AVIS D’EXPERT – En France, 98 % des entreprises de plus de 20 salariés mènent une politique de transformation digitale. Un virage vers le numérique qui accentue également les risques en matière de cybersécurité : extension de la surface d’attaque, menaces sophistiquées, demande de rançons, etc. Pour ne pas bloquer leur activité et alourdir la liste des victimes des 54 % d’entreprises françaises ayant subi une cyberattaque ou un incident en 2023, elles sont contraintes de faire sans cesse évoluer leurs mécanismes de défense.
Les explications de Romain Pia, South EMEA Sales Manager chez Opengear pour les lecteurs de Solutions Numériques & Cybersécurité.
Un risque qui, pour près de la moitié des DSI, pourrait avant tout toucher leur organisation sous la forme d’un ransomware. Rien d’étonnant à cela, plus de la moitié des organisations ont mis plus d’une semaine à se remettre de ce type d’attaque, dont le modus operandi est bien huilé. En général, une fois qu’une infection par ransomware se produit, elle prolifère rapidement dans l’ensemble du système, identifiant et exploitant rapidement toute vulnérabilité. L’une des plus grandes faiblesses du système qui peut aggraver l’impact de ce type d’attaque est le réseau in-band.
Comment anticiper ?
De nombreuses organisations utilisent un réseau d’administration dépendant de leur réseau de production pour administrer leur réseau distribué. En cas d’attaque, cette interdépendance entrave la capacité à prendre la main, déconnecter ou à segmenter rapidement les systèmes pour le nettoyage, la reconstruction et la remédiation. Il existe également un risque de compromission des sauvegardes qui, si les attaquants ont maintenu une présence sur le réseau, pourrait à son tour entraver la restauration de ces derniers. Si les outils de cybersécurité jouent un rôle crucial dans la prévention des attaques, la capacité de récupération d’une organisation est tout aussi vitale. Les récents incidents de ransomware ont conduit des entités comme la Cybersecurity and Infrastructure Security Agency (CISA), le FBI et divers experts NetSecOps du monde entier à établir l’isolement de systèmes comme une stratégie défensive fondamentale contre de telles menaces. Aux Etats-Unis, pour remédier au problème omniprésent de l’accessibilité de l’administration depuis les réseaux utilisateurs, la CISA a publié une directive opérationnelle contraignante, qui exige des organismes du gouvernement fédéral américain de créer une infrastructure de gestion isolée (IMI – Isolated Management Infrastructure), soulignant son importance pour renforcer les défenses contre les ransomwares. Si la France n’a pas de directive équivalente, l’Agence nationale de la cybersécurité des systèmes d’information (ANSSI) encourage fortement l’isolation des systèmes de gestion pour se défendre contre les ransomwares et les cyberattaques. Si cette pratique n’est pas encore obligatoire dans l’Hexagone, elle est toutefois recommandée pour améliorer la défense de toute organisation.
Une approche méthodologique éprouvée
Dans ce scénario, des serveurs de console série sont utilisés pour ouvrir un chemin alternatif via le plan de gestion indépendant pour la correction des dispositifs réseau connectés physiquement et virtuellement. En cas de cyberattaque, les ingénieurs/équipes réseau sont habilités à verrouiller des éléments spécifiques du réseau et à restreindre l’accès depuis n’importe quel emplacement avant d’en restaurer l’accès une fois la menace enrayée. Lors d’un cyber-incident, les ingénieurs réseau ont, par exemple, la possibilité de désactiver l’accès aux équipements réseau touchés via le port console, isolant ainsi l’incident. Les serveurs peuvent quant à eux être arrêtés pour protéger les données privées jusqu’à ce que la brèche soit corrigée. Dans ce schéma, il est aussi possible de déconnecter les connexions WAN pour isoler une brèche. Et s’il n’est pas possible de reprendre le contrôle des ressources réseau, elles peuvent être mises hors tension via des fonctions de contrôle PDU à distance. Les périphériques sont eux reconfigurables aux paramètres d’usine et la configuration reconstruite via le port console ou une connexion de gestion de réseau indépendante.
Renforcer la cybersécurité : du traitement et de la récupération aux activités quotidiennes
L’adoption d’un plan de gestion de réseau indépendant ou d’une infrastructure de gestion isolée (IMI) s’impose comme un élément essentiel de cette approche. En permettant aux ingénieurs réseau de gérer et de restaurer à distance les opérations via un chemin distinct et sécurisé, elle propose également un mécanisme de défense solide contre les cybermenaces. En distinguant la gestion du réseau central, l’approche IMI limite intrinsèquement l’accès et la connectivité aux infrastructures critiques, réduisant ainsi considérablement les surfaces d’attaque. Cette connectivité ‘air-gap’ minimise davantage les vulnérabilités d’accès IP, renforçant les défenses du réseau contre les accès non autorisés. Un tel réseau de gestion indépendant favorise l’application de contrôles d’accès plus stricts, de politiques de réseau personnalisées et facilite une journalisation et une analyse approfondie du trafic. Conçue pour garantir un accès résilient aux ressources du réseau, l’approche IMI aide à la prévention, à l’atténuation et à la remédiation efficace face aux attaques, même lorsque les méthodes d’accès standard sont compromises. Elle améliore non seulement de manière significative la capacité de l’organisation à réagir rapidement et efficacement aux incidents, mais établit de surcroit une protection contre les faiblesses potentielles à l’échelle du système. Alors que les assaillants s’appuient sur les technologies émergentes comme l’IA pour redoubler d’ingéniosité dans leurs attaques, le rôle des plans de gestion de réseau indépendants dans le renforcement de la résilience du réseau ne peut plus être sous-estimé.
Romain Pia
