rentable, nécessitant moins de planification que les architectures traditionnelles basées sur le matériel. Les processus liés à la sécurité, les réponses aux menaces, les mises à jour et les correctifs de sécurité peuvent être appliqués plus rapidement grâce à une architecture d'applications de sécurité cloud. Gestion des menaces. Le trafic Web peut être rapidement et dynamiquement authentifié, crypté et filtré avec une latence proche de zéro. Les attaques externes basées sur Internet peuvent être rejetées lors de la détection et la prévention des logiciels malveillants locaux. Réponse aux menaces. Contrairement à beaucoup de solutions sur site, les journaux d'événements et les alertes peuvent être filtrés dynamiquement grâce à des algorithmes cloud pour un suivi plus détaillé et des analyses exploitables. Acheminement du trafic plus flexible. Les tunnels cloud simplifiés et les protocoles de sécurité servant à protéger les données en transit peuvent être configurés et déployés beaucoup plus rapidement entre les sites distants et le siège social, sans le coût des têtes de réseau matérielles traditionnelles. Isolement de données. Les entreprises peuvent isoler les applications fréquemment ciblées, comme le courrier électronique, des données sensibles, comme les données de titulaire de carte. RISQUES Perte de gouvernance. Dans un modèle basé sur le cloud, les données et les informations sont stockées auprès d'une tierce partie. Il peut être difficile d'inspecter les pratiques de manipulation de données du fournisseur. Et bien que cela soit rare, il y a toujours la possibilité qu'un employé du fournisseur cloud compromette les données. Temps de résolution. Pour les entreprises dont les organisations informatiques disposent d'un personnel adéquat, les problèmes concernant les solutions sur site peuvent être traités en se connectant directement au périphérique pour accélérer au support du fournisseur. Avec les solutions basées sur le cloud, le service informatique doit créer un ticket de support et travailler avec des interlocuteurs extérieurs pour résoudre les problèmes, ce qui peut augmenter le temps de résolution. Personnalisation. Avec le niveau approprié de budget, de ressources et de temps, les solutions sur site peuvent être personnalisées pour répondre aux besoins de sécurité spécifiques d'une organisation, tout en fournissant un ensemble robuste de solutions. Avec les offres de sécurité cloud, le service informatique peut s'attaquer aux failles de réseau, mais perd un niveau de personnalisation en échange avec la vitesse et l'évolutivité. Le partage des ressources et l'échec de l'isolement. Dans un modèle de sécurité cloud, les clients partagent les ressources avec d'autres clients. Les fournisseurs de cloud mettent généralement en œuvre des mesures d'isolement pour empêcher les attaques à pivot ou de «guest-hopping» (dans lesquelles un pirate exploite les failles d'un système d'exploitation pour obtenir l'accès à un autre système hébergé sur le même matériel physique), mais il y a toujours le risque que ces mesures échouent. Étant donné que les services cloud sont offerts à divers clients présentant différents niveaux de risque, la segmentation multi-locataires (séparation des ressources des locataires par le fournisseur de cloud) est cruciale. En outre, le fournisseur peut être dans l'incapacité de supprimer complètement les données du matériel, puisque les clients partagent ou réutilisent souvent le matériel utilisé par d'autres clients. Sécurité compromise de l'intérieur. Si les autorisations et les rôles utilisateur ne sont pas configurés avec soin, un utilisateur peut avoir la possibilité de supprimer ou modifier ses données dans la solution cloud. Par exemple, un nouvel employé disposant d'un accès administrateur à la solution cloud pourrait supprimer des données importantes en apprenant à utiliser la nouvelle solution ou un employé malveillant pourrait compromettre volontairement les données Cradlepoint. Tous droits réservés cradlepoint.com 6

