#NSD15 - Sécurité des plateformes voix

291 vues

Publié le

Toutes les informations sur http://www.netsecure-day.fr/nsd15

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
291
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

#NSD15 - Sécurité des plateformes voix

  1. 1. Consulting TIME – Décembre 2015 La sécurité des plateformes voix
  2. 2. Préambule : présentation … - Rouen 2015 - Consulting TIME est une société de conseil, d’ingénierie et de stratégie en télécommunications, outils et solutions de communication numérique, fondée en 2011 par Lamine TALAKELA ingénieur/chef de projet télécom de formation. 8 ans d’experience télécom & T.I.C Références grands comptes essentiellement (Bouygues Telecom, La Poste, Technicolor, LG-Ericsson, Fiducial, Caisse des dépôts et consignations, groupe Numericable, …) Plus de 130 000 utilisateurs des solutions préconnisées ou intégrées par Consulting TIME depuis 2011 tels que : - téléphonie sur IP/cloud - convergence fixe-mobile, et mobile centrex - communications unifiées - stratégie opérateur et R&D - Formation - outils TIC pour la communication - … etc Lancement de l’activité internationale en janvier 2014 (Europe/MENA) Promoteur d’innovation et créateur de richesse
  3. 3. 3 Introduction : quelles plateformes voix pour les entreprises ? Les entreprises de toutes tailles ont de + en + des besoins forts en téléphonie pour leurs activités : - 30% sont des TPE (1 à 10 personnes) - 60% sont des PME (50 à 500 personnes) - 10% sont des grandes entreprises … voir très grandes (de 500 à plusieurs dizaines de milliers) Il y a plusieurs types de solutions voix, nous allons distinguer 2 types de plateformes : - Les plateformes voix internalisées (PABX/IPBX, propriétaire/open source) - Les plateformes voix externalisées (cloud, solutions opérateurs, mobile) Des différences notoires côté fournisseur de services (opérateur) pour les plateformes, mais du point de vue client beaucoup de similitudes. => Complexité & vigilance ! - Rouen 2015 -
  4. 4. 4 Sommaire Introduction : Quelles plateformes voix pour les entreprises ? Quelles sont les menaces ? Les conséquences et responsabilités Comment se prémunir ? Conseils techniques et nouveaux points de vigilance
  5. 5. 5 Quelles sont les menaces ? Typologies des principales menaces :  Usage interne mal-intentionné  Le détournement des accès téléphoniques  Exploitation de failles du système téléphonique - Rouen 2015 -
  6. 6. 6 Quelles sont les menaces ? Usage interne mal-intentionné :  Ecoute illégale/espionnage (utilisation abusive des fonctions d’écoute silencieuses, accès frauduleux aux messageries vocales, enregistrements de conversations)  Usurpations d’identités - Rouen 2015 -
  7. 7. 7 Quelles sont les menaces ? Le détournement des accès téléphoniques :  Fraude téléphonique dans le but de passer des appels gratuitement  Renvoyer les appels vers des numéros surtaxés  Faire de la revente de communications à des tiers - Rouen 2015 -
  8. 8. 8 Quelles sont les menaces ? Exploitation de failles du système téléphonique :  Faire du deni de service (attaque pour dénaturer/saturer/saboter le comportement du système téléphonique)  Intrusion pour pirater l’entreprise ou créer des connexions clandestines (brouillage de pistes, revente de communications, …) - Rouen 2015 -
  9. 9. 9 Sommaire Introduction : Quelles plateformes voix pour les entreprises ? Quelles sont les menaces ? Les conséquences et responsabilités Comment se prémunir ? Conseils techniques et nouveaux points de vigilance
