Comment sécuriser votre système de téléphonie IP (ou VoIP) ?

Vous envisagez d’adopter un système de téléphonie VoIP, ou vous avez déjà fait le saut ? Vous avez bien raison. Passer vos communications téléphoniques sur Internet vous fera non seulement économiser sur vos factures de télécom, mais cela vous offrira également de nombreuses fonctionnalités qui amélioreront votre productivité et la qualité de votre service client. Néanmoins, se pose la question de la sécurité de ces systèmes : quelle est leur vulnérabilité face aux menaces modernes, et comment faire pour sécuriser votre réseau de téléphonie IP ?

Les risques spécifiques de la téléphonie VoIP

Dans un système de téléphonie VoIP, les appels sont passés au moyen du protocole SIP (Session Initiation Protocol). Il consiste à convertir la voix en flux paquets de données qui sont ensuite envoyés via une connexion Internet vers le réseau téléphonique public (RTC-RNIS).

La téléphonie ne dépendant plus que d’une connexion internet, elle n’est plus logée dans un site particulier. Les numéros de téléphone sont portables et vos collaborateurs peuvent utiliser leur téléphone VoIP ou tout autre appareil ayant accès à Internet (tablette, smartphone, ordinateur portable par le biais d’un softphone, c’est-à-dire, un logiciel de téléphonie IP tel que Skype, par exemple) de n’importe où.

Cette intégration des communications téléphoniques se retrouve également dans les fonctionnalités avancées offertes par la VoIP (connexion possible à un CRM, c’est-à-dire, un logiciel de suivi de la relation client, portabilité des numéros, transferts d’appels, etc.) ; c’est pourquoi on parle de “communications unifiées”.

C’est un atout de taille pour les entreprises amenées à mettre en place le télétravail.

En outre, les pirates ont appris à connaître et à cibler les systèmes téléphoniques d’entreprise les plus vulnérables. En particulier, ils raffolent des autocommutateurs (standards téléphoniques) PABX traditionnels, et savent comment les trouver.

Généralement, les opérateurs de téléphonie ont déployé des outils pour sécuriser les centraux téléphoniques et leur infrastructure. Mais ces mesures sont circonscrites à cet environnement et elles ne s’étendent pas aux systèmes de téléphonie des utilisateurs. Les entreprises dotées de systèmes téléphoniques traditionnels sont particulièrement vulnérables.

Dans ce contexte, la VoIP a apporté une solution en améliorant la sécurité de la téléphonie, grâce à certaines de ses fonctionnalités :

  • La possibilité de suivre son utilisation en temps réel ;
  • La possibilité de cantonner les appels à des numéros autorisés ;
  • Le chiffrement des appels pour éviter les interceptions et les risques d’espionnage ;
  • L’emploi de l’email pour adresser des notifications de la messagerie vocale.

Toutefois, elle a aussi accru certains risques.

Les cybermenaces liées à la téléphonie

Parmi les cybermenaces qui pèsent sur votre téléphonie, on recense les suivantes :

Déni de service (DoS) :

Une attaque DoS vise à saturer votre système téléphonique par un très grand nombre d’appels entrants simultanés. Si votre entreprise consacre un serveur à sa téléphonie, l’attaque aura pour effet de déborder le serveur en demandes, provoquant ainsi son crash.

Fraude (phreaking en anglais) :

Le phreaking est un piratage de votre système téléphonique, opéré le plus souvent pour détourner le poste téléphonique d’un collaborateur via la fonction de renvoi d’appel afin d’usurper son identité, ou pour passer des appels vers une ligne extérieure (numéros surtaxés, numéros étrangers coûteux). Certains numéros surtaxés rémunèrent les appelants qui effectuent un grand nombre d’appels vers eux, ce qui favorise ces pratiques.

War dialing :

Dans les attaques de war dialing, les pirates prennent le contrôle de votre système téléphonique pour composer tous les numéros successifs régionaux au moyen d’un logiciel de numérotation téléphonique. De cette manière, ils pourront tester la nature de la réponse des interlocuteurs ainsi contactés et établir des listes en fonction de la forme de cette réponse. Les hackers pourront ainsi identifier les numéros correspondant à des serveurs pour lancer des attaques contre eux, ou constituer des répertoires de particuliers qui pourront être appelés dans le cadre de campagnes de marketing téléphonique.

Vishing (ou Hameçonnage par téléphone) :

Le Vishing une forme d’attaque inspirée du phishing(hameçonnage), mais exploitant la voix. Les pirates usurpent l’identité d’un appelant connu (technicien de maintenance, chargé de compte bancaire) et s’appuient sur l’absence de méfiance des interlocuteurs pour leur extorquer des mots de passe ou d’autres données sensibles.

Interception d’appels (écoutes téléphoniques) :

L’interception d’appel cible plus particulièrement les réseaux téléphoniques non sécurisés afin d’écouter les communications non chiffrées (brouillées). Les pirates pourront ensuite exploiter les informations sensibles qu’ils auront collectées pour voler de l’argent, lancer d’autres attaques, ou revendre des informations importantes.

Logiciels malveillants :

Les pirates peuvent infecter votre réseau téléphonique avec plusieurs types de logiciels malveillants (malware) afin de récupérer des données sensibles, entre autres.

Spam :

Nul besoin de présenter cette menace, vous avez probablement déjà fait l’expérience du spam. Votre boîte vocale peut également devenir la cible de robots programmés qui lui adresseront des messages enregistrés plus ou moins douteux.

À noter, l’adoption d’un système téléphonique “maison” auto-hébergé tel qu’un PABX (standard ancienne génération) Asterisk vous expose encore davantage à ces menaces. Les pirates savent en effet que ces systèmes sont faiblement sécurisés, ce qui les encourage à les cibler en priorité.

Et la mauvaise nouvelle, c’est que cette liste est loin d’être exhaustive. Les individus malveillants et les gangs dont ils dépendent souvent débordent d’inventivité pour créer de nouvelles techniques en se basant sur les dernières innovations. Or, dans certains cas, les attaques sur les systèmes VoIP sont très discrètes. Elles peuvent alors rester indétectées pendant des mois, et faire beaucoup de dégâts.

La lutte contre ces cybermenaces réclame donc des moyens toujours croissants pour demeurer à niveau et ne jamais devenir une cible de choix.

Heureusement, il est possible de réduire ces risques avec des techniques appropriées.

Cyber attaque sur téléphone

Les mesures à prendre pour sécuriser votre réseau de téléphonie IP

Un système de TOIP étant avant tout un système informatique connecté à Internet, les mesures de base à prendre pour sécuriser votre système VoIP sont les mêmes que celles qui sont préconisées pour sécuriser votre système informatique.

  • Établissez une politique scrupuleuse en matière de mots de passeet faites-la respecter ;
  • Filtrez le trafic entrant et sortant de votre entreprise avec un pare-feu (Firewall) ;
  • Adoptez l’authentification à double facteur ;
  • Équipez-vous d’un VPN pour le travail à distance ;
  • Introduisez une gestion des privilèges afin que chacun n’ait accès qu’aux outils ToIP dont il a besoin pour son travail ;
  • Formez vos collaborateurs à la cybersécurité et aux bonnes pratiques de sécurité ;
  • Encouