Sécurité numérique et risques: enjeux et chances pour les entreprises

E. ARCHITECTURES ET PROTOCOLES POUR DES TUNNELS D'INTERCONNEXION SÉCURISÉS

1. Les architectures pour des tunnels d'interconnexion sécurisés

Dans certaines situations, les données des entreprises doivent transiter via des réseaux étendus. L'attrait du coût d'Internet a amené les constructeurs et éditeurs de logiciels à proposer de nouveaux principes pour sécuriser les architectures.

Un réseau est dit virtuel lorsqu'il relie deux réseaux physiques d'entreprise (RLE) par une liaison tendant à être considérée comme privée : seuls les ordinateurs des réseaux locaux de part et d'autre du VPN peuvent échanger, se voir, accéder aux données partagées.

Dans le but de sécuriser les données transmises, il est nécessaire d'utiliser des protocoles de mise en place de tunnels sécurisés dits de tunneling , c'est-à-dire permettant de créer une enveloppe opaque pour tous excepté pour ceux qui possèdent les habilitations pour l'emprunter .

Le chiffrement est amplement utilisé pour créer un tunnel. On distingue les VPN de niveau 2 dont la quasi-totalité de l'en-tête de la trame est chiffrée ( Layer Two Tunneling Protocol L2TP ) des VPN de niveau 3 ( IPSec ), où les adresses sources et destinations peuvent circuler en clair, et de ceux de niveau 5 (SSL : Secure Sockets Layer).

Le réseau privé virtuel ou Virtual Private Network (VPN) représente aujourd'hui la technologie la plus employée et la plus robuste, en particulier lorsqu'elle s'accompagne de la certification des interlocuteurs, machines et usagers, via des certificats signés. Si le VPN permet d'obtenir une liaison sécurisée à moindre coût, en revanche, il ne permet pas d'assurer une qualité de service comparable à une ligne louée.

Le VPN SSL , utilisé pour les accès distants constitue une solution souple permettant un accès simple, rapide et sécurisé aux données du réseau d'entreprise, mais plus adapté à des travailleurs en mobilité (télétravailleurs, utilisateurs nomades, etc.).

À ce jour, le VPN IPSec reste la solution la plus robuste et la plus agile pour interconnecter des sites ou des réseaux distants. C'est la solution retenue dans le cadre du nuage numérique privé afin d'interconnecter le site du client avec celui de son hébergeur dans le nuage.

Schéma n° 69 : réseau privé virtuel ( Virtual Private Network ) entre deux sites distants

Sources : INSA Département Telecom - « Analyse et remédiation d'attaques sur un Cloud » PFE de Sara Alami Idrissi et Jose Antonio Carmona Gonzalez (2013)

Parmi les autres technologies permettant de relier des sites distants, les liaisons spécialisées constituent des liens non mutualisés, réservés à une entreprise, dont le coût est devenu dissuasif même si leur principe de sécurisation est à ce jour le plus robuste .

2. SSL : le maintien de la connexion sécurisée sur TCP/IP

Afin de véhiculer les données en dehors de l'entreprise de façon sécurisée, la mise en place de liaisons sécurisées constitue le moyen le plus employé.

L'idée est d'établir une relation unique entre la source et son destinataire à l'aide d'un protocole « bout-en-bout » .

Deux phases successives vont donc s'accomplir : d'abord l'établissement d'un canal logique entre la source et le destinataire rendu hermétique par le biais de protocoles de chiffrement ; puis le transfert de données chiffrées dans ce canal.

Schéma n° 70 : Maintien d'une connexion sécurisée sur TCP/IP

Source : OPECST