Ne pas dramatiser… mais ne rien sous-estimer!

La sécurité, talon d’Achille de la VoIP?

Parce qu’elle est une «application informatique en ligne» et donc intégrée au système d'information de l'entreprise, la VoIP est soumise à des vulnérabilités, à des risques d'intrusion et de fraudes. Formidable réducteur de coûts, la VoIP suscite encore des craintes.

«Certes, une prise en compte s’impose. Mais sans tomber dans la paranoïa, nuance Glenn van Bost. Sauf si elles sont réellement sensibles, vos communications n’intéressent pas grand monde. Quant au risque de voir votre système de communication ‘cassé’, il est extrêmement faible…. Cela dit, les risques évoluent. Dans un environnement convergé, la voix permet d’atteindre les applications. De là l’importance d’une séparation logique entre les VLAN voix et données. C’est le minimum, une question de bon sens.»

Un avis partagé par Jean-Hubert Antoine. A l’entendre, on exagère les menaces. Un «on» qui cache les fournisseurs de systèmes TDM qui ont longtemps «diabolisé» IP. «Cela me fait penser à ce qu’on disait de Wi-Fi voici quelques temps. Aujourd’hui, à travers nos audits, nous voyons que les infrastructures Wi-Fi sont majoritairement mieux sécurisées que les réseaux filaires!»

Mais de quoi parle-t-on d’abord? Sous l’appellation IP, on rassemble tant de concepts, tant de services: téléphonie Internet, téléphonie IP, Toll Bypass, Centrex… «Ce sont, in fine, autant de contextes sécuritaires différents, avec leurs propres exigences, note Henry Boutry. Les sécuriser distinctement n’est pas un souci. En revanche, l’exercice devient nettement plus difficile dès qu’on commence à combiner les services.»

Prise de conscience

Les utilisateurs n’ont pas l’habitude des écoutes téléphoniques et sont loin d’avoir conscience que cela puisse arriver. En revanche, le risque d’indisponibilité du système de communication suscite bien des interrogations.

«La perception des risques est fluctuante, estime Maarten Laruelle. Dans le secteur primaire, on regarde la sécurité de la VoIP de loin; dans le secteur tertiaire, où l’on multiplie les services permettant d’établir un contact direct avec les clients, c’est, au contraire, la priorité des priorités avec la qualité de service. C’est très net dans les entreprises qui ont déployé un contact center!»

Les directions générales ont compris que la VoIP est une application classique qui exige des mesures de protection adéquates, des mesures adaptées. «Selon que vous soyez bijoutier ou boulanger les risques ne sont pas les mêmes, tente Glenn van Bost. Pour la VoIP il en va de même. C’est clairement le business qui décide en fonction de sa perception des risques… et des budgets qu’il peut allouer.»

Deux types de menaces sont aujourd’hui prises en considération. Un: la fraude externe, aujourd’hui la menace la plus «visible»: il s'agit de détourner et de facturer des capacités téléphoniques. Deux: l'écoute, de plus en plus facile avec la VoIP, mais finalement peu pratiquée. La plus dangereuse est à venir: les attaques DoS (Denial of Service). Ce sont, de loin, les plus dangereuses, insiste Telindus Belgacom ICT. De fait, elles peuvent faire tomber les fonctions téléphoniques d'une entreprise via le bombardement de requêtes…

Sécurité, mais encore?

Que cherche-t-on précisément à protéger? Quels équipements, quelles applications, quelles données? La sécurité, c’est d’abord la disponibilité des services téléphoniques et l’intégrité des messages qui transitent. Pour trouver les failles de sécurité, il suffit de regarder ce qui motive le plus les utilisateurs, les terminaux qui sont les plus attractifs…

«La VoIP n’est pas une application parmi d’autres, rectifie Olivier Penin. J’éviterais même de la présenter comme une application, c’est une infrastructure applicative, une solution dans le sens où il faut l’intégrer avec d’autres systèmes, d’autres applications souvent hétérogènes. Avec la VoIP, vous entrez dans un écosystème avec tout ce que cela implique en termes d’hétérogénéité et de complexité…»

La sécurité englobe à la fois la sécurisation des équipements, l’authentification des utilisateurs et la confidentialité des communications. Cette dernière partie n’est valable que si elle est faite de bout en bout.

Pour nombre de spécialistes, il faut encore compter sur un quatrième facteur: l’aspect comportemental de l’utilisateur. Et commencer par l’informer des risques, le sensibiliser aux bonnes procédures. Le motiver aussi.

Quelles mesures prendre?

Les solutions existent, elles sont nombreuses. Encore faut-il, préalablement, analyser scrupuleusement la situation. «L'entreprise doit avoir une démarche volontaire, ce qui peut sembler paradoxal dans la mesure où la sécurité de ses communications est un champ d’action inexploré, assure Tanguy De Brouwer; les télécoms étaient jusqu'ici un domaine où le laisser-aller était de mise.»

D’emblée, trois questions doivent être posées. Un: quelles menaces pèsent sur l'application et quel niveau de sécurité lui fournir? Deux: quelles sont les contre-mesures et sous quelles formes sont-elles disponibles? Trois: comment les mettre en place et les organiser?

«La migration vers la VoIP est effectivement l'occasion pour les entreprises de s'interroger sur leur politique de sécurité au sens large, poursuit Jean-Luc Delvaux. L'important est d'identifier les menaces et les parades associées, en fonction de la criticité de l'application voix.»

