Peu de choses sont plus importantes pour un système de communication que sa protection. Avec la multiplication des cyberattaques et l’augmentation constante des points de contact des entreprises avec Internet, les risques de piratage ne font qu’augmenter. Pire encore, les conséquences d’un piratage ne cessent de s’aggraver, la violation moyenne de données coûtant aujourd’hui aux PME 4,35 millions de dollars américains par attaque.
Lorsqu’un cyberattaquant décide de s’attaquer à votre système, seule la politique de sécurité de votre système peut vous empêcher de subir de graves dommages. C’est pourquoi il est essentiel que votre plateforme UC&C soit non seulement parfaitement protégée, mais qu’elle applique cette protection de manière cohérente et fiable.
C’est également la raison pour laquelle Wildix fait de la sécurité un élément central de la conception de ses systèmes. Les solutions Wildix intègrent toutes des mesures de sécurité puissantes au sein même de leur architecture. Ainsi, chaque composant fonctionne sans intervention supplémentaire de la part de l’utilisateur, ce qui rend votre sécurité aussi efficace que possible sans ajustements supplémentaires.
Comment cette sécurité se met-elle en place ? Nous allons vous donner ici un aperçu complet et approfondi de la politique de sécurité de Wildix et de la façon dont les solutions Wildix vous protègent grâce à leur conception de base.
Contre quoi se protéger ?
Mais avant de pouvoir explorer pleinement toute politique de sécurité, nous devons avoir une idée de ce contre quoi un système UC&C doit être protégé.
Voici quelques-unes des attaques les plus courantes visant les systèmes de téléphonie numérique.
Intrusion dans les comptes : L’une des cyberattaques les plus simples consiste à s’introduire dans le compte d’un utilisateur en devinant son mot de passe ou en l’obtenant par phishing. Des mots de passe insuffisamment complexes ou l’absence de protocole de sécurité pour l’ouverture de session comptent donc parmi les pires vulnérabilités d’un système.
Man-in-the-Middle Attacks (Attaques de l’homme du milieu) : Lorsqu’un système n’est pas suffisamment sécurisé, des hackers peuvent être en mesure d’accéder à la connexion et de lire les données qui y sont échangées dans le cadre de ce que l’on appelle une attaque « homme du milieu ». Et si le fait d’avoir des oreilles indiscrètes sur des messages confidentiels n’était pas assez grave, ces piratages donnent également aux attaquants la possibilité de modifier les données de communication pendant l’échange afin de semer la désinformation et la méfiance au sein des organisations.
Intrusions dans les systèmes : L’image la plus fréquente d’une cyberattaque est sans doute celle d’un hacker qui s’introduit directement dans un système sans mot de passe, souvent en utilisant une porte dérobée. Si un système ne dispose pas d’un moyen de détecter ces intrusions dès qu’elles se produisent, il sera impossible de s’en prémunir.
Attaques DDoS : Les attaques par déni de service distribué sont une forme de cyberattaque qui submerge un serveur de trafic, le forçant à s’arrêter. Les systèmes doivent donc disposer d’un moyen de bloquer le trafic excédentaire, même s’il ne fait que tenter d’accéder à la solution.
Il existe bien sûr d’autres moyens pour les cyber-attaquants de frapper les organisations. Mais si un système n’est pas protégé contre ces formes courantes d’attaque, il sera vulnérable à des dommages très graves.
Protection contre les menaces Secure-by-Design
Les protections contre ces types d’attaques sont, sur le papier, une norme industrielle. Mais trop souvent, des configurations mal planifiées et de simples erreurs humaines font que ces protections ne fonctionnent pas correctement ou qu’elles sont complètement oubliées.
Comme nous l’avons déjà mentionné, il s’agit d’un risque inacceptable pour toute organisation. Pour y remédier, Wildix est livré avec des mesures de sécurité pré-intégrées qui sont activées par défaut dès que le système est démarré.