7 Portabilité des données. Si vous avez besoin de changer de fournisseur de cloud, il peut être difficile, voire impossible, de déplacer les données, à moins d'un contrat préalable entre le fournisseur et l'entreprise stipulant que les informations sont la propriété de l'entreprise. LES CLÉS DE LA RÉUSSITE Optimiser et automatiser les services cloud avec les services de gestion des menaces. En plus de la mise en œuvre des techniques et des contrôles d'isolement, les entreprises distribuées peuvent réduire les coûts et la complexité du réseau en réduisant dans une certaine mesure leur infrastructure, tout en employant une sécurité multi-couche à travers leurs sites. Les services de gestion des menaces offrent une combinaison de services tels que la défense contre les logiciels malveillants, la protection contre le spam et de la messagerie, le filtrage du contenu, les règles traditionnelles de pare-feu des couches 3 et 4, les fonctions de proxy Web et VPN. Beaucoup de ces systèmes comprennent aussi une offre de sécurité cloud centralisée et évolutive en tant que service afin d'augmenter et d'automatiser l'inspection du trafic et de fournir des contrôles plus stricts pour les sites dotés de personnel ou d'outils de surveillance limités. Pour beaucoup d'entreprises, la conformité est le principal moteur du changement dans les opérations de sécurité et informatiques générales. Tout changement technologique ou de conception interne capable de limiter ou réduire le champ de l'environnement soumis à la conformité peut économiser du temps et de l'argent. Par exemple, l'isolement des systèmes, des applications et des segments de réseau qui gèrent les données de cartes de paiement peut permettre de faire un grand pas vers la limitation du champ des audits PCI-DSS 3.0. MÊME LES ENTREPRISES QUI NE TRAITENT PAS DE PAIEMENTS PAR CARTE DE CRÉDIT DEVRAIENT ENVISAGER LA MISE EN ŒUVRE DE PCI-DSS 3.0 POUR RAISON GÉNÉRALE DE SÉCURITÉ. DE NOMBREUSES NORMES DE SÉCURITÉ PCI S'ATTAQUENT AUX RISQUES GÉNÉRAUX DES RÉSEAUX EN DEHORS DU CHAMP DE LA SÉCURITÉ DES DONNÉES DES TITULAIRES DE CARTES. Connexions Internet sécurisées Connexion de Réseau privé virtuel Siège Magasin 2015 Cradlepoint. Tous droits réservés cradlepoint.com 7

8 STRATÉGIES POUR UN RÉSEAU PLUS SÛR ASSURER LA VISIBILITÉ DES PÉRIPHÉRIQUES : LA CLÉ DE TOUTE STRATÉGIE DE SÉCURITÉ Avec l'ajout de nombreux nouveaux appareils mobiles au réseau WLAN d'entreprise, la visibilité des applications mobiles devient cruciale. Les administrateurs réseau doivent avoir la capacité d'identifier, suivre et classer tous les périphériques qui accèdent au réseau. La visibilité des périphériques fournit au service informatique un inventaire et des données de sécurité en temps réel pour la mise en œuvre active de mesures correctives, tout en permettant aux utilisateurs de se connecter facilement au réseau sans perturbations ou changements dans l'expérience de l'utilisateur final. Meilleures pratiques pour assurer la visibilité des périphériques : + + Utiliser plusieurs critères pour identifier les périphériques en plus des adresses MAC et IP (qui peuvent être usurpées), comme les ID de périphérique et les identificateurs système qui utilisent des conventions de nom spécifiques + + Exploiter les outils de conformité et d'audit pour fournir des informations supplémentaires sur les risques et les failles + + Activer les alertes et les actions de mise en conformité pour les périphériques qui tentent de se brancher sur le réseau + + Auditer régulièrement et maintenir des topologies réseau (logiques et physiques) à jour et correctes + + Utiliser un ensemble commun de contrôles de sécurité pour la gestion des stratégies + + Instituer les meilleures pratiques de sécurité en matière de gouvernance, de risque et de conformité + + Collaborer et communiquer entre les équipes de l'organisation informatique SÉCURISER PHYSIQUEMENT LES PÉRIPHÉRIQUES ET LES RÉSEAUX Les normes de sécurité PCI exigent de garder les serveurs, les équipements réseau et les autres composants du système de cartes de paiement dans une salle verrouillée, à accès contrôlé, de préférence avec surveillance vidéo. 4 Cela réduit le risque de vol d'un périphérique ayant accès au réseau par une personne non autorisée. La sécurité physique des périphériques empêche également les attaquants de relier au routeur des dispositifs étrangers qui pourraient surveiller et voler des données du réseau. PROCÉDER À DES ÉVALUATIONS RÉGULIÈRES DE SÉCURITÉ Lors d'une évaluation de sécurité, un évaluateur professionnel «attaque» le réseau pour identifier les faiblesses des architectures de sécurité, y compris la sécurité physique, la force des clés de périphériques, la configuration du réseau et les failles des périphériques clients, et recommander des contrôles. Des tests réguliers de