Les 3 points de sécurité à prendre en compte sur un SD-WAN

1/ Authentifier les équipements

Classiquement, une DSI qui équipe son réseau d’un switch ou d’un routeur s’attend à une installation simple, rapide, par un technicien autorisé qui accède à l’armoire des connexions LAN et WAN pour brancher l’équipement. Rien que cette première démarche n’est plus envisageable dans le cas du SD-WAN.

La dernière chose que l’on souhaite est de se retrouver avec un équipement voyou qui se fait physiquement passer pour un dispositif central et scanne tout le trafic du réseau interne. En matière de SD-WAN, le déploiement suppose de configurer le système de passerelle pour séparer l’interne de l’externe et pour le connecter au dispositif d’onboarding de tous les appareils en réseau. Selon les experts, l’injection de bugs à cause d’erreurs humaines est à ce stade bien plus fréquente que ce que les DSI veulent bien reconnaître.

Ainsi, le prestataire qui installe le SD-WAN doit configurer le blocage du trafic des nouveaux appareils qui ne se sont pas encore authentifiés. L’authentification peut se faire via un système de sécurité tiers, ou juste par l’indication d’un numéro de série. Attention toutefois à ne pas créer à ce stade des blocages de trafic légitimes.

2/ Chiffrer les flux de données

Après l’authentification pour valider les accès, entre en jeu la sécurité des données véhiculées. Celles-ci doivent être chiffrées, par SSL, par TLS ou encore via des tunnels VPN IPsec.

Le point important à considérer est que le chiffrement ne s’active pas simplement en cochant une case. Les fournisseurs proposent différentes méthodes de chiffrement et d’échange de clés. Plus le délai de mise à jour des clés (leur « rotation ») est court, meilleure sera la sécurité, car un pirate aura moins de temps pour détourner une clé.

Selon une enquête menée par les analystes du Tolly Group, ces délais de rotation varient du tout au tout entre les fournisseurs. Certains d’entre eux proposent des dispositifs supplémentaires, comme la méthode Diffie-Hellman qui autorise l’échange de clés sur des canaux qui ne sont pas eux-mêmes protégés.

Les fournisseurs tâchant d’avoir toujours un coup d’avance sur les hackers, les fonctions de chiffrement sont celles qui évoluent le plus souvent.

3/ Sécuriser les messages de contrôle 

Dernier point de sécurité à prendre en compte, la console d’administration elle-même du SD-WAN. C’est sur elle que sont centralisés tous les messages de contrôle du réseau, ceux qui proviennent des routeurs et des switches.

Il est important que ce trafic-là soit aussi chiffré, car il constitue une cible privilégiée des hackers. Grâce à lui, un intrus malveillant peut intercepter, détourner et compromettre l’administration et les paramètres du SD-WAN. La majorité des fournisseurs chiffrent ce trafic mais, attention, pas tous.

Ces différents points de sécurité étant pris en compte, les prochaines étapes sont plus classiquement des règles de firewall et même de protection contre les malwares, qu'il est possible de définir au niveau du SD-WAN.

Concernant la microsegmentation du réseau, il est important de définir des règles pour chacun des flux, au moins pour le trafic des applications métier et celui des invités.