Configurez vous-même vos liaisons SIP, vos numéros DID et votre routage en quelques minutes. Lancez-vous dès aujourd’hui.

Dans les solutions de communications unifiées et de collaboration, la sécurité et la convivialité doivent aller de pair

Chers passionnés de blog VoIP.ms, vous trouverez ci-dessous un article de blog invité de l'un de nos derniers partenaires : Wildix, un fournisseur robuste de solutions de communications unifiées et de collaboration.
Marcela De Mingo
Written by Marcela De Mingo

Chers passionnés de blog VoIP.ms, vous trouverez ci-dessous un article de blog invité de l’un de nos derniers partenaires : Wildix, un fournisseur robuste de solutions de communications unifiées et de collaboration.

Dans les communications unifiées et la collaboration (UC&C), on ne saurait trop insister sur l’importance de la sécurité. En tant que cœur battant des processus de communication d’une entreprise, un système UC&C constitue une cible tentante pour les agents malveillants cherchant des données à utiliser de manière illicite. Si ces communications en ligne ne sont pas protégées, les entreprises courent le risque de tout donner aux pirates, des conversations internes aux informations financières pures et simples ; Les fournisseurs de services gérés (MSP), quant à eux, risquent de faire face à un client furieux qui, au mieux, exigera des améliorations ou, au pire, cherchera à pointer du doigt.

Bien sûr, dans la plupart des cas, assurer la sécurité d’un système UC&C est plus facile à dire qu’à faire. Ce n’est pas seulement parce que la mise en œuvre de la sécurité est difficile (même si c’est certainement un facteur) ; c’est aussi parce que, trop souvent, la sécurité va à l’encontre de la facilité d’utilisation des systèmes UC&C et réduit les points positifs initiaux. Lorsqu’elles sont mises en œuvre via des plug-ins supplémentaires ou des programmes externes, les protections du système ajoutent généralement du volume à l’infrastructure globale d’une plate-forme UC&C, ce qui entrave à son tour la vitesse et l’accessibilité du système global. En conséquence, les utilisateurs finaux peuvent facilement devenir insatisfaits de la solution dans son ensemble, malgré les bonnes intentions derrière l’introduction de ces modules complémentaires.

Tout cela rend difficile de présenter aux utilisateurs finaux une solution de communication attrayante : pourquoi trouveraient-ils votre offre intéressante à acheter, et encore moins à utiliser à long terme, si elle finit par fonctionner lentement ou devient peu intuitive à utiliser ? Même si les entreprises achètent et s’en tiennent à l’un de ces systèmes avec une sécurité lourde et intégrée, les problèmes sont susceptibles de persister, car les utilisateurs seront encouragés à désactiver ou à contourner les mesures de sécurité pour obtenir une expérience plus fluide.

Avec tous ces facteurs qui pèsent sur la mise en place de la sécurité, comment un MSP peut-il l’ajouter à son offre sans pour autant gêner son client ? La réponse est aussi simple qu’ironique : ils ne devraient pas du tout ajouter de la sécurité.

Au contraire, la clé d’une sécurité efficace est de l’établir au niveau fondamental du système, en incorporant des composants clés tels que le cryptage et les connexions peer-to-peer dans le cadre du même travail de base qui achemine les appels VoIP et transfère les vidéoconférences.


Les problèmes de sécurité externe

Comme indiqué précédemment, lorsque la sécurité est implémentée sous forme de module complémentaire externe, des problèmes ont tendance à s’ensuivre.

Par « modules complémentaires externes », nous entendons des composants tels que des solutions anti-malware, des SBC externes ou des VPN – les réponses courantes que les consommateurs ont à l’esprit lorsqu’ils abordent cette question séculaire de la sécurité du système. Ces méthodes sont si bien connues et couramment utilisées car elles représentent une ancienne norme de sécurité informatique, dans laquelle des couches de protection protègent un système des menaces extérieures. L’anti-malware élimine les menaces avant qu’elles n’atteignent le système ; Les VPN créent un tunnel privé d’un réseau dans lequel communiquer ; les pare-feu servent d’autre frontière gardant les mauvais acteurs hors du système ; etc.

