La visibilité et le contrôle des équipements se connectant au réseau, qu’il soit filaire ou WiFi, est un besoin qui existe depuis des années. Le standard 802.1x a été développé par l’IEEE (Institut des ingénieurs électriciens et électroniciens) pour y répondre il y a une vingtaine d’années. A cette époque, les réseaux étaient peu étendus et les seuls objets qui y étaient connectés étaient les imprimantes.
Il est aujourd’hui plus généralement déployé sur le réseau WiFi que sur le filaire, notamment pour des raisons liées au déploiement ou à son opérabilité en cas de problème. Certaines entreprises, tentées par un déploiement du standard sur un périmètre large, ont expérimenté un retard dans la mise en œuvre de certains projets. Aussi, pour être assuré de son efficience, il est généralement nécessaire de venir compléter le 802.1x par des fonctions supplémentaires permettant d’augmenter le niveau de sécurité et de faciliter les déploiements, notamment sur un réseau multisites.
Des réseaux industriels complexes
Les réseaux industriels ont longtemps été à l’abri des attaques, car rarement connectés au réseau informatique. De plus, l’outil de production n’était pas basé sur un modèle Internet (IP-Internet Protocol) mais OSI (Open Systems Interconnection). Plus rigoureux, il était principalement utilisé pour certaines applications critiques, ou pour ses fonctionnalités permettant de garantir une qualité de service. L’intolérance à la panne dans le monde industriel est plus forte que dans le monde informatique. Dans ce contexte, installer un agent de sécurité (SCADA, PLC ou autres) sur un poste de contrôle est exclu – face au risque encouru.
Au point que les récentes attaques ciblent désormais les outils de production parfois directement depuis des protocoles propriétaires, à l’image de Triton, Stuxnet ou encore Ukraine, etc. En cas d’attaque de leur outil industriel, le coût d’arrêt de la production est potentiellement énorme. Rappelez-vous l’impact du ransomware Wannacry qui a notamment bloqué des sites de production Renault en France il y a deux ans et dont les dégâts à l’échelle internationale ont été estimés à 4 milliards de dollars. Plus tôt cette année, un sous-traitant aéronautique belge, victime d’une cyberattaque, a été contraint de mettre tous ses salariés (un millier de personnes) au chômage technique pendant près de deux semaines.
Une identification préalable nécessaire par l'équipe IT
Au-delà de l’outil de production, la menace est aujourd’hui présente via tout appareil connecté. C’est dans ce sens que la règle de l’ANSSI évoque un niveau « organisationnel ». Aujourd’hui, le réseau est utilisé par différents services de l’entreprise pour assurer le fonctionnement d’appareil en tout genre : caméra IP, badgeuse, téléphone, écran de PL, domotique, etc. Pour garantir la sécurité de l’entreprise, tous ces équipements IoT doivent être identifiés au préalable. Cela sous-entend que le référencement de chacun d’eux est opéré auprès de l’équipe IT. Interdire la connexion au réseau d’équipements non autorisés, mais parfois nécessaires à l’entreprise, peut impacter son activité. Imaginez le débordement des équipes IT (réseau et sécurité) si tout appareil/matériel connecté remplacé leur était remonté ? Ce processus est aujourd’hui trop perçu, pour les services, comme une perte de temps et un frein à leur projet.
Pourtant, la connexion de tout terminal au réseau représente un enjeu de sécurité majeur. Or, aujourd’hui, l’authentification en 802.1x se base généralement sur le seul critère d’un certificat ou d’une adresse MAC (Media Access Control). Les équipements non managés ne peuvent eux recevoir d’agent de sécurité du standard et sont par conséquent autorisés à se connecter à une whitelist d’adresses MAB (Mac Address Bypass).
A l’heure où les entreprises ont un besoin vital de sécurité, les solutions de nouvelle génération doivent désormais avoir une longueur d’avance. L’identification d’un appareil via le standard 802.1x, et ses agents, semble ouvrir une certaine brèche pour les appareils non managés. Dans ce contexte, sa prédominance est remise en question. A l’heure où la surface d’attaques s’étend inlassablement, toute entreprise doit raisonner au-delà des considérations de sécurité de son réseau et penser à une alternative protectionniste de tout accès à son réseau, filaire et WiFi, de manière cohérente et homogène et ce indépendamment de la connexion et des terminaux.
Commentaire