La flexibilité et les économies de coûts sont les principales raisons pour lesquelles de plus en plus d'entreprises se tournent vers des systèmes basés sur VoIP pour leurs besoins en téléphonie professionnelle. Mais bien qu'il y ait des raisons impérieuses de passer à cette technologie, il y a aussi certaines considérations, dont la sécurité VoIP, notamment.
Parce qu'il utilise une connexion Internet, la sécurité de la VoIP doit être correctement mise en œuvre. Cela signifie comprendre les menaces potentielles et savoir comment les contrer
Menaces des opérateurs de gros VoIP
En règle générale, les vulnérabilités VoIP peuvent être divisées en trois catégories. Ce sont le protocole, l'application et l'implémentation, regardons quelques exemples de chacun. Une vulnérabilité de protocole pourrait, par exemple, être utilisée pour lancer une attaque par déni de service en activant faussement des indicateurs de message en attente, obligeant les utilisateurs à consulter inutilement leur messagerie vocale.
Une vulnérabilité d'application serait une faille logicielle - dans les scripts par exemple - qui permettait un accès détourné à l'ordinateur. Le type de vulnérabilité le plus grave est peut-être celui de la mise en œuvre. Il y a eu des cas où des infrastructures système mal configurées ont permis à des pirates d'écouter des conversations via une attaque de type man-in-the-middle.
Les choses sont encore compliquées par la flexibilité même de la VoIP. Certains points de terminaison, par exemple, peuvent ne pas être directement connectés au réseau. Il peut s'agir de connexions via une application mobile ou de télétravailleurs travaillant à domicile et donc plus difficiles à sécuriser car la communication à partir de ces appareils peut ne pas être cryptée.
La mise en œuvre d'un système VoIP implique une gamme d'équipements comprenant du matériel d'extrémité, des serveurs d'appels, des proxys et des passerelles, qui augmentent tous la surface d'attaque potentielle. Ceux-ci constituent des cibles attrayantes pour les pirates et signifient que les réseaux convergents de voix et de données utilisés dans les stratégies de communications unifiées peuvent être victimes de nouveaux exploits.
Sécuriser la VoIP
Savoir d'où viennent les menaces est la première étape de la planification de la sécurisation de votre système VoIP. Vous voudrez peut-être commencer par examiner la sécurité de vos systèmes existants pour l'informatique et le RTPC. Tout système qui repose sur un câblage physique peut potentiellement être «reniflé» si les pirates ont accès au réseau interne. La meilleure façon de se prémunir contre cela est de crypter le trafic, ce qui est généralement plus facile et moins cher à réaliser sur les systèmes VoIP.
Dans un sens, la nature de la VoIP la rend intrinsèquement plus sûre que le RTPC. En effet, il est plus facile de fournir une authentification des utilisateurs et de crypter le trafic. Vous pouvez également profiter des options de configuration du système pour éviter les abus. Par exemple, vous pouvez restreindre les personnes autorisées à passer des appels à l'étranger. Vous pouvez également renforcer le contrôle d'accès en ajoutant des options telles que la sécurité à deux facteurs ou biométrique.
Pour les points de terminaison qui accèdent à distance à votre système VoIP, la meilleure pratique consiste à fournir un accès via VPN. Cela donne aux utilisateurs distants ce qui est en fait un tunnel privé vers le système qui est crypté afin que le trafic ne puisse pas être intercepté par un attaquant.
Les téléphones IP connectés à des réseaux internes doivent également être pris en compte. Le problème clé ici est l'utilisation du port Ethernet du téléphone. C'est quelque chose que la plupart des téléphones IP ont pour permettre à un PC de se connecter au réseau en utilisant un seul port. Pour la sécurité et la fiabilité, il est important que cela soit correctement configuré au niveau du commutateur afin que plusieurs appareils soient autorisés à accéder au même port.
Si vous êtes préoccupé par les risques résultant du mélange du trafic voix et données sur le même réseau, vous pouvez envisager de configurer des réseaux virtuels (VLAN) distincts pour séparer logiquement le trafic.
Les VLAN ne sont bien sûr pas à l'abri des attaques, mais en séparant le trafic voix et données, vous réduisez le risque. Comme toujours, il est essentiel de maintenir à jour votre logiciel de sécurité et le logiciel de tout équipement de commutation réseau pour réduire le risque d'attaques zero-day.
Les communications VoIP font de plus en plus partie des entreprises aujourd'hui et leur importance ne peut donc pas être sous-estimée. En termes de sécurité, l'équipe de sécurité de l'information doit s'assurer qu'elle fonctionne à la fois avec les utilisateurs VoIP et la direction.
Aucun système n'est parfaitement sécurisé, qu'il s'agisse de RTPC, de réseaux mobiles ou de systèmes VoIP, tous nécessitent une attention et une planification de sécurité minutieuses. Cependant, comme les systèmes VoIP sont essentiellement basés sur le réseau et sur ordinateur, ils permettent d'apporter des améliorations importantes à la sécurité. L'utilisation de la VoIP permet l'ajout d'améliorations de sécurité, y compris une meilleure authentification, ainsi que le cryptage du trafic de communication. Tous ces éléments peuvent aider à minimiser les risques liés à l'utilisation de systèmes vocaux basés sur IP.
Comme pour toute technologie, il y aura toujours un certain niveau de risque de sécurité avec la VoIP. Cependant, les entreprises qui mettent en place des mesures de sécurité VoIP appropriées peuvent atteindre un niveau de sécurité des communications vocales plus élevé que celui des systèmes plus anciens.