Comment sécuriser le réseau local (LAN) de son entreprise ?

La sécurité du réseau local repose en grande partie sur la mise à jour régulière des différents appareils (applications, ordinateurs, imprimantes et autres périphériques), une pratique qui permet de combler les failles connues et de renforcer les défenses contre les nouvelles menaces. Pour les PME, adopter une approche proactive améliore la protection des leurs données sensibles et de leur infrastructure informatique.

La fréquence des mises à jour

Pour garantir la protection du réseau local, il est recommandé d’adopter un calendrier de mises à jour structuré :

• Les mises à jour de sécurité critiques : à appliquer immédiatement dès leur publication
• Les mises à jour du système d’exploitation de l’ordinateur : tous les mois, ou tous les trois mois
• Les mises à jour des applications : tous les mois, ou tous les trois mois
• Les mises à jour du firmware des équipements réseau : tous les semestres

Ces fréquences peuvent varier en fonction des différents éditeurs et fabricants, et doivent être adaptées à chaque organisation, en tenant compte de ses besoins et de ses contraintes opérationnelles.

Le rôle des mises à jour pour la protection du réseau

Les mises à jour régulières des ordinateurs et des logiciels permettent d’apporter les correctifs nécessaires pour corriger les failles découvertes par les éditeurs et les fabricants. L’utilisation d’un ordinateur ou d’un logiciel obsolète expose l’entreprise aux attaques, car les cybercriminels connaissent les failles des versions anciennes et peuvent aisément les exploiter. De plus, les éditeurs ont tendance à progressivement mettre un terme au support des versions obsolètes, laissant ces systèmes sans protection face aux nouvelles menaces.

Les mises à jour permettent également d’améliorer les mécanismes de défense intégrés aux systèmes, renforçant ainsi la résistance globale du réseau face aux attaques. Pour faciliter la gestion des mises à jour au sein d’une PME, il est recommandé d’automatiser et centraliser le processus, et de tester les mises à jour sur un environnement de préproduction avant de les déployer sur l’ensemble du parc informatique.

Utiliser la connexion filaire plutôt que le Wi-Fi

Bien que la souplesse permise par la connexion sans fil d’un routeur Wi-Fi soit appréciable, la connexion filaire présente des avantages considérables en termes de protection et de performances.

La supériorité de la connexion filaire

Les réseaux câblés disposent d’une sécurité intrinsèquement supérieure par rapport aux réseaux sans fil. Pour accéder physiquement à un réseau filaire, un attaquant doit se connecter directement à un port Ethernet, compromettre un ordinateur ou autre appareil déjà connecté, ou accéder au routeur : une barrière physique nécessitant d’être présent dans les locaux réduit considérablement la surface d’attaque potentielle. De plus, les réseaux filaires ne sont pas sujets aux interceptions passives de communication, contrairement aux réseaux sans fil où les données transitent. Même si le chiffrement Wi-Fi moderne (WPA3) assure une bonne protection, le réseau Ethernet réduit considérablement ce risque.

La performance et la fiabilité

Les connexions filaires disposent généralement de performances supérieures en termes de débit Internet et de latence. Les réseaux Ethernet modernes supportent des débits jusqu’à 10 Gbps, voire plus dans certaines configurations, surpassant largement les capacités du Wi-Fi, une différence notable pour les ressources telles que les applications sensibles au temps de réponse ou nécessitant des transferts de données volumineux.

Se connecter à Internet via un câble Ethernet garantit une stabilité constante, indépendamment de l’environnement, contrairement aux réseaux Wi-Fi, sujets aux interférences électromagnétiques, aux obstacles physiques et aux fluctuations de signal, ce qui peut entraîner des déconnexions intempestives ou des baisses de performances.

Sécuriser son réseau filaire

Pour tirer pleinement parti du réseau filaire, assurez-vous d’utiliser des commutateurs managés permettant de configurer un VLAN (Virtual local area network, ou réseau local virtuel) pour segmenter le réseau, d’activer le contrôle d’accès au port (802.1X) pour authentifier les appareils se connectant au point central du réseau, de désactiver les ports Ethernet non utilisés pour éviter les connexions non autorisées, d’utiliser des câbles blindés (STP) dans les environnements sujets aux interférences électromagnétiques et d’instaurer une politique de gestion des accès physiques aux locaux techniques hébergeant les différents équipements réseau.

