Le problème avec les appareils IoT est qu’ils sont tout le temps en ligne (24h/24 et 7j/7), ont un système d’exploitation souvent obsolète, ne sont pas régulièrement corrigés contre les dernières vulnérabilités de sécurité. La plupart d’entre eux collectent aussi souvent des données sensibles et les envoient dans le cloud.

Plusieurs études avancent également que la plupart des appareils IoT connectés aux réseaux d’entreprise ne sont ni gérés ni visibles par le service informatique. En conséquence, de nombreuses entreprises ne parviennent pas à répondre aux exigences de base en matière de sécurité, d’évolutivité et d’agilité nécessaires pour prendre en charge ces environnements de réseau IoT. Que faire alors ?

La segmentation réseau est la solution à ce problème. Il s’agit d’un bon moyen de réduire la surface d’attaque au niveau des réseaux et aussi de faciliter la gestion et l’observation des appareils IoT. Découvrez plus en détail dans cet article pourquoi la segmentation du réseau d’entreprise, est indispensable à l’ère de l’IoT.

Plus il y a d’objets connectés, plus un réseau est vulnérable

Assistants vocaux, capteurs de maintenance prédictive sur les équipements, traceurs d’actifs, capteurs de température, arrosage intelligent, balance connectée… À mesure que le nombre de ces objets augmente sur votre réseau, sachez qu’il devient plus vulnérable. Cela s’explique par le fait que les objets connectés, s’ils sont mal configurés ou bien non à jour, n’opposent aucune résistance aux pirates en cas d’attaque. Ainsi, plus il y a d’objets connectés, plus le réseau est vulnérable.

L’autre problème avec les appareils IoT est qu’ils ont à disposition que des ressources limitées et ne peuvent pour cette raison donner la priorité aux fonctionnalités de sécurité ni même autoriser les correctifs logiciels, mais sont avant tout programmer pour réaliser leur mission principale. Ainsi, un capteur de température va avant tout allouer ses ressources à la capture de température et fera passer tout le reste au second plan.

Une fois piraté, un objet connecté est un moyen simple pour les pirates d’accéder au réseau et de se déplacer horizontalement pour lancer une attaque à l’échelle du système à la recherche de données sensibles et confidentielles. Heureusement, grâce à la segmentation réseau, vous pourrez considérablement limiter ce déplacement horizontal des pirates en cas d’attaques réussies. Elle empêche que les attaquants n’atteignent d’autres zones du réseau plus sensibles.

Ère de l’IoT – pourquoi les réseaux non fragmentés ne sont plus adaptés ?

Sur un réseau « plat » traditionnel, à la différence d’un réseau fragmenté, les appareils communiquent directement en entre eux sans séparation logique établie par le pare-feu pour filtrer les connexions indésirables et à risque.

Si ce type d’architecture fonctionnait encore à l’époque où les réseaux d’entreprise n’avaient que quelques ordinateurs connectés, aujourd’hui, grâce à la technologie Wi-Fi qui connectent plusieurs appareils sur un même réseau, il est devenu totalement dépassé et ne peut plus assurer la sécurité du réseau face aux cybermenaces toujours grandissantes.

Chose importante à noter au sujet des produits IoT, ce sont en fait des appareils qui ont leur propre interface réseau, un stockage, une mémoire, des processeurs et un système d’exploitation. En d’autres termes, ce sont de véritables ordinateurs. À ce titre, ils sont tout aussi vulnérables que les ordinateurs classiques. En réalité, ils sont même largement plus vulnérables que ces derniers. Pour ces quelques raisons, un réseau plat n’est plus du tout adapté pour accueillir des objets connectés.

• La solution de segmentation du réseau pour apporter plus de sécurité

La segmentation du réseau consiste à prendre un grand réseau et à le diviser en plusieurs segments ou sous-réseaux, physiquement ou logiquement, pour améliorer les performances et la sécurité du système. Ceci est particulièrement important pour les appareils IoT, car le réseau doit leur permettre de communiquer avec la plate-forme de gestion ou le contrôleur, mais pas entre eux. Les données des appareils IoT doivent être segmentées pour un meilleur contrôle du trafic entre les zones désignées.

• Segmentation des Vlans

Les administrateurs réseau font souvent le choix des VLANs (réseaux locaux virtuels) pour créer des zones de groupe divisées par emplacement ou couches réseau. Une fois que le réseau est segmenté en plusieurs zones comme souhaité, il devient plus facile pour les administrateurs de comprendre et de contrôler les flux de trafic et l’accès aux appareils.

Cependant, il est important de noter que bien que la sécurité est là, les VLAN sont des constructions de couche liaison de données, ce qui les rend assez complexes et donc difficiles à gérer.

• Utiliser le Pare-feu, pour Segmenter le réseau.
  

Il est aussi possible de segmenter un réseau plat en déployant des pare-feu à l’intérieur de réseau afin de créer des zones internes. Dans chaque zone, l’administrateur est libre d’y regrouper les applications et les matériels de son choix pour les séparer des autres.

La micro segmentation – technique la plus recommandée pour les projets IoT

Considérée par les responsables informatiques comme la prochaine étape de la sécurité du réseau, en particulier pour les projets IoT, la micro-segmentation est une technique de sécurité qui consiste à diviser le réseau en plusieurs segments jusqu’au niveau de la charge de travail individuelle sans qu’on ait à repenser l’architecture. Une fois la micro segmentation terminée, il sera ensuite possible pour l’administrateur de définir des contrôles de sécurité et de fournir des services pour chaque segment unique créé.

Les organisations mettent en œuvre la micro-segmentation pour réduire la surface d’attaque, contenir les violations et aussi se conformer à la réglementation. Pour contenir les violations, cette technique impose un modèle « zéro confiance », reconnaissant les communications de charge de travail non autorisées à l’aide de listes de contrôle d’accès (ACL) ou de filtres de pare-feu pour le trafic réseau intra-virtuel.

Comme évoqué plus haut, la micro-segmentation ne nécessite pas de modifications majeures du réseau ou de l’infrastructure d’applications elle-même. Pour sa mise en œuvre, il suffit pour l’administrateur d’utiliser une solution logicielle qui va appliquer une isolation granulaire aux hôtes et conteneurs individuels et ainsi créer des segments plus petits du réseau.