C’est pourquoi nous déclarons Wildix « secure by design » : Sans aucune entrée ou configuration supplémentaire, toutes les solutions Wildix disposent d’une suite complète de protocoles de sécurité robustes qui protègent les utilisateurs finaux dès leurs premières secondes en ligne.
Voici les principaux composants de sécurité que Wildix active dès la sortie de la boîte :
- Mots de passe : Les systèmes Wildix exigent des mots de passe complexes lors de la création du compte, et peuvent être davantage protégés par l’authentification à 2 facteurs (2FA), qui exige que les utilisateurs se connectent à l’aide de leurs identifiants habituels et d’un code à usage unique envoyé sur un compte distinct.
- Encodage : Même si un hacker s’infiltre dans l’une de vos conversations Wildix, il ne pourra en comprendre aucune grâce aux multiples niveaux d’encodage de la solution. En utilisant une combinaison de signalisation SIP sur les protocoles TLS, SRTP, DTLS-SRTP et AES, Wildix brouille les données transférées avec des protocoles si complexes que seules les parties prévues peuvent les déchiffrer.
- WebRTC : Le protocole Web Real-Time Communications est au cœur de la téléphonie numérique Wildix depuis le tout début, et ce en grande partie grâce à son excellente sécurité intégrée. Le WebRTC s’exécute uniquement dans le navigateur – ce qui signifie qu’il utilise une sécurité de niveau navigateur et n’est affecté par aucun fichier local – et crypte automatiquement son trafic avec DTLS et SRTP pour rendre toute écoute impossible.
- Protection DDoS : Grâce à une combinaison de protocoles de connexion sécurisés – SIP, RTP, proxy DNS et NTP notamment – Wildix bloque automatiquement le trafic réseau excessif ciblant le système, ce qui permet de mieux prévenir les attaques DDoS en stoppant une surcharge de connexions (et une panne subséquente) avant même qu’elle ne puisse se produire.
- Détection d’intrusion : Si un hacker tente d’accéder illicitement à Wildix, l’administrateur du système le saura instantanément. Les points d’accès des PBX Wildix sont tous automatiquement surveillés afin que de telles intrusions soient toujours mises en évidence pour une vue complète et actualisée de votre sécurité.
- Surveillance du système : Wildix donne un aperçu du trafic réseau en direct avec une fonction de surveillance du système disponible pour les administrateurs. Grâce à la compatibilité avec la solution de surveillance système standard Zabbix, les équipes informatiques bénéficient d’un aperçu approfondi de l’activité en temps réel sur les solutions Wildix pour un aperçu général des connexions de leur système, à la fois lors d’une utilisation générale et en cas de tentative d’attaque.
- Protections intégrées : Pour une sécurité accrue dès le démarrage, Wildix inclut des mesures intégrées pour bloquer le trafic web excessif ou dangereux, notamment des pare-feu et un contrôleur de session en frontière (SBC). Ces mesures étant intégrées directement dans le système Wildix, les techniciens n’auront jamais à s’occuper de leur mise en place ou de leur maintenance, ce qui laisse aux utilisateurs finaux un moyen cohérent de bloquer la plupart des tentatives élémentaires de cyberattaques.
Chacun de ces composants permet de se protéger contre plusieurs types de cyberattaques fréquentes. Mais ce sont loin d’être les seuls moyens par lesquels Wildix active automatiquement la sécurité.
Sécurité dans le Cloud
Le cloud est une plateforme extrêmement utile pour l’utilisation flexible et à distance d’applications et de systèmes, ce qui en fait une infrastructure facile à recommander à toute organisation.