Premières recommandations? Elles varient selon les spécialistes. D’abord, séparer les réseaux voix et données, identifier fortement l’utilisateur qui connecte un terminal au réseau. Ensuite, généraliser l’encryption autant que se peut.

Un projet, un budget!

La sécurité a un coût. Or, comme le constate Maarten Laruelle, il n’y a généralement pas de budget spécifique pour sécuriser la VoIP. «Le choix d’investir dans la sécurité varie d’une entreprise à l’autre. Voire d’un IT Manager à l’autre. Certains sont rigoureux, d’autres laxistes. D’autres encore nous disent que tant que ça marche, mieux vaut ne toucher à rien… Mais dès la moindre alerte, ils nous rappellent!» Pour les indécis, Quentris propose un petit manuel des meilleures pratiques: quelques pages sur lesquelles le spécialiste des réseaux a recensé risques et solutions.

«Mais ne sous-estimez pas l’existant. Dans le Call Manager de Cisco, il y a un firewall et d’autres dispositifs très efficaces. Bien sûr, on peut faire davantage, s’intéresser à la détection d’intrusion, à l’encryption. Mais vous pouvez y arriver progressivement…»

Il faut distinguer clairement la sécurisation de la VoIP et la sécurisation globale du réseau, laquelle pose souvent plus de soucis du fait tout simplement qu’elle est négligée, estime Olivier Penin.

«Nous n’avons pas de démarche particulière, constate Glenn van Bost. Nous cherchons seulement à trouver un juste équilibre entre risques et budget en se basant sur les attentes du business. Qui mieux que le business peut évaluer la criticité de la voix et des autres applications?»

De l'importance de l'audit

Le talon d’Achille, c’est la sécurité interne, insiste Jean-Luc Delvaux. L’entreprise a-t-elle une politique spécifique en la matière? Des règles bien établies? Comment, surtout, évalue-t-elle ses risques? «Souvent, on constate un écart significatif entre risque ‘ressenti’ et risque ‘réel’. On nous parle d’encryption des communications alors que rien n’est fait ni pour la messagerie, ni pour le courrier électronique. A tort? A raison? Encore une fois, il faut analyser la situation au cas par cas.» De là, l’importance de l’audit.

Loin du sujet? Pas sûr. L’audit permet d’apprendre beaucoup, confirme Olivier Penin. «Arrêtez de penser en termes de spam, de fraudes et de virus! L’entreprise est mieux protégée que le grand public. En revanche, vérifiez la sécurité globale de votre réseau; attachez-vous en particulier à la configuration. Croyez-moi: il y a là beaucoup à faire!»

La sécurité repose sur quatre piliers: la sécurisation des éléments actifs qui composent la solution, l'utilisation de l'infrastructure pour empêcher les malveillances, la protection des échanges protocolaires et des communications et la surveillance active. Mais les solutions doivent être adaptées aux besoins réels. D'où, encore une fois, l'importance de l'audit. «Ne rien négliger, ne rien dramatiser, ajoute Maarten Laruelle. La VoIP n’est pas un risque de plus: outre ses avantages spécifiques, considérez son introduction comme une formidable occasion de reconsidérer votre politique sécuritaire au départ d’un bilan franc et honnête de l’existant.»

L’exercice peut être surprenant. Il a suffi de vingt minutes aux spécialistes de Telindus Belgacom ICT pour pénétrer avec un softphone le système de téléphonie d’une importante banque hongroise qui se croyait à l’abri… «Souvent, les mesures de sécurité existent, mais ne sont tout simplement pas respectées, enchaîne Henry Boutry. L’audit sera aussi l’occasion de préciser ou repréciser tant les droits que les devoirs des utilisateurs en fonction de leur statut.»

Intégrer le responsable de la sécurité

«Règle de base: renforcez la stabilité du réseau! A partir de là, vous éviterez bien des risques, assure Olivier Penin. Mais pensez large. Aujourd’hui, vous pouvez accéder à un carrier via le protocole SIP. Et votre PDA peut mixer les modes GSM et W-LAN. Il devient donc de plus en plus critique…»

Outre le réseau, c’est la sécurité de l’organisation dans sa globalité qui est concernée. Aussi, estime Jean-Hubert Antoine, il est opportun d’associer le responsable de la sécurité au projet. «C’est une opportunité de voir la voix incluse dans la sécurité globale. Enfin! Car jusqu’ici, la voix était négligée, pour ne pas dire ignorée, laissant d’importantes brèches ouvertes…»

Glenn van Bost lance la même invitation. «Intégrez d’emblée le responsable de la sécurité dans la discussion. Qui mieux que lui sera en mesure d’identifier les utilisateurs les plus sensibles, les plus exposés?»

Henry Boutry
International UC Solutions Manager, Telindus Belgacom ICT

Jean-Luc Delvaux, International Security Solution Manager, Telindus Belgacom ICT

Olivier Penin, Luxembourg Territory Manager, Nextiraone

Maarten Laruelle
Pre-Sales Engineer Security, Quentris

Glenn van Bost
Managing Consultant Communication & Security Service, Getronics

Jean-Hubert Antoine
Security Solutions Manager, Dimension Data

Tanguy De Brouwer,
Converged Communications Solutions Manager, Dimension Data