pénétration du réseau, ou des évaluations de sécurité, sont nécessaires pour la conformité PCI. L'objectif est de tester l'accès à partir d'environnements à faible sécurité vers des environnements à haute sécurité. Cette pratique évalue si les données des titulaires de cartes sont isolées des autres segments du réseau et vérifie qu'il n'existe aucune connectivité entre les réseaux dans le champ et hors du champ (les réseaux qui contiennent les données des titulaires de cartes et les réseaux qui n'en contiennent pas). Les entreprises dotées d'un grand nombre d'installations ou de composants système ne peuvent évaluer qu'un échantillon du nombre total de composants. Toutefois, l'échantillon doit être suffisamment grand pour fournir une assurance raisonnable que toutes les installations commerciales ou composants sont configurés conformément au processus standard. L'évaluateur de sécurité doit vérifier que les contrôles centralisés et standardisés sont mis en œuvre et efficaces. 5 Les normes de sécurité PCI recommandent, au minimum, un test annuel de pénétration Cradlepoint. Tous droits réservés cradlepoint.com 8

9 APPRENDRE AUX EMPLOYÉS À RECONNAÎTRE LES ATTAQUES RÉSEAU Malheureusement, aucun pare-feu ou logiciel antivirus ne peut protéger parfaitement le réseau contre tout type de logiciel malveillant. Par conséquent, il est impératif que les entreprises enseignent les protocoles de sécurité aux employés et les fassent appliquer. En particulier, les employés doivent être formés pour être capables de reconnaître et signaler les s d'hameçonnage. Les employés doivent connaître les signes habituels d'un d'hameçonnage : + + Incitation à cliquer sur des liens, en particulier des liens inconnus ou qui ne correspondent pas à l'adresse Web de la source supposée + + Demandes urgentes pour fournir des informations, appeler un numéro de téléphone, ou télécharger des pièces jointes + + Mauvaise orthographe ou grammaire inhabituelle LE WEB ET LA MESSAGERIE ÉLECTRONIQUE SONT LA SOURCE LA PLUS IMPORTANTE DES ATTAQUES RÉSEAU. LES ATTAQUES DÉRIVÉES DU WEB SONT 5 FOIS PLUS COURANTES QUE LES ATTAQUES DÉRIVÉES DE LA MESSAGERIE. 6 IMPÉRATIFS DE LA CONFIGURATION DE RÉSEAU. 1. VERROUILLER LES POINTS D'ENTRÉE DU ROUTEUR + + Désactiver le Plug & Play universel. Ne pas autoriser les utilisateurs non privilégiés de manipuler la configuration du réseau. + + Désactiver les pings WAN. Ne pas laisser les pirates sonder les failles de sécurité. + + Désactiver l'administration à distance. Ne pas laisser les intrus accéder à l'interface utilisateur du routeur. + + Utiliser le filtrage MAC. Créer une liste des périphériques qui ont un accès exclusif ou pas d'accès au réseau sans fil. Bien que les adresses MAC puissent être falsifiées, cela crée une barrière supplémentaire pour l'attaquant. + + Utiliser les règles de filtrage IP. Restreindre l'accès à distance aux ordinateurs situés sur le réseau local. + + Ne pas utiliser d'adresses IP WAN publics adressables à la périphérie. Cela expose la périphérie du réseau aux attaques Cradlepoint. Tous droits réservés cradlepoint.com 9

10 2. CONFIGURER LE PARE-FEU DU RÉSEAU POUR LA CONFORMITÉ PCI Cinq contrôles pour la conformité PCI : + + Inspection dynamique de paquet (SPI). Surveille le trafic entrant et sortant pour s'assurer que seules les réponses valides aux requêtes sortantes sont autorisées à passer à travers le pare-feu. + + Règles de réacheminement de port. Ouvre les ports du pare-feu de manière contrôlée pour des applications spécifiques. + + Anti-usurpation. Vérifie les paquets pour se protéger contre les utilisateurs malveillants qui falsifient l'adresse source des paquets pour se cacher ou passer pour quelqu'un d'autre. + + Zone démilitarisée. Maintient la plupart des ordinateurs derrière un pare-feu, tandis qu'un ou plusieurs ordinateurs fonctionnent également à l'extérieur du pare-feu, ou dans la zone démilitarisée, pour ajouter une couche supplémentaire de sécurité au réseau de l'entreprise et permettre aux attaquants d'accéder uniquement aux ordinateurs du réseau situés dans la zone démilitarisée. + + Micrologiciel mis à jour. En plus d'être une pratique de sécurité importante, la mise à jour du micrologiciel du routeur et du modem est obligatoire pour la conformité PCI. L'amélioration des pratiques de mise en œuvre de réseau, de maintenance et d'application de la sécurité sont des stratégies importantes pour réduire le risque