La topologie du réseau

La topologie du réseau se divise en deux aspects : la topologie physique et la topologie logique. La topologie physique la plus courante dans les PME est la topologie en étoile, une configuration permettant à tous les appareils d’être connectés à un point central. Cette structure facilite la gestion, le dépannage du réseau ainsi que l’isolation des problèmes, et s’adapte au réseau Ethernet. La topologie logique définit quant à elle la façon dont les données circulent dans le réseau. Même si le réseau est physiquement en étoile, il peut fonctionner logiquement comme un bus ou un anneau virtuel, ce qui permet d’optimiser le flux de données tout en conservant les avantages de la structure physique.

Les pare-feux et l’antivirus, le duo gagnant

La sécurisation du réseau local repose en partie sur ces deux systèmes de défense complémentaires qui forment une barrière robuste contre les menaces informatiques.

Le pare-feu comme première ligne de défense

Les pare-feux agissent comme un filtre entre le LAN de l’établissement et Internet ; ils analysent le trafic entrant et sortant, bloquant les communications non autorisées ou suspectes. Selon l’étude d’IBM, The Cyber Resilient Organization (Ponemon Institute, 2019), l’erreur humaine est la cause principale de 95% des brèches de sécurité réseau, qui auraient pu être évitées grâce à une meilleure configuration du réseau et de ses paramètres. Un pare-feu permet notamment le contrôle des flux de données selon des règles prédéfinies, la détection et le blocage des tentatives d’intrusion, la création d’une zone démilitarisée (DMZ) pour isoler les serveurs sensibles et la journalisation des événements pour faciliter l’analyse des incidents.

L’antivirus, une protection contre les logiciels malveillants

Les antivirus se concentrent, quant à eux, sur la détection et l’élimination des logiciels malveillants. Selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le nombre de cyberattaques aurait augmenté de 400% depuis 2020 et une cyberattaque surviendrait toutes les 39 secondes. Les antivirus modernes disposent de plusieurs fonctionnalités, telles que l’analyse en temps réel des fichiers et des processus, la détection des menaces inconnues, la mise en quarantaine des fichiers suspects et les mises à jour automatiques des signatures de virus.

Pourquoi les associer ?

Cette combinaison crée une défense nettement plus efficace que l’utilisation d’un seul de ces systèmes : le pare-feu bloque les menaces au niveau du réseau, tandis que l’antivirus protège les terminaux. Selon l’étude de Ponemon Institute, les entreprises utilisant ces deux outils ont réduit de 60% le coût moyen d’une violation de données par rapport à celles n’utilisant qu’un seul de ces systèmes.

Pour tirer pleinement parti de ces outils, les configurer correctement et en assurer la maintenance régulière nécessite :

• Une mise à jour régulière des règles et signatures
• L’analyse des logs pour détecter les anomalies
• La réalisation de tests de pénétration pour évaluer l’efficacité du dispositif
• La formation des équipes IT à la gestion de ces outils

Une approche proactive renforce considérablement la sécurité du réseau local, mais ces outils ne sont qu’une partie de la stratégie de cybersécurité, qui doit également inclure la sensibilisation des employés et la protection des communications, notamment via la sécurisation des emails.

Protéger les boîtes mail et former ses employés aux bonnes pratiques

Face à la recrudescence des attaques par phishing, les PME doivent redoubler de vigilance pour préserver l’intégrité de leurs systèmes d’information en protégeant les boîtes mail et en formant les employés.

L’ampleur de la menace du phishing

Le phishing représente une menace croissante pour la sécurité des boîtes mail. Selon l’Anti-Phishing Working Group, le phishing a augmenté de 300% en 2020, et 83% des personnes interrogées ont déclaré avoir subi une attaque. Cette hausse s’explique notamment par l’essor du télétravail et la sophistication des techniques utilisées par les cybercriminels qui emploient des méthodes telles que le phishing classique, le spear phishing, et le QRishing utilisant des QR codes malveillants. Pour se protéger efficacement, une approche multicouche combinant l’authentification multi-facteurs (MFA), la formation des utilisateurs, le chiffrement des emails et une réponse rapide aux incidents doit être envisagée.