Cependant, le cloud présente également d’immenses risques en matière de sécurité. Les systèmes en cloud étant conçus pour être accessibles à partir de n’importe quelle connexion et de n’importe quel endroit, les protections mises en place pour les connexions locales ne couvrent pas toujours tous les points d’accès possibles au système. Il y a ensuite les réseaux supplémentaires que les données doivent traverser dans le cloud, tels que les serveurs du réseau et tous les fournisseurs tiers que vous utilisez, qui peuvent tous être vulnérables aux hackers s’ils ne sont pas correctement configurés.
C’est pourquoi Wildix inclut ces mesures de sécurité supplémentaires uniquement pour les systèmes basés dans le cloud.
Authentification dans le Cloud
Parce que les systèmes dans le cloud sont par nature confrontés à des tentatives de connexion par n’importe qui, depuis n’importe où, les systèmes cloud ont besoin de normes supplémentaires pour empêcher les accès non autorisés. Wildix applique cette sécurité supplémentaire dans le cloud principalement par le biais de l’authentification unique (Single Sign-On = SSO).
SSO est une méthode de connexion qui utilise un compte externe commun, tel que Gmail ou Outlook, pour se connecter au lieu d’un nom d’utilisateur et d’un mot de passe uniques. Cela réduit le nombre de mots de passe dont les utilisateurs doivent se souvenir, ce qui signifie qu’ils sont moins susceptibles d’écrire le mot de passe du compte et de le laisser à la disposition d’acteurs malveillants.
SSO fait également passer la connexion par les serveurs du titulaire du compte externe pour une autre couche d’authentification – dans de nombreux cas, tels que les connexions par le biais des comptes Google, cela renforce également la sécurité simplement en effectuant le transfert par le biais de certains des serveurs les plus avancés au monde.
Wildix prend en charge cette méthode de connexion avec SAML 2.0 (Security Assertion Markup Language), une norme visant à rationaliser les fonctions SSO rapidement et en toute sécurité. Notre SSO est également pris en charge par OpenID, un moyen supplémentaire d’authentification des utilisateurs pris en charge par Google et d’autres fournisseurs technologiques majeurs.
Cryptage dans le Cloud
Alors que les systèmes cloud de Wildix utilisent naturellement toutes les méthodes de cryptage que nous avons mentionnées précédemment (TLS, SRTP, etc.), ils utilisent également un cryptage supplémentaire pour s’assurer que les mauvais acteurs n’accèdent jamais à vos données hébergées.
Dans le cloud, Wildix n’est accessible que par des connexions sécurisées établies par HTTPS et TLS 1.2, le protocole de cryptage le plus récent. Les protocoles plus anciens et plus vulnérables, tels que TLS 1.0 et SSL V3, sont totalement interdits. Au lieu de cela, les systèmes cloud de Wildix utilisent automatiquement les protocoles disponibles les plus puissants en premier lieu, puis les protocoles suivants les plus puissants si nécessaire.
Ce cryptage plus strict s’accompagne d’une authentification plus stricte des certificats. Durant les communications en ligne cryptées, chaque partie communicante reçoit un « certificat » numérique qui prouve que l’utilisateur est bien celui qu’il prétend être et que l’on peut lui confier la clé à usage unique nécessaire pour décrypter le trafic web entrant. Dans le cloud, Wildix utilise l’échange de clés SHA256 standard pour émettre des certificats, comme pour toute autre installation.
Mais en plus de cela, les déploiements dans le cloud utilisent également des protocoles plus stricts pour se conformer aux normes de transparence des certificats, tout en rendant les propres certificats de Wildix disponibles pour validation sur demande pour une politique de sécurité totalement claire.
Politique d’hébergement des données
La protection des données pendant les échanges est tout aussi essentielle que leur protection lorsqu’elles sont immobiles. Ainsi, à bien des égards, la sécurité dans le cloud est décidée par votre hébergeur, dont les politiques de sécurité internes et sur site jouent un rôle important dans la protection des données.