Ce que cette norme de sécurité cache, cependant, c’est le fait que l’ajout de couche après couche externe à un système ne peut pas se faire sans un impact significatif sur la convivialité. Pour un excellent exemple, un VPN utilisera généralement une bande passante réseau supplémentaire lors de la création de son tunnel virtuel, ce qui ralentira les réseaux (le code G.729, par exemple, prend jusqu’à doubler l’utilisation régulière du réseau). De plus, devoir se connecter au VPN pour l’utiliser réellement peut devenir un inconvénient, voire un véritable casse-tête. Des exigences de connexion supplémentaires empêchent intrinsèquement l’utilisation intuitive d’un système de communication. Si un employé veut simplement ouvrir son ordinateur portable et travailler un jour, peut-être chez lui, cette connexion supplémentaire via le VPN sera sans aucun doute une pilule amère à avaler.

Les SBC et les systèmes de pare-feu externes similaires, bien que moins flagrants dans ce sens que les VPN, de par leur nature même, transforment un système de communications unifiées en une bête plus lourde. Bien qu’ils ne consomment pas de bande passante et ne fassent probablement pas passer les utilisateurs par une connexion supplémentaire, les SBC, les anti-programmes malveillants et les pare-feu fonctionnent intrinsèquement en dehors du contrôle de la plate-forme UCC principale, ce qui signifie que leur configuration et leur maintenance seront toujours en plus. à celui du système UCC lui-même. Si ces systèmes ne sont pas mis à jour, ne sont pas connectés de manière appropriée, ou même présentent des défaillances dans leur propre code, non seulement cela met-il en péril la sécurité de ce système de communication distinct, mais les signes d’une violation potentielle ne seront probablement pas apparents de l’intérieur. le système lui-même. Inutile de dire que cela ne peut guère être qualifié de sécurité «totale» par un effort d’imagination.

Même du point de vue de la sécurité, ces méthodologies laissent beaucoup à désirer. Ces modèles externes mettent en œuvre ce que nous pourrions appeler l’approche de la sécurité de la «ville fortifiée» : en repoussant le trafic ou en bloquant les visiteurs indésirables, les VPN, les SBC et leurs programmes comparables ressemblent beaucoup à des barricades autour d’une ville. Mais ce que cette approche ne prend pas en compte, c’est si ces murs sont brisés. Supposons qu’un pirate pirate le pare-feu, que le mot de passe VPN soit divulgué ou que le SBC soit contourné, quelles mesures sont alors en place pour arrêter les attaques ? Si ces mesures externes sont tout ce qui a été mis en place, la réponse est qu’il n’y a absolument rien pour arrêter la propagation de l’attaque ; la fissuration de cette armure externe signifie que le système est mûr pour la cueillette.

Considérez également que cela est loin d’être une simple hypothèse. En plus des problèmes très réels décrits avec les SBC externes, les pare-feu peuvent être contournés simplement en raison de facteurs externes supplémentaires. D’un autre côté, les VPN ont eu leurs propres problèmes, les fuites de mots de passe extrêmement fréquentes des fournisseurs de VPN causant de réels dommages aux systèmes qu’ils étaient censés protéger. Dans la mesure où ces fuites et violations spécifiques du système peuvent être résolues par des mises à jour et des correctifs, les pirates informatiques sont tout à fait capables de prendre de l’avance sur ces correctifs pour s’introduire à nouveau.

