Le document décrit les enjeux de sécurité liés aux plateformes de téléphonie pour les entreprises, abordant les menaces internes et externes, ainsi que les impacts financiers et réputationnels. Il préconise des mesures préventives telles qu'une politique de sécurité stricte, la protection des équipements et la traçabilité des communications. Enfin, il souligne la responsabilité des entreprises et des fournisseurs en matière de sécurité téléphonique et encourage la souscription à une assurance professionnelle adéquate.

1. Consulting TIME – Décembre 2015
La sécurité des plateformes voix

2. Préambule : présentation …
- Rouen 2015 -
Consulting TIME est une société de conseil, d’ingénierie et de stratégie en
télécommunications, outils et solutions de communication numérique, fondée
en 2011 par Lamine TALAKELA ingénieur/chef de projet télécom de formation.
8 ans d’experience télécom & T.I.C
Références grands comptes essentiellement
(Bouygues Telecom, La Poste, Technicolor, LG-Ericsson, Fiducial,
Caisse des dépôts et consignations, groupe Numericable, …)
Plus de 130 000 utilisateurs des solutions préconnisées ou
intégrées par Consulting TIME depuis 2011 tels que :
- téléphonie sur IP/cloud
- convergence fixe-mobile, et mobile centrex
- communications unifiées
- stratégie opérateur et R&D
- Formation
- outils TIC pour la communication
- … etc
Lancement de l’activité internationale en janvier 2014 (Europe/MENA)
Promoteur
d’innovation
et créateur de
richesse

3. 3
Introduction : quelles plateformes voix pour les
entreprises ?
Les entreprises de toutes tailles ont de + en + des besoins forts en téléphonie
pour leurs activités :
- 30% sont des TPE (1 à 10 personnes)
- 60% sont des PME (50 à 500 personnes)
- 10% sont des grandes entreprises … voir très grandes (de 500 à plusieurs
dizaines de milliers)
Il y a plusieurs types de solutions voix, nous allons distinguer 2 types de
plateformes :
- Les plateformes voix internalisées (PABX/IPBX, propriétaire/open source)
- Les plateformes voix externalisées (cloud, solutions opérateurs, mobile)
Des différences notoires côté fournisseur de services (opérateur) pour les
plateformes, mais du point de vue client beaucoup de similitudes.
=> Complexité & vigilance !
- Rouen 2015 -

4. 4
Sommaire
Introduction : Quelles plateformes voix pour les entreprises ?
Quelles sont les menaces ?
Les conséquences et responsabilités
Comment se prémunir ?
Conseils techniques et nouveaux points de vigilance

5. 5
Quelles sont les menaces ?
Typologies des principales menaces :
 Usage interne mal-intentionné
 Le détournement des accès téléphoniques
 Exploitation de failles du système téléphonique
- Rouen 2015 -

6. 6
Quelles sont les menaces ?
Usage interne mal-intentionné :
 Ecoute illégale/espionnage (utilisation abusive des fonctions
d’écoute silencieuses, accès frauduleux aux messageries vocales,
enregistrements de conversations)
 Usurpations d’identités
- Rouen 2015 -

7. 7
Quelles sont les menaces ?
Le détournement des accès téléphoniques :
 Fraude téléphonique dans le but de passer des appels
gratuitement
 Renvoyer les appels vers des numéros surtaxés
 Faire de la revente de communications à des tiers
- Rouen 2015 -

8. 8
Quelles sont les menaces ?
Exploitation de failles du système téléphonique :
 Faire du deni de service (attaque pour dénaturer/saturer/saboter
le comportement du système téléphonique)
 Intrusion pour pirater l’entreprise ou créer des connexions
clandestines (brouillage de pistes, revente de communications, …)
- Rouen 2015 -

9. 9
Sommaire
Introduction : Quelles plateformes voix pour les entreprises ?
Quelles sont les menaces ?
Les conséquences et responsabilités
Comment se prémunir ?
Conseils techniques et nouveaux points de vigilance