  10. 10. 10 Quelles solutions ? Que faire de manière préventive ?  Politique de sécurité de l’entreprise  Avoir une politique de sécurité et l’appliquer  Avoir des rapports d’état et des tableaux de bords (comme pour le système d’information)  Avoir une journalisation de l’activité / logs  Protéger ses équipements  Faire réaliser des audits régulièrement  Surveiller l’activité (modifs de config et fonctions sensibles, facturation)  Sécuriser l’accès aux équipements (physique et réseau)  Protéger le réseau téléphonique  Configuration LAN, interco WAN, analyse du trafic (entrant et sortant, usages)  Sécurisation particulière de certains terminaux (sécurité renforcée, isolement réseau/VLAN) Pour l’entreprise, comment se prémunir ? - Rouen 2015 -
  11. 11. 11 De la même manière … et plus encore ! Le fournisseur de service est responsable de l’acheminement correct du trafic voix dans le cadre d’un usage légal. Il doit particulièrement :  Se protéger des attaques, des failles et usages frauduleux (équipements spécifiques, précautions particulières)  Dispose d’une traçabilité complète des appels sur son réseau sur 1 an (en théorie), avec obligation de fournir ces informations pour les autorités sur demandes (écoutes légales, traçabilités, …) Comment se prémunir ? … … focus opérateur - Rouen 2015 -
  12. 12. 12 Sommaire Introduction : Quelles plateformes voix pour les entreprises ? Quelles sont les menaces ? Les conséquences et responsabilités Comment se prémunir ? Conseils techniques et nouveaux points de vigilance
  13. 13. 13 Conséquences et responsabilités En cas de menace et fraude avérée, qu’elles peuvent être les conséquences ?  Conséquences financières (facturation, système de téléphonie, autres systèmes de l’entreprise, fonctionnement de l’entreprise, productivité, concurrence, vie privée, …)  Conséquences sur la notoriété de l’entreprise (image, clients, …)  Conséquences pénales pour le(s) dirigeants de l’entreprises - Rouen 2015 -
  14. 14. 14 Conséquences et responsabilités L’entreprise utilisant un système de téléphonie pour ses besoins est en 1er lieu responsable de son usage. => Nécessité de prouver la fraude (interne ou extérieure) … Sinon : - Considéré comme une négligence - Obligation de régler les frais liés à la fraude (factures, équipement(s) endommagé(s), …) - Porter plainte contre X … procédure très longue L’importance de disposer d’une couverture dans son contrat d’assurance pro. - Rouen 2015 -
  15. 15. 15 Conséquences et responsabilités En résumé, en amont : - Sensibiliser vos collaborateurs, et mettre en place une politique de sécurité - Protéger ses équipements et ses réseaux, et les auditer régulièrement - Souscrire à une assurance pro couvrant ce type de risques … lorsqu’il y a fraude : - Être capable de prouver la fraude rapidement ou démontrer que la fraude ne peut venir de chez soi (l’opérateur doit vérifier chez lui, ou le constructeur du/des équipements) - Rouen 2015 -
  16. 16. 16 Sommaire Introduction : Quelles plateformes voix pour les entreprises ? Quelles sont les menaces ? Les conséquences et responsabilités Comment se prémunir ? Conseils techniques et nouveaux points de vigilance
  17. 17. 17 Quelques conseils et points de vigilance  Configurer des alertes du système et des interfaces (si possible) ou service opérateur (?)  Mots de passe sur les téléphones, code de numérotation, mot de passe sur l’accès au service (messagerie)  Sécuriser les terminaux ayant accès au réseau voix et au système téléphonique (couple profilTéléphone/adressePhysique)  Configurer des restrictions (blacklists/whitelists)  Demander la mise en place des protocoles de sécurité  Vigilance particulière des terminaux utilisants des softphones et de la bureautique (frontière de plus en plus mince avec l’usage des mobiles) … => Attention à la téléphonie mobile - Rouen 2015 -
  18. 18. 18 Consulting Time – contactez-nous Consulting TIME : “it’s time to communicate” Promoteur d’innovation, créateur de richesse contact@consultingtime.fr www.consultingtime.fr www.facebook.com/consultingtime twitter.com/consultingtime plus.google.com/+consultingtimeFR

×