En termes d’application de la sécurité, il est carrément inefficace de considérer l’ensemble du processus simplement en fortifiant l’extérieur ; non seulement cela ouvre la porte aux accidents causés par une application inefficace ou une erreur de l’utilisateur, mais cela crée également un système où une seule fissure dans l’armure de la solution suffit pour que l’ensemble du réseau soit compromis. Et il va sans dire que si un utilisateur final est victime de ce type d’attaque, la première personne qu’il blâmera sera son MSP. Pour établir une relation commerciale durable – et pour le faire avec moins de main-d’œuvre et de maintenance – la sécurité d’une plate-forme UCC donnée doit plutôt être construite à partir de zéro, intégrée au système à un niveau fondamental.

Devenir « Secure by Design »

L’alternative à ce modèle décrit précédemment est un modèle qui présente une sécurité inhérente à son système réel. En utilisant la technologie actuelle, une solution UC&C peut facilement être construite avec une architecture « sécurisée par conception », c’est-à-dire entièrement protégée contre les menaces externes sans dépendre de technologies ou de programmes externes qui s’ajoutent à la charge de travail de gestion des MSP.

Cette philosophie de conception est réalisable en intégrant les qualités suivantes dans la conception de base du système UCC :

1. Exigences de mot de passe complexes et stockage sécurisé 2. Protection DDoS 3. Communications cryptées 4. Architecture WebRTC 5. Capacités de surveillance du système

Les mots de passe font bien entendu partie intégrante de tout système et exigent le plus grand soin et la plus grande protection. En tant que tel, tout système UCC devra s’assurer que tous les mots de passe des utilisateurs sont difficiles à deviner et stockés en toute sécurité : le premier en appliquant des exigences strictes de création de mot de passe, le second en protégeant les archives de mots de passe avec l’algorithme SHA512 et la cryptographie saline. L’ajout d’options pour l’authentification à deux facteurs et l’authentification unique augmentera également la sécurité en permettant aux utilisateurs d’augmenter la complexité de leur processus de connexion.

La protection DDoS est également réalisable grâce au fonctionnement interne du système, en partie en travaillant en tandem avec la protection contre les tentatives de force brute pour deviner les mots de passe : en bloquant les adresses IP qui tentent de se connecter plusieurs comptes ou faire planter le système en raison d’une surutilisation. Ces mesures de blocage devraient aussi naturellement s’accompagner de dispositions visant à bloquer le trafic excessif transmis à partir d’une seule adresse IP. Cette méthode est un moyen simple pour les acteurs malveillants de fermer un PBX sans avoir à se connecter du tout.

Cependant, au cœur de la méthodologie de sécurité par conception, se trouve peut-être la pratique du cryptage, qui, à bien des égards, peut remplacer purement et simplement les VPN et les SBC externes. En utilisant simplement des protocoles TLS à jour en tandem avec SRTP, les conversations établies entre deux parties deviennent si soigneusement codées que, même dans le cas où un pirate informatique s’introduit dans le réseau ou intercepte les communications, les données elles-mêmes seront presque indéchiffrables. . Grâce à cette seule mesure, les données transférées via le système UCC seront automatiquement sécurisées, augmentant considérablement la sécurité de la solution sans nécessiter de configuration ou de maintenance supplémentaire de la part du MSP ou même de l’utilisateur final.

Dans le même temps, le chiffrement à lui seul sera probablement un moyen risqué de protéger l’ensemble d’un système. C’est pourquoi des protections supplémentaires doivent être intégrées à l’architecture innée de la solution, celles qui fonctionnent également sans maintenance supplémentaire de la part de parties immédiates. WebRTC, le protocole open source pour les communications Web en temps réel, convient parfaitement à ces fins, car la technologie établit des connexions directes d’utilisateur à utilisateur cryptées avec DTLS et SRTP pour un lien presque impénétrable par les pirates et complètement indépendant de l’exploitable serveurs tiers. De plus, WebRTC vit et fonctionne entièrement dans le navigateur ou l’application propriétaire utilisée, ce qui signifie qu’il reste séparé des fichiers sur l’appareil de l’utilisateur final et n’est pas affecté par les virus ou logiciels espions qui se retrouvent sur le matériel ; cette infrastructure permet également à WebRTC de se mettre à jour automatiquement chaque fois que le navigateur lui-même est mis à jour, évitant ainsi les longs téléchargements ou les installations fastidieuses pour des améliorations de sécurité.

