La segmentation du réseau permet à une organisation de réduire les risques en matière de cybersécurité et constitue une première étape essentielle vers la définition d'une politique de sécurité "zéro confiance". La segmentation du réseau crée les frontières du réseau où une politique de sécurité de confiance zéro peut appliquer des contrôles d'accès.
Dans le passé, de nombreuses organisations ne définissaient une frontière sécurisée qu'au niveau du périmètre du réseau. Les étapes suivantes expliquent comment mettre en œuvre une segmentation efficace au sein du réseau de l'entreprise.
Toutes les données et tous les actifs d'une organisation n'ont pas la même valeur. Certains systèmes, comme la base de données des clients, peuvent être essentiels au maintien des activités normales. D'autres, comme l'imprimante, sont utiles mais pas indispensables au fonctionnement de l'entreprise.
L'attribution de niveaux d'importance et de valeur aux actifs est une première étape importante de la segmentation du réseau. Ces étiquettes seront ensuite utilisées pour définir les différentes zones de confiance au sein du réseau.
Outre la valeur des actifs, il est également important de tenir compte de la sensibilité des données qu'ils contiennent. Les biens contenant des données très sensibles, telles que des informations sur les clients, des données sur la recherche et le développement, etc., peuvent nécessiter des protections supplémentaires pour se conformer aux réglementations sur la protection des données ou à la politique de sécurité de l'entreprise.
Ces étiquettes doivent tenir compte à la fois de la sensibilité des données (c.-à-d. public à très restreint) et les types de données qu'un bien contient. Cela permet de définir des politiques de segmentation conformes aux réglementations applicables, telles que la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS).
La segmentation du réseau permet d'améliorer la sécurité du réseau en le divisant en segments isolés. Il est donc plus difficile pour un attaquant de se déplacer latéralement dans le réseau après avoir pris pied.
Toutefois, un certain nombre de flux de données légitimes doivent être autorisés. Tous les flux de données entre tous les systèmes du réseau doivent être cartographiés, y compris :
Certains actifs du réseau d'une organisation sont utilisés à des fins similaires et communiquent régulièrement. Il n'est pas judicieux de segmenter ces systèmes les uns par rapport aux autres, car un certain nombre d'exceptions seraient nécessaires pour maintenir une fonctionnalité normale.
Lors de la définition des groupes d'actifs, il est important de tenir compte à la fois de cette fonctionnalité similaire et de la sensibilité des différents actifs sur le réseau de l'entreprise. Tout actif servant des objectifs similaires et présentant des niveaux de sensibilité similaires doit être regroupé dans un segment distinct des autres actifs ayant des niveaux de confiance ou des fonctions différents.
Il est important de définir les limites des segments, mais cela n'apporte aucun avantage à l'organisation si ces limites ne sont pas respectées. L'application des contrôles d'accès sur chaque segment du réseau nécessite le déploiement d'une passerelle de segment.
Pour faire respecter la limite d'un segment, tout le trafic réseau entrant et sortant de ce segment doit passer par la passerelle. Par conséquent, une organisation peut avoir besoin de plusieurs passerelles pour mettre en œuvre une segmentation efficace. Ces exigences peuvent aider à prendre la décision de choisir un pare-feu matériel ou un pare-feu virtuel.
Le trafic entre les actifs d'un même segment peut être autorisé sans restriction. Toutefois, les communications intersectorielles doivent être surveillées par la passerelle du segment et respecter les politiques de contrôle d'accès.
Ces politiques doivent être définies sur la base du principe du moindre privilège, qui stipule qu'une application, un appareil ou un utilisateur doit disposer du niveau minimum d'autorisations nécessaires pour effectuer son travail. Ces autorisations doivent être basées sur les flux de données légitimes identifiés au point 3.
Après avoir défini les micro-segments, déployé une passerelle de segmentation et créé et appliqué des politiques de contrôle d'accès, le processus de mise en œuvre de la segmentation du réseau est en grande partie terminé. Cependant, la définition d'une politique de segmentation du réseau n'est pas un exercice ponctuel.
Les politiques de segmentation du réseau peuvent changer en raison de l'évolution du réseau de l'entreprise ou d'oublis et d'erreurs dans le processus de conception initial. Pour résoudre ces problèmes potentiels, il faut procéder à des audits périodiques afin de déterminer si des changements ont été effectués, s'il existe des risques inutiles dans le système et comment les segments du réseau et les contrôles d'accès peuvent être mis à jour pour atténuer ces risques.
Définir une politique de segmentation du réseau peut être une tâche énorme, en particulier pour les réseaux d'entreprise. Il peut s'avérer difficile, voire impossible, d'effectuer toutes ces étapes manuellement.
C'est pourquoi il est important de tirer parti des capacités d'automatisation chaque fois que cela est possible. En particulier dans la phase de découverte et de classification, l'automatisation peut s'avérer précieuse pour identifier les nouveaux actifs ajoutés sur le réseau, leurs flux de communication, s'ils contiennent une vulnérabilité quelconque et pour appliquer la politique de segmentation du réseau.
L'automatisation de la détection et de l'étiquetage est devenue plus précieuse avec l'essor de l'internet des objets (IoT). Ces appareils sont souvent peu sûrs et une segmentation est nécessaire pour les isoler des systèmes critiques du réseau de l'entreprise. Cependant, la mise en œuvre d'une sécurité de l'IdO efficace nécessite un pare-feu qui comprend les protocoles IdO. Pour voir la segmentation du réseau pour l'IdO en action, nous vous invitons à demander une démo.