de violation de données. Cependant, nous recommandons la segmentation réseau ou, mieux encore, des réseaux parallèles spécifiques aux applications pour s'assurer que les failles de sécurité d'une seule application ne puissent être compromises et servir de pivot pour accéder aux données d'autres applications, comme les systèmes de point de vente. DEUX MÉTHODES POUR ACCROÎTRE LA SÉCURITÉ 1. CRÉER DES ZONES SÉCURISÉES POUR LA SEGMENTATION RÉSEAU La segmentation réseau permet de partitionner le réseau en «zones de sécurité», ou segments séparés par des pare-feu. Lorsqu'ils sont correctement configurés, les segments séparent les applications et empêchent l'accès aux données sensibles. Par exemple, un système de point de vente devrait fonctionner sur un segment séparé des applications de tierces parties, de la messagerie des employés, et du WiFi public. Cela limite la capacité des attaquants à pivoter d'une application à une autre, et permet aux administrateurs réseau de gérer la qualité de service (QoS) sur des segments spécifiques, en affectant en priorité l'utilisation de la bande passante aux applications essentielles. Premières étapes de la segmentation réseau La segmentation réseau est complexe et nécessite un suivi méticuleux permanent. Cette architecture, très sécurisée lorsqu'elle est correctement configurée, présente toutefois de nombreuses possibilités d'erreurs de configuration. Voici trois étapes pour vous aider à démarrer : + + Créer des groupes de ports Ethernet. Les regroupements logiques de ports Ethernet permettent aux ordinateurs connectés physiquement aux ports Ethernet au sein d'un groupe de communiquer librement. Vous pouvez désactiver un ou tous les SSID de routeur, ou même l'ensemble du signal WiFi. + + Utiliser l'infrastructure PKI, WPA2/ Enterprise et RADIUS/TACACS+. Cela fournit un référentiel central des utilisateurs ou périphériques autorisés à accéder au réseau et utilise des certificats pour authentifier le serveur et le périphérique Cradlepoint. Tous droits réservés cradlepoint.com 10

11 + + Exploiter une infrastructure PKI pour plus de sécurité. + + Utiliser une authentification à deux facteurs pour minimiser le vol de comptes utilisateurs utilisés par des tiers. + + Créer et configurer des segments VLAN. Un VLAN permet de regrouper des périphériques. Après avoir créé un VLAN, sélectionner le(s) port(s) LAN ou les groupes Ethernet auxquels l'id de VLAN doit correspondre. Chaque segment doit avoir ses propres configuration d'adresses IP, mode de routage, contrôle d'accès et interfaces (SSID WiFi, Groupes Ethernet et VLAN). Actuellement, il n'existe aucun outil pour surveiller et rechercher automatiquement les failles dans un réseau segmenté ou entre les segments ; ce contrôle doit être effectué manuellement. Pour cette raison, de nombreuses entreprises concluront que les réseaux parallèles sont une meilleure solution globale pour assurer la sécurité des données sensibles. Fig 1. Création de zones sécurisées via la segmentation réseau Connexion Internet sécurisée SSID n 1 «Employés» SSID n 2 «PDV» SSID n 3 «Fournisseur» SSID n 4 «Public» Segment employés Segment périphérique PDV Segment fournisseur Segment public 2015 Cradlepoint. Tous droits réservés cradlepoint.com 11

12 2. SIMPLIFIER LES CHOSES AVEC DES RÉSEAUX PARALLÈLES Contrairement à la segmentation d'un réseau unique, la création de plusieurs réseaux parallèles est une solution relativement simple. Les applications distinctes sont associées à des réseaux complètement séparés. Cette séparation physique des données interdit aux attaquants d'utiliser un périphérique compromis comme pivot vers d'autres serveurs et réseaux, y compris ceux qui contiennent des données sensibles. Par exemple, l'entreprise devrait envisager d'héberger le WiFi des clients, les périphériques des employés, et les systèmes de point de vente sur leurs propres réseaux respectifs. Les entreprises dotées de réseaux parallèles s'attendent à ce que les tiers, tels que les fournisseurs, les partenaires et les bornes, qui ont besoin d'un accès Internet «apportent leur propre réseau». En s'attendant à ce que les tiers fournissent leurs propres réseaux parallèles, l'entreprise peut conserver la gouvernance de ses propres fonctions réseau, tout en réduisant l'étendue globale de travail nécessaire pour maintenir la sécurité du réseau. Les réseaux parallèles réduisent considérablement la quantité de temps et l'expertise nécessaires pour segmenter les réseaux en fonction de l'application, et limitent l'étendue de travail nécessaire pour maintenir la conformité PCI sur le réseau utilisé pour transmettre les données de titulaires de cartes. Espace client WiFi pour les employés Smartphones des clients Point de vente Borne de tierce partie Local technique Système de sécurité Services administratifs Réseau des employés TI Siège Fig 2. Réseaux parallèles administrés par une seule source 2015 Cradlepoint. Tous droits réservés cradlepoint.com 12

