Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

VoIP : la sécurité ne doit pas faire peur !

mai 2009 par Marc Jacob

Lors du salon CoIP, la sécurité de la VoIP a été abordée du « bout des lèvres » lors d’une conférence animée par Pierre Mangin de Silicon.fr à laquelle participaient Roberto Correnti de Clavister, Eric Kratz d’Ameritel, Loïc de la Forest Divone de TR Service et Thierry Rolland d’Ecocube. Les intervenants ont convenu que la VoIP devait être sans aucun doute sécurisée. Toutefois, ils ont souligné que la sécurisation ne doit pas faire peur aux entreprises qui souhaiteraient faire le saut technologique vers la VoIP….

Pierre Mangin Silicon.fr ; Loïc de la Forest Divone TR Service et Thierry Rolland d’Ecocube

Chez TR Service, on a très vite compris que la VoIP ne pouvait être déployée sans intégration de la sécurité en amont des projets. Ainsi, une équipe d’une quinzaine de consultants sur 300 personnes a été constituée. Son objectif est de proposer des audits de sécurité en amont des projets et après le déploiement. Pour Loïc de la Forest Divone de TR il faut considérer l’IPBX comme un poste informatique. Il est donc nécessaire de le protéger au même titre que tout Système d’Information d’autant que les attaques, même si elles ne sont pas connues publiquement sont bien réelles. Bien sûr, cette protection doit être adaptée à la politique de sécurité des entreprises. Il n’est donc pas selon Loïc de la Forest Divone nécessaire de crypter tout le SI, si il n’y pas d’impératif, d’autant que le cryptage a souvent des impacts sur la qualité de service de la VoIP.

Pierre Mangin : Justement quels sont les risques qui pèsent sur la VoIP ?

Loïc de la Forest Divone : Ils sont multiples : écoute, fraude sur des numéros surtaxés, destruction de la configuration de l’IBPX, DDoS, bypasser la sécurité informatique en connectant un modem (plutôt menace interne), usurpation d’identité, branchement de postes pirates… Il est donc nécessaire de prévoir la sécurité en amont et surtout que les équipes Télécoms et informatique travaillent ensemble sur ces projets.

Pierre Mangin : Comment doit se gérer les projets de déploiement de la VoIP ?

Ils sont souvent menés par les équipes Télécoms estiment de concert Loïc de la Forest Divone de TR Service et Thierry Rolland d’Ecocube. Toutefois, elles n’ont pas une réelle culture de sécurité. Ainsi, elles n’appréhendent pas bien les risques qui pèsent sur la VoIP. Par exemple, un virus sur le SI peut faire tomber le réseau téléphonique de l’entreprise si on ne prévoit pas une segmentation étanche entre les réseaux voies et données… Ces équipes doivent donc collaborer avec les services informatiques réseaux sur la partie sécurisation. Elles doivent déployer des architectures résilientes par exemple.

Roberto Correnti Clavister et Eric Kratz d’Ameritel

Eric Kratz d’Ameritel propose une solution qui intègre les produits de sécurisation de Clavister pour protéger les échanges côté WAN. Son offre est disponible sous forme d’appliance physique ou virtuelle. La solution de Clavister inclut un firewall, de l’inspection protocolaire en particulier pour le SIP, de la gestion de la bande passante... Cette dernière fonctionnalité permet aussi de faire de la qualité de service. Cette offre commune est plutôt adaptée aux entreprises à partir de 20 postes jusqu’aux grands comptes.

Pour ce qui concerne les IPBX virtuel, on risque d’accroître le nombre de menaces si on ne sépare pas physiquement les applications en mettant des cartes réseaux différentes par exemple. Bien sûr, la virtualisation est intéressante en termes de coûts et d’écologie, mais pas sans sécurité. D’ailleurs, de nombreux fournisseurs dont Clavister proposent des solutions de sécurisation spécifiques.

Pierre Mangin : On parle beaucoup du Trunck SIP quels sont les risques de sécurité ?

Le trunck SIP est une offre commerciale qui permet de faire de l’IP de bout en bout, ou tout au moins, de faire disparaître les cartes incluses dans les PABX nécessaires pour faire des liaisons T2. Les opérateurs expliquent à leurs clients qu’ils vont faire des économies. Toutefois, là encore, il ne faut pas faire l’économie de la sécurité car les risques sont accrus et les outils existent. Ces offres devraient sans doutes se développer dans le futur.


Voir les articles précédents

    

Voir les articles suivants