C’est pourquoi Wildix a choisi Amazon Web Services (AWS) comme partenaire exclusif. Comme nous l’avons expliqué en détail, AWS offre de solides protections pour tous les clients web, ainsi qu’une grande marge de manœuvre pour étendre cette politique par défaut à d’autres mesures de sécurité.
Conformément aux normes strictes de Wildix en matière de séparation des données, les données des utilisateurs sont hébergées uniquement sur un serveur AWS situé dans la zone géographique préférée de chaque utilisateur. Chaque système Wildix utilise également des sous-domaines pour segmenter davantage les données des utilisateurs dans des serveurs privés et entièrement sécurisés.
Et bien entendu, Wildix adhère également pleinement aux normes GRPD, y compris la suppression automatique des données des utilisateurs pour mieux préserver la vie privée et le droit à l’oubli.
ISO 27001/ISO 22301
En tant que client AWS, les services cloud de Wildix sont tous régulièrement soumis aux audits ISO 27001 et ISO 22301. Cela signifie que nos services sont constamment testés pour détecter les vulnérabilités en utilisant des normes strictes définies par ces normes ISO spécifiques ; si une faiblesse du système est détectée, l’équipe R&D de Wildix est immédiatement alertée pour déterminer comment résoudre le problème.
Pour être plus précis, les normes ISO 27001 et ISO 22301 sont deux normes internationales relatives à la protection des données des serveurs. La norme ISO 27001 couvre la sécurité de l’information, dictant un ensemble de règles qui « préservent la confidentialité, l’intégrité et la disponibilité de l’information ». La norme ISO 22301, quant à elle, porte sur la continuité des activités et traite des « contrôles et mesures permettant de gérer la capacité globale d’une organisation à gérer les incidents perturbateurs ».
Utilisées ensemble, ces normes mettent en place des règles pour le stockage privé des données des utilisateurs finaux, ainsi que des protocoles pour restaurer les systèmes en cas de sinistre. Et comme ces règles sont définies et appliquées par une entité externe – AWS, le fournisseur cloud de Wildix – Wildix s’engage en permanence à respecter ces normes.
En résumé…
Pour Wildix, la sécurité n’est pas facultative. Ainsi, lorsque vous utilisez Wildix, presque toute la sécurité dont vous aurez besoin commence dès que vous démarrez votre système.
Bien que nous ne puissions pas envisager toutes les possibilités, les problèmes de sécurité les plus courants sont facilement résolus grâce aux protections intégrées à chaque solution Wildix. Chaque PBX et système est conçu pour assurer un trafic sécurisé sans aucun ajout ou installation supplémentaire – et cela est encore plus vrai si votre solution Wildix fonctionne dans le cloud.
Car dès le démarrage, Wildix vous protège contre :
- Des mots de passe non sécurisés
- Les attaques DDoS
- Les intrusions dans le système
- Les attaques de type « Man-in-the-middle »
- Un trafic web suspect
Chaque fois que Wildix est déployé dans le cloud, il est également protégé par défaut avec :
- Un chiffrement supplémentaire
- Une authentification plus stricte des utilisateurs
- Une protection des données de niveau AWS
- Un audit ISO 27001/ISO 22301 régulier
En se concentrant sur la sécurité intégrée de cette manière, les systèmes Wildix restent faciles à déployer et à maintenir, toutes les protections nécessaires faisant simplement partie de l’architecture principale au lieu d’être perdues dans des centaines de protections supplémentaires.
Cela facilite le travail des techniciens et des services informatiques, bien sûr, mais surtout, cela rend votre système encore plus impénétrable. Le maximum de sécurité étant intégré à la solution principale, il n’y a aucun risque de manquer une protection lors de l’installation, et beaucoup moins de risques qu’une cyberattaque réussisse en conséquence. C’est une solution simple, mais selon nous, c’est exactement ce qu’il faut pour une tranquillité d’esprit simple.
Pour en savoir plus sur les meilleures pratiques en matière de cybersécurité, abonnez-vous gratuitement à notre magazine !