Recherche
En ce moment En ce moment

/ Cybersécurité

Routeurs, firewalls, VPN... comment sécuriser l'edge

Sept pays ont contribué à l'élaboration de recommandations pour sécuriser les équipements présents en bordure de réseau. En voici quelques-unes.

Publié par Clément Bohic le - mis à jour à
Lecture
4 min
  • Imprimer
Routeurs, firewalls, VPN... comment sécuriser l'edge
© généré par IA

Les langages de programmation sécurisés doivent-ils guider le choix des équipements de bordure ? Les Five Eyes*, en association avec le Japon et la République tchèque, font des recommandations dans ce sens. Ils appellent à sélectionner des fournisseurs qui utilisent, lorsque c'est possible, ces langages à gestion automatique de mémoire.

Leurs conseils se focalisent sur trois catégories d'équipements de bordure. Les plus implémentés, en l'occurrence : routeurs, firewalls et concentrateurs VPN.

Prière de flasher avant usage

Au-delà de la nécessité de comprendre ce qui constitue la périphérie du réseau et d'auditer ce qui s'y trouve, il y a celle d'acheter des équipements sécurisés dès la conception. L'implémentation de langages de programmation sécurisés y contribue. Comme l'évaluation du risque géopolitique et l'usage, autant que possible, de mécanismes de vérification d'intégrité au long de la chaîne d'approvisionnement. Dans tous les cas, pour réduire le risque d'introduction de firmwares malveillants, on flashera les équipements avant utilisation, avec un firmware sourcé auprès des fournisseurs par des moyens de confiance. On préférera par ailleurs ceux qui, plutôt que d'intégrer des identifiants par défaut, exigent d'en définir lors de la mise en service.

Atténuer ou patcher ?

Pour ce qui est des mises à jour, on prendra garde au fait que les fournisseurs ne communiquent pas systématiquement l'intégration de certains patchs. Surtout pour les vulnérabilités qu'ils découvrent et corrigent eux-mêmes. On se souviendra aussi que les correctifs sont parfois plus simples à déployer sur les versions récentes. L'activation des updates automatiques est une possibilité, à peser néanmoins avec les risques qui en découlent (impossibilité de tester). On pourra également être amené à peser le pour et le contre lorsqu'il s'agira d'installer un patch sur un équipement compromis : vaudra-t-il mieux corriger la faille au risque de supprimer des atténuations temporaires mises en place au préalable, ou se concentrer d'abord sur l'éviction de l'attaquant ?...

Vigilance avec Active Directory

Autre élément à mettre en balance : les risques et bénéfices d'une authentification centralisée. Avec des systèmes comme Active Directory, la surface d'attaque peut effectivement s'élargir si des équipements de bordure sont connectés au magasin d'identités principal ou si un fournisseur d'identités est utilisé sur plusieurs zones de sécurité.
Les équipements de bordure qui utilisent des comptes locaux seront gérés avec un PAM ou un gestionnaire de secrets. Des solutions qui, selon le scénario, peuvent assurer la rotation des authentifiants après chaque usage. On y ajoutera, sur les équipements ayant des interfaces exposées à Internet comme les passerelles VPN, du MFA résistant au phishing. À défaut, on utilisera mots ou phrases de passe en suivant les recommandations des autorités nationales.

API, VPN, SNMP... Attention aux portes ouvertes

Les ports non utilisés sur les équipements de bordure seront fermés. Comme certaines fonctionnalités dont :

Lire aussi : Le modèle SASE tient-il ses promesses ?

  • VPN
    Proposé par défaut sur beaucoup d'équipements de bordure. S'il n'y en a pas besoin, le désactiver et l'empêcher d'accéder à Internet.

  • API
    Idem : à couper si c'est possible et qu'elles ne sont pas utilisées.

  • SNMP
    Si le protocole est nécessaire à la supervision, ne l'autoriser que depuis des endpoints approuvés. Configurer SNMPv3 en désactivant les autres versions.

  • Interfaces d'administration
    Configurer correctement le contrôle d'accès. Si possible, isoler ces interfaces du réseau Internet.

  • IPv6
    Le désactiver si on n'utilise qu'IPv4 ; cela réduit la surface d'attaque.

Protéger les logs

Les interfaces de gestion seront, autant que possible, séparées du plan de données. On y implémentera des listes de contrôle d'accès. Et en cas d'agrégation sur un même réseau, on emploiera des VLAN pour minimiser le risque de latéralisation.

Les logs seront sécurisés au repos comme au transit et on en fera des sauvegardes. Les équipements de bordure n'auront pas la capacité de les modifier ou de les supprimer. Tandis que l'agrégateur validera les entrées.

Lire aussi : RGPD : comment la doctrine de la CNIL a évolué en 2024

À consulter en complément :

Un retex du CERT-FR (juin 2024) sur les failles de sécurité dans ces équipements
Quelques cyberattaques qui illustrent l'état de la menace sur le cloud
Sur le marché du PAM, ce qui progresse à part les prix
Les langages de programmation sécurisés face au défi de l'adoption

* Australie, Canada, États-Unis, Nouvelle-Zélande et Royaume-Uni.

Illustration générée par IA

Sur le même thème

Voir tous les articles Cybersécurité
Les Podcasts de Splunk
sponsorisé
Gestion de crises : les leçons d’un DSI
Gestion de crises : les leçons d’un DSI17:35
SNCF Connect & Tech explore toutes les voies de la rés…23:13
D'une mine à la supply chain, de l'OT à l’industrie 4.…22:33
Champs d'application et exigences NIS220:52
Retour d'expérience : mise en œuvre des exigences par…20:42
Comment simplifier la sécurisation de votre réseau tou…20:23
Sécurité renforcée : comment préparer la conformité à…20:56
Le savoir-faire règlementaire international de Cloudfl…20:32
Se protéger et remédier aux Attaques de Messagerie : U…21:48
[Episode en public] Les leçons de résilience d’OVH29:04
[Énergie] La résilience du réseau et sa mesure d'impact19:43
SASE : La fusion du SD-WAN et du SSE décryptée07:42
Quand la cyber-résilience investit l’espace16:31
Sécurité Multicouche : La clé pour une entreprise rési…16:11
Remettre l’humain au centre du cyber-espace16:55
L’IA, super-pouvoir du cyberespace09:39
Les enjeux de sécurité des médias internationaux de la…14:32
L’IA, un atout pour une continuité de service public p…16:50
Une cyber-résilience à l’aune de l’IA et des régulatio…19:25
Tous les Internets se valent-ils ?10:59
Decathlon : une culture agile à l’international20:08
Comment Carrefour a transformé la crise sanitaire en t…12:48
Comment Groupama s’assure d’être résilient face aux cr…13:48
Comment impulser une culture data dans une grande entr…14:17
Hors-série : La data du futur (Volume 1)08:28
Cegid : la tête dans le Cloud22:16
Hors-série : La data du futur (Volume 2)07:30
La data au service des verres intelligents chez Essilo…09:42
La vision conseil de Deloitte sur la data et l’IA19:04
Data altruisme et IA responsable au Crédit Mutuel Arkéa11:54
[BONUS] La Data Responsable : une vision écologique23:08

Livres Blancs #workspace

Voir tous les livres blancs

Vos prochains événements

Voir tous les événements

Voir tous les événements

S'abonner
au magazine Se connecter
Retour haut de page