Les attaques contre la VoIP sont en augmentation et il est important que les entreprises sachent se défendre, tout en restant en conformité avec les régulateurs qui veulent la preuve que la sécurité du système respecte les réglementations en constante évolution.
Quelles sont les menaces?
De nombreuses entreprises ne disposent toujours pas d'une protection de cryptage de base contre des problèmes tels que le déni de service VoIP, les attaques par écoute clandestine et la fraude à la tarification, selon les experts du secteur. C'est un problème qui doit être abordé de toute urgence en raison du risque que cela puisse les rendre non conformes au cadre réglementaire en plein essor, y compris HIPPA (Health Insurance Portability & Accountability Act), PCI (Payment card standards) et le Sarbanes Oxley. Des actes qui sont si souvent révisés qu'ils sont en quelque sorte une cible mouvante.
Cette question est devenue au premier plan ces dernières années en raison d'événements impliquant des rappels de sécurité des produits, des fraudes financières et, malheureusement, des catastrophes en matière de santé et de sécurité environnementales. Les régulateurs américains et les organes d'autres juridictions ont intensifié la lutte en resserrant leur contrôle législatif. De manière générale, ces réglementations visent à protéger les informations personnelles qui pourraient conduire à des cas de vol d'identité, de compromission de comptes bancaires, de fraude téléphonique d'entreprise ou d'utilisation frauduleuse de cartes de crédit.
Bien que la VoIP soit rarement directement abordée dans ces règlements révisés, les règles s'appliquent toujours à cette technologie dans de nombreux cas. Par exemple, les normes PCI imposent l'utilisation de la sécurité et de la cryptographie telles que SSL / TLS / IPSEC afin de protéger les données des titulaires de carte lors de leur transmission sur des réseaux publics ouverts.
Cela signifie que les appels VoIP qui transitent par l'internet ouvert et comprennent des détails de carte de crédit doivent être cryptés. Même si cela ne s'appliquerait pas aux appels VoIP effectués sur les réseaux internes, les experts craignent que les entreprises ne soient obligées de valider que ces appels sont cryptés. Selon la langue utilisée dans la réglementation, cela pourrait être interprété comme faisant référence à la VoIP.
À titre d'exemple, la HIPAA a déclaré que les entreprises doivent prendre des mesures pour sécuriser les informations de santé gérées électroniquement. Cela peut ne pas être immédiatement associé aux appels VoIP, mais cela pourrait avoir un impact sur les appels enregistrés ou le stockage de messagerie vocale numérique, qui font tous deux partie de la plupart des systèmes VoIP. De la même manière, si un système vocal interactif est utilisé pour naviguer vers des informations protégées, son utilisation doit être à la fois surveillée et documentée.
À l'inverse, la Federal Deposit Insurance Corporation (FDIC) des États-Unis publie désormais des directives spécifiques pour la VoIP qui cherchent à protéger toutes les données des clients qui transitent dans les réseaux vocaux IP en vertu de la réglementation Graham Leach Billey. Les risques associés à l'utilisation de la VoIP doivent être évalués en même temps que d'autres évaluations périodiques des risques commerciaux conformément à ces conseils. Toute faiblesse doit être corrigée dès qu'elle est identifiée et neuf autres recommandations sont répertoriées pour que les organisations s'y conforment.
Un exemple d'une menace réelle pour la sécurité est décrit par un initié de l'industrie VoIP comme suit. Un client qui soupçonnait une écoute clandestine avait décidé de planter des informations falsifiées dans les appels VoIP pour voir si elles étaient ultérieurement mentionnées par les parties qu'il soupçonnait d'écouter. Il s'est avéré que les appels VoIP avaient été exploités par un tiers qui avait accès au réseau d'entreprise. Il y a un autre exemple souvent cité où les communications vidéo d'un PDG ont été consultées illicitement.
Terminaison vocale - l'avenir
Certains chefs d'entreprise essaient de se renseigner afin de se conformer à la réglementation, mais cela est notoirement difficile à faire. Beaucoup d'autres ignorent complètement la VoIP, la considérant comme «juste» un système téléphonique invulnérable. À mesure que les réglementations deviennent plus complexes, les entreprises seront obligées d'aborder de front leur conformité VoIP, éventuellement en investissant dans des structures internes pour les surveiller et les mettre en œuvre ou en payant les services d'un tiers expert.
Les tâches peuvent rapidement devenir accablantes pour un service informatique de taille moyenne, qui, en plus de se conformer aux exigences des régulateurs et de produire des rapports de conformité tous les trimestres, peut également exiger une vérification de sécurité dans le cadre d'autres contrats. Les entreprises qui enregistrent régulièrement leurs appels VoIP devront tenir compte de la réglementation en matière de stockage, dans le cas où les conversations seraient accessibles de manière illicite.
C'est une bonne idée de répondre aux détails des attaques publiées en comparant les systèmes impliqués avec les vôtres afin de scruter les défenses. Auriez-vous pu arrêter une attaque similaire? Si la réponse est non, il sera nécessaire de prendre des mesures supplémentaires. Cependant, la possibilité de tirer les leçons des malheurs des autres est limitée car les entreprises ne sont pas incitées à divulguer si elles ont subi une violation.
Chez IDT, nous sommes une entreprise qui peut bénéficier des services de consultants et d'autres spécialistes et qui a fait ses preuves dans le déploiement de solutions VoIP.