L’Anssi publie son guide de sécurisation de la ToIP
L’Agence Nationale pour la Sécurité des Systèmes d’Information vient de rendre publiques ses recommandations pour la sécurisation des systèmes de téléphonie sur IP.
L’Agence Nationale pour la Sécurité des Systèmes d’Information (Anssi), vient de publier un guide de sécurisation de la téléphonie sur IP (ToIP). Dans un communiqué, elle relève que la ToIP « est une évolution majeure récente dans le monde des télécommunications », et souligne que son guide « a pour objectif de présenter [les risques auxquels sont exposés les services de téléphonie] ainsi que les mesures de sécurisation qui doivent accompagner la mise en oeuvre d’une infrastructure de téléphonie sur IP ». Comptant un total de 29 pages et visant administrateurs, RSSI, et DSI, ce guide se veut évolutif afin de tenir compte des changements technologiques et liés aux menaces.
A date, ce guide identifie trois besoins principaux - la disponibilité, l’intégrité, et la confidentialité -, déclinés en risques - « mêmes types de menaces que les systèmes d’information classiques » - avec en particulier l’utilisation abusive « des ressources téléphoniques, soit pour pouvoir passer des appels téléphoniques aux frais de l’entité compromise, soit pour couvrir des actions illégales ».
Côté protection, l’agence rappelle « les principaux fondamentaux de la sécurisation d’un système d’information » - « défense en profondeur, principe du moindre privilège, réduction de la surface d’attaque » - ainsi les bonnes pratiques de base de son « guide d’hygiène informatique ». Mais elle va plus loin, recommandant l’utilisation du chiffrement, voire l’isolation physique totale de l’infrastructure de ToIP « si l’analyse de risques a mis en évidence un besoin élevé en disponibilité ou en intégrité/confidentialité des communications ». A défaut, elle recommande des « mesures de cloisonnement minimales ». Plus loin, l’Anssi estime que l’administration de l’infrastructure de ToIP doit se faire « idéalement » à partir d’un réseau dédié et, en tout cas, à partir de « postes de travail dédiés ».
Plutôt technique, le document s’avère assez complet. Mais si les recommandations qu’il contient peuvent être applicables à l’échelle de grandes entreprises, nombre d’entre elles paraissent assez loin des capacités de TPE et de petites PME.