IPv6 : pourquoi tant d’organisations ne sont-elles pas encore prêtes ?
IPv6 n’a rien de neuf. Le sujet est de tous les débats depuis de nombreuses années. Pourtant, beaucoup d’organisations ne s’y sont pas encore préparées. Au risque de le voir utilisé sur leurs réseaux à leur insu, et sans contrôle approprié.
Il semble que l’on parle d’IPv6 depuis toujours. Il a été officiellement lancé en 2012, mais existait déjà depuis plusieurs années et avait été mis en œuvre sur tous les principaux systèmes d’exploitation utilisés par les entreprises et les consommateurs en 2011. Même avant cette date, il avait été largement accepté que nous allions être à court d’adresses IPv4. Et pourtant, de nombreuses organisations en Europe ne sont toujours pas prêtes à mettre en œuvre IPv6, le problème variant énormément d’un pays à l’autre et d’une entreprise à l’autre.
Mais même sans avoir officiellement mis en œuvre IPv6 ni défini de stratégie en la matière, beaucoup l’ont en fait adopté très officieusement, en autorisant l’entrée sur leur réseau de certaines technologies qui l’utilisent déjà – avec ou sans la connaissance et la permission expresses de l’équipe informatique. Ces appareils peuvent potentiellement mettre en danger la sécurité de l’organisation si les règles du pare-feu ne s’y appliquent pas, et plus généralement si les contrôles de sécurité ne sont pas configurés pour le trafic IPv6.
Si ce problème se pose en Europe, c’est parce qu’il n’existe pas d’organisme central chargé de faire respecter la migration vers IPv6. Aux États-Unis, la politique gouvernementale imposant la transition vers la nouvelle norme a entraîné une certaine adoption, et en Asie, l’utilisation du protocole a été accélérée simplement en raison de la croissance exponentielle des besoins en adresses, et de la disponibilité limitée des adresses IPv4.
Qu’est-ce qui freine la transition ?
Dans un monde idéal, les entreprises seraient capables de construire une nouvelle architecture informatique prête pour IPv6 à partir de rien. Bien sûr, dans les faits, très peu d’organisations peuvent se permettre ce luxe. Mais le fait de devoir adapter les systèmes existants pour qu’ils soient prêts pour IPv6 pose une série de défis souvent très difficiles à relever.
Les entreprises de fabrication, par exemple, s’appuient sur des robots et des machines sur la chaîne de production. Beaucoup d’entre eux utilisent encore le système d’exploitation Windows 95 et n’ont souvent pas été mis à jour depuis longtemps. Dans certains cas, la mise en œuvre d’IPv6 signifierait l’arrêt de la production de toute une usine pendant la transition, ce qui serait incroyablement coûteux pour l’entreprise.
De leur côté, les entreprises de télécommunications travaillent à la transition depuis des années. La mise en œuvre de cette technologie se fera peut-être lentement, mais sûrement, tant pour les consommateurs que les entreprises. Il est donc essentiel de s’assurer que les équipes IT et la sécurité sont prêtes, car si l’équipe de supervision et de réponse aux incidents d’une grande entreprise n’est pas préparée au traitement des alertes IPv6, des événements critiques pourraient passer inaperçus.
Surtout, IPv6 est plus qu’une « simple adresse IP plus grande ». Le protocole est bien différent d’IPv4 et les réseaux nécessitent d’être repensés afin d’en optimiser l’architecture, tant pour les performances que pour la sécurité. Il existe un risque bien réel de commettre des erreurs de sécurité, d’exposer involontairement des ressources ou de s’appuyer sur des approches d’architecture héritées d’IPv4.
Logiciels et formation
Dans de nombreux cas, même les éditeurs de logiciels ne sont pas encore prêts pour IPv6 avec tous leurs produits. Certains produits technologiques et de sécurité sont prêts, mais d’autres n’ont pas encore atteint la parité fonctionnelle entre IPv6 et IPv4. Outre les risques que la technologie, notamment pour un pare-feu ou un WAF, ne soit pas prête, il est également très important de veiller à ce que les praticiens de la cybersécurité soient pleinement formés au nouveau protocole.
IPv6 comporte de nouveaux concepts qu’il faut bien comprendre et il n’est pas rare de le trouver utilisé de façon désinvolte dans un réseau sans que les contrôles soient correctement mis à jour. Il est également fréquent de voir IPv6 s’autoconfigurer sur un réseau ou être utilisé en association avec des applications Microsoft ou des services d’OS sans que l’équipe de sécurité en ait connaissance.
Un autre aspect essentiel à prendre en compte est le manque croissant de professionnels de la sécurité qualifiés et les nombreuses tâches quotidiennes qui doivent être effectuées. Les praticiens de la sécurité sont rares dans le monde, mais ceux qui ont de l’expérience dans ce domaine spécifique le sont encore plus.
En outre, les grandes organisations disposent généralement d’équipes de sécurité importantes et ont la capacité d’investir davantage dans des projets informatiques tels que la transition vers IPv6, mais ce n’est pas le cas des PME. Le fait que même les grandes entreprises ne soient pas encore prêtes donne un aperçu de l’ampleur du problème, tout au long des chaînes logistiques.
Quelle est la prochaine étape ?
Il ne fait aucun doute que la transition vers IPv6 est un processus douloureux pour de nombreuses organisations, mais tout le monde va devoir en passer par là. Il est important que les entreprises aillent de l’avant avec leurs déploiements IPv6, car il y a déjà un volume surprenant de trafic IPv6 qui circule dans nos réseaux et sur Internet. Les entreprises doivent également veiller à ce que le fait qu’IPv6 ne soit pas perçu comme un sujet pressant, n'entraîne pas que son utilisation se développe sans qu’on lui accorde moins d’attention qu’elle ne le mérite.