Protéger les boîtes mail contre le phishing

Pour protéger les messageries professionnelles, plusieurs mesures techniques s’imposent :

• Mettre en place un filtre anti-spam performant
• Activer l’authentification multifactorielle pour l’accès aux comptes
• Utiliser le protocole DMARC pour authentifier les expéditeurs
• Chiffrer les emails contenant des données sensibles

Ces dispositifs permettent de réduire le risque d’intrusion via les emails, mais la technologie seule ne suffit pas : la sensibilisation des utilisateurs reste indispensable.

Former ses employés aux bonnes pratiques

Les collaborateurs doivent être formés à repérer les signes d’un email suspect : fautes d’orthographe ou de grammaire, adresse d’expéditeur inhabituelle ou légèrement modifiée, demandes urgentes ou menaçantes, liens ou pièces jointes non sollicités, etc. Pour maintenir un haut niveau de vigilance, il est conseillé d’organiser des sessions de sensibilisation, des modules e-learning interactifs et des simulations d’attaques par phishing pour tester les réflexes des employés. L’objectif est d’instaurer une véritable culture de la cybersécurité au sein des locaux, en communiquant régulièrement et en valorisant les comportements responsables, afin d’éviter au maximum le recours à une assistance professionnelle.

Envisager l’utilisation d’un VPN

Dans un contexte où les cybermenaces se multiplient, la sécurisation du réseau local d’une PME ne peut se limiter aux mesures traditionnelles. L’utilisation d’un VPN s’impose comme une solution complémentaire pour les PME soucieuses de protéger leurs données sensibles et leurs communications.

Mettre en place un VPN dans une PME pour la sécurité du LAN

Le VPN crée un tunnel chiffré entre les périphériques connectés et le réseau de l’entreprise. Cette technologie permet :

• Le chiffrement des données : toutes les informations transitant par le VPN sont encodées
• Le masquage de l’adresse IP : l’adresse réelle des appareils est remplacée par celle du serveur VPN
• Un accès sécurisé à distance : permettre la connectivité au réseau professionnel depuis l’extérieur en toute sécurité
• La protection sur les réseaux Wi-Fi publics : le chiffrement du VPN sécurise les connexions même sur des réseaux non fiables

Pour déployer efficacement un VPN, les PME doivent également choisir entre le VPN d’accès à distance, qui permet aux employés d’être connectés au point central du réseau depuis n’importe où et le VPN de site à site, qui établit une communication sécurisée et permanente entre plusieurs bureaux ou succursales.

Le protocole de chiffrement

Le choix du protocole influençant directement le niveau de sécurité, les protocoles recommandés pour une PME sont :

• OpenVPN : un protocole open source polyvalent, largement adopté pour sa fiabilité et sa souplesse
• WireGuard : un protocole moderne et léger, conçu pour une vitesse améliorée et une empreinte de code réduite
• IKEv2 : une solution rapide et stable, particulièrement efficace pour les connexions mobiles et les changements fréquents de réseau

En plus de l’authentification multi-facteurs pour sécuriser les connexions, une politique d’accès stricte doit inclure la gestion des droits d’accès selon les profils utilisateurs et la journalisation des connexions pour détecter les comportements suspects.

Pourquoi sécuriser son réseau local ?

La sécurisation du réseau local a pour objectif de protéger les données sensibles et assurer la continuité des activités d’une PME. Une approche combinant des mesures techniques et humaines implique de mettre régulièrement à jour les ressources matérielles (ordinateurs, imprimantes et autres périphériques) et logiciels, de privilégier le réseau Ethernet, de déployer des pare-feux et antivirus, de configurer un VLAN, de protéger les communications email et de mettre en place un VPN. La sûreté du réseau dépend également de la configuration des paramètres des équipements (routeur, serveur) et de la sensibilisation des utilisateurs aux bonnes pratiques. En adoptant ces mesures, les PME peuvent créer un environnement de travail sécurisé pour les employés, aussi bien dans les locaux de l’entreprise qu’à distance.