Les sous-réseaux isolés sont-ils sécurisés ?

Le fait d’isoler un segment de réseau le rend-il vraiment invulnérable ?

Selon certains experts en sécurité de l’information, les réseaux isolés n’ont pas besoin d’une protection supplémentaire ; s’ils sont impénétrables, pourquoi se compliquer la vie ? Cependant, l’isolation n’est pas synonyme d’invulnérabilité. Pour le prouver, nos experts partagent avec vous plusieurs cas de figure basés sur des cas réels.

Supposons que notre entreprise possède un sous-réseau isolé avec un air gap. Cela veut dire qu’on ne peut pas y accéder ni à partir d’Internet, ni à partir d’un autre segment de réseau de l’entreprise. De plus, en accord avec la politique de sécurité de l’entreprise, les règles suivantes s’appliquent :

  • Tous les appareils connectés à ce segment doivent utiliser un antivirus et être mis à jour manuellement une fois par semaine (c’est suffisant pour un segment isolé) ;
  • Le système de commande de chaque dispositif doit interdire l’insertion des clés USB sauf celles faisant partie des appareils de confiance ;
  • L’utilisation du téléphone est interdite.

Rien qui sort de l’ordinaire, qu’est ce qui pourrait mal tourner ?

Scénario nº1 : contourner la connexion Internet

Quand une infrastructure perd sa connexion Internet, les employés trouvent des alternatives. Certains se procurent un autre téléphone, en laissent un à la réception et utilisent le deuxième en tant que modem afin de pouvoir travailler sur un ordinateur connecté.

Le modèle de menace qui correspond à ce segment n’anticipe pas les attaques contre le réseau, les malwares ou autres problèmes de sécurité similaires. En réalité, seulement quelques administrateurs mettent à jour les antivirus une fois par semaine et par conséquent, les cybercriminels peuvent introduire un cheval de Troie espion dans un ordinateur, s’emparer du réseau et propager le malware dans la totalité du sous-réseau, faisant fuiter les informations jusqu’à ce que la prochaine mise à jour de l’antivirus y mette un terme.

Scenario nº2 : il existe toujours une exception à chaque règle

Même les réseaux isolés font face à des exceptions ; c’est le cas par exemple des clés USB de confiance. Mais s’il n’y a aucune mesure restrictive sur l’utilisation de ces dispositifs, comment savoir qu’une clé USB ne sera pas utilisée pour copier des fichiers vers et à partir du système, ou pour aider un autre administrateur dans un réseau non isolé ? De plus, il arrive que le personnel d’assistance technique connecte leurs ordinateurs à un réseau isolé, par exemple pour configurer le réseau à l’intérieur du segment.

Si un malware de type zero-day se propage à cause d’une clé USB de confiance ou d’un ordinateur, ce logiciel malveillant ne devrait pas rester très longtemps dans le réseau : une fois mis à jour, l’antivirus non-isolé de l’entreprise neutralisera la menace. Cependant, en dehors des dégâts qu’il peut faire au réseau principal non isolé même dans un si court laps de temps, le malware restera dans le segment isolé jusqu’à la prochaine mise à jour de ce dernier, ce qui, selon ce scénario, n’arrivera pas avant au moins une semaine.

L’issue dépendra du type de malware. Il peut par exemple écrire sur les clés USB de confiance. Peu de temps après, une autre menace de type zero-day présente dans le segment non isolé peut rechercher les dispositifs connectés pour trouver des données cachées et pour les transférer hors de l’entreprise. Par ailleurs, il peut également s’agir d’une forme de sabotage qui vise à modifier les logiciels ou les paramètres du système de contrôle-commande.

Scenario nº3 : instrus

Si un employé dont le jugement est altéré a accès aux locaux où se trouve le sous-réseau isolé, il peut compromettre ce dernier comme il le veut. Il pourrait par exemple connecter un nano-ordinateur Raspberry Pi sur le réseau avec une carte SIM et une connexion Internet. Nous pouvons prendre l’histoire de DarkVishnya comme exemple.

Ce que vous pouvez faire

Dans tous les scénarios décrits ci-dessus, il ne manquait qu’une chose cruciale qui aurait tout changé : une solution de sécurité mise à jour. Avec Kaspersky Private Security Network dans le segment isolé, notre programme aurait réagi et ces trois problèmes auraient été évités. Notre solution de sécurité est une version sur site de Kaspersky Security Network, un logiciel basé sur le Cloud, mais capable de travailler en mode diode de données.

En d’autres termes, le logiciel Kaspersky Private Security Network, bien que destiné à un réseau local, reçoit les informations concernant les dernières menaces connues qui proviennent de l’extérieur et les partage avec les logiciels de sécurité des postes de travail qui se trouvent à l’intérieur. En parallèle, il empêche que ne serait-ce qu’une partie des données présentent dans le segment isolé ne se retrouvent dans le réseau général. Si vous voulez en savoir plus sur la solution, visitez notre page officielle.

Conseils