10. 10
Quelles solutions ? Que faire de manière préventive ?
 Politique de sécurité de l’entreprise
 Avoir une politique de sécurité et l’appliquer
 Avoir des rapports d’état et des tableaux de bords (comme pour le système
d’information)
 Avoir une journalisation de l’activité / logs
 Protéger ses équipements
 Faire réaliser des audits régulièrement
 Surveiller l’activité (modifs de config et fonctions sensibles, facturation)
 Sécuriser l’accès aux équipements (physique et réseau)
 Protéger le réseau téléphonique
 Configuration LAN, interco WAN, analyse du trafic (entrant et sortant, usages)
 Sécurisation particulière de certains terminaux (sécurité renforcée, isolement
réseau/VLAN)
Pour l’entreprise, comment se prémunir ?
- Rouen 2015 -

11. 11
De la même manière … et plus encore !
Le fournisseur de service est responsable de l’acheminement correct du trafic
voix dans le cadre d’un usage légal.
Il doit particulièrement :
 Se protéger des attaques, des failles et usages frauduleux (équipements
spécifiques, précautions particulières)
 Dispose d’une traçabilité complète des appels sur son réseau sur 1 an (en
théorie), avec obligation de fournir ces informations pour les autorités sur
demandes (écoutes légales, traçabilités, …)
Comment se prémunir ? …
… focus opérateur
- Rouen 2015 -

12. 12
Sommaire
Introduction : Quelles plateformes voix pour les entreprises ?
Quelles sont les menaces ?
Les conséquences et responsabilités
Comment se prémunir ?
Conseils techniques et nouveaux points de vigilance

13. 13
Conséquences et responsabilités
En cas de menace et fraude avérée, qu’elles peuvent être les
conséquences ?
 Conséquences financières (facturation, système de téléphonie,
autres systèmes de l’entreprise, fonctionnement de l’entreprise,
productivité, concurrence, vie privée, …)
 Conséquences sur la notoriété de l’entreprise (image, clients, …)
 Conséquences pénales pour le(s) dirigeants de l’entreprises
- Rouen 2015 -

14. 14
Conséquences et responsabilités
L’entreprise utilisant un système de téléphonie pour ses besoins est en
1er lieu responsable de son usage.
=> Nécessité de prouver la fraude (interne ou extérieure) …
Sinon :
- Considéré comme une négligence
- Obligation de régler les frais liés à la fraude (factures, équipement(s)
endommagé(s), …)
- Porter plainte contre X … procédure très longue
L’importance de disposer d’une couverture dans son contrat
d’assurance pro.
- Rouen 2015 -

15. 15
Conséquences et responsabilités
En résumé, en amont :
- Sensibiliser vos collaborateurs, et mettre en place une politique de
sécurité
- Protéger ses équipements et ses réseaux, et les auditer régulièrement
- Souscrire à une assurance pro couvrant ce type de risques
… lorsqu’il y a fraude :
- Être capable de prouver la fraude rapidement ou démontrer que la
fraude ne peut venir de chez soi (l’opérateur doit vérifier chez lui, ou le
constructeur du/des équipements)
- Rouen 2015 -

16. 16
Sommaire
Introduction : Quelles plateformes voix pour les entreprises ?
Quelles sont les menaces ?
Les conséquences et responsabilités
Comment se prémunir ?
Conseils techniques et nouveaux points de vigilance

17. 17
Quelques conseils et points de vigilance
 Configurer des alertes du système et des interfaces (si possible) ou
service opérateur (?)
 Mots de passe sur les téléphones, code de numérotation, mot de
passe sur l’accès au service (messagerie)
 Sécuriser les terminaux ayant accès au réseau voix et au système
téléphonique (couple profilTéléphone/adressePhysique)
 Configurer des restrictions (blacklists/whitelists)
 Demander la mise en place des protocoles de sécurité
 Vigilance particulière des terminaux utilisants des softphones et de la
bureautique (frontière de plus en plus mince avec l’usage des
mobiles) … => Attention à la téléphonie mobile
- Rouen 2015 -

18. 18
Consulting Time – contactez-nous
Consulting TIME : “it’s time to communicate”
Promoteur d’innovation, créateur de richesse
contact@consultingtime.fr
www.consultingtime.fr
www.facebook.com/consultingtime
twitter.com/consultingtime
plus.google.com/+consultingtimeFR