13 SOLUTIONS DE CRADLEPOINT CONÇUES POUR LA SÉCURITÉ À LA PÉRIPHÉRIE DU RÉSEAU Les routeurs/pare-feu et le logiciel de gestion cloud de Cradlepoint sont conçus pour réduire les risques de sécurité et maintenir la conformité PCI pour les entreprises distribuées utilisant tout type d'architecture réseau. Constatant que les solutions 4G de Cradlepoint permettent une segmentation réseau plus simple et plus sûre, un nombre croissant d'entreprises sont en train de migrer vers les réseaux parallèles. En outre, les réseaux parallèles réduisent souvent les coûts accessoires des entreprises, liés notamment à la nécessité de configurations réseau complexes sujettes à l'erreur humaine, des audits de conformité PCI plus compliqués, et les paramètres de qualité générale de service (QoS) d'applications spécifiques sur le réseau. ENTERPRISE CLOUD MANAGER POUR UNE COMMANDE ET UN CONTRÔLE CENTRALISÉS Évolutivité étendue : Surveiller et gérer des milliers de périphériques déployés à distance Enterprise Cloud Manager, plateforme d'applications et de gestion de réseau de Cradlepoint, permet aux responsables informatiques de déployer rapidement et gérer dynamiquement des réseaux dans des magasins et succursales distribués géographiquement. Les solutions de Cradlepoint sont gérées dans le cloud pour assurer un déploiement rapide, une gestion dynamique, et de meilleures données. Enterprise Cloud Manager fournit un plan de contrôle hors bande qui sépare les données de gestion de réseau des données utilisateur. Les données de gestion (telles que la configuration, les statistiques et la surveillance) sont transmises à partir des périphériques Cradlepoint vers le cloud Cradlepoint via une connexion Internet sécurisée. Les données utilisateur (navigation Web, applications internes, etc.) ne passent pas par le cloud, mais sont transmises directement à leur destination sur le LAN ou à travers le WAN. Conçues pour la sécurité : Les fonctions de gestion permettent le respect des normes de sécurité et le suivi des périphériques L'interface utilisateur et les outils d'analyse d'enterprise Cloud Manager aident à automatiser les configurations de sécurité et les listes de contrôle, comme la conformité PCI DSS 3.0. Les services d'établissement d'un périmètre Geofence (de gardiennage virtuel) et de localisation donnent en temps réel aux entreprises l'emplacement physique des périphériques déployés, en utilisant les informations GPS, WiFi, et de localisation. Les entreprises peuvent être informées lorsque les périphériques quittent leur emplacement habituel, réduisant ainsi le risque que des pirates utilisent des périphériques volés pour accéder au réseau. Enterprise Cloud Manager : Une solution hébergée en toute sécurité Cradlepoint Enterprise Cloud Manager est hébergé dans un site de stockage tiers de premier plan sur un serveur d'entreprise sécurisé, fournissant la redondance des équipements, une alimentation continue, plusieurs canaux Internet et un service de sauvegarde et de restauration. La sécurité des serveurs d'enterprise Cloud Manager est renforcée : les services inutiles sont désactivés, les autorisations limitées, et les journaux surveillés. Les serveurs font l'objet d'un contrôle de gestion des correctifs afin de garder les versions logicielles et les correctifs de sécurité à jour. En outre, les serveurs et les applications subissent régulièrement des évaluations de failles et des corrections. Toutes les configurations de clients résident dans ce site physique sécurisé, avec un accès limité aux seules personnes autorisées. Les mots de passe stockés dans les configurations sont cryptés par AES (Advanced Encryption Standard). Le site est constamment surveillé et enregistré, et l'accès au site requiert une authentification multifactorielle. Les registres d'accès sont disponibles et vérifiables Cradlepoint. Tous droits réservés cradlepoint.com 13