Enfin, un système dans sa forme la plus sécurisée a besoin de méthodes de surveillance intérieure, ou de moyens de suivre les menaces possibles et les tentatives d’intrusion pour une image plus complète de ses besoins en matière de sécurité. En tant que telle, toute plate-forme UCC doit disposer de capacités de surveillance étendues, faciles d’accès et d’utilisation pour un administrateur au sein du système lui-même. Bien que la surveillance manuelle soit essentielle, il est encore plus vital d’avoir des alertes automatiques truquées afin d’être immédiatement informé des violations et des attaques potentielles du système, car un temps de réponse rapide aux menaces potentielles peut facilement faire la différence dans la préservation de l’intégrité du système.

Ensemble, ces composants créent facilement un système doté d’une sécurité fiable et autonome qui fonctionne au mieux : sans gestion supplémentaire et sans créer de nouvelles possibilités d’erreur de l’utilisateur pour saper les fortifications du système.

Sécurité via Wildix

Un exemple de ces cinq composants fonctionnant dans la pratique se trouve dans Wildix. Avec ce système, le cryptage est activé sur chaque message envoyé par défaut, avec des protocoles TLS et SRTP à jour garantissant la confidentialité des communications sans jamais nécessiter d’autres informations de la part de l’utilisateur final. Une protection similaire est offerte à l’ensemble de l’organisation avec des exigences de mot de passe sécurisé et des systèmes de stockage de mot de passe bien cryptés, qui, avec les options pour 2FA et SSO, créent une norme fiable et sûre pour la gestion des connexions. La protection DDoS est également intégrée via le blocage automatique des tentatives de connexion excessives ou une surcharge de trafic à partir d’adresses IP spécifiques.

Ces points sont renforcés de manière plus approfondie par une architecture entièrement basée sur WebRTC sans aucun téléchargement ni installation supplémentaire. Plus important encore, WebRTC permet au système d’établir des connexions directes d’égal à égal avec un cryptage intégré supplémentaire pour des transferts de données entièrement privés.

En plus de tout cela, il propose également aux administrateurs de multiples façons de suivre les intrusions potentielles et les tentatives de piratage dans un système. Des alertes automatiques pour les activités suspectes peuvent être facilement configurées pour tenir les MSP au courant des dangers pour les systèmes de leurs clients, et une surveillance manuelle peut également être effectuée dans la vue administrateur ou même via une intégration optimisée avec le logiciel de surveillance externe Zabbix.

Pour plus d’informations sur Wildix et sur la manière dont notre sécurité tient sa promesse de sécurité dès la conception, n’oubliez pas de consulter notre site Web et de télécharger gratuitement notre livre blanc sur la sécurité.

Note finale de VoIP.ms : Wildix est l’un de nos plus récents partenaires, et nous sommes très heureux de ce que nous avons mis en avant ensemble. En fait, consultez le co-webinaire que nous avons organisé avec eux ici.

Marcela De Mingo
Written by Marcela De Mingo

Passez à VoIP.ms

Économisez 60 % sur votre facture de téléphone

Découvrez les dernières actualités sur la VoIP

Rejoignez plus de 10 000 abonnés

Partager cet article​

Articles connexes

Conseils et astuces
Comment de petites modifications vocales peuvent réduire le nombre de tickets et rationaliser les processus internes
Téléphonie VoIP
Comment les journaux d'appels et les rapports d'utilisation aident les équipes informatiques à résoudre plus rapidement les problèmes
Conseils et astuces
Comment donner la parole aux équipes informatiques des PME sans modifier leurs processus

Optimisez dès aujourd’hui votre communication

Rejoignez les milliers d’entreprises qui ont transformé leur infrastructure de communication grâce à VoIP.ms. Lancez-vous en quelques minutes, sans carte bancaire.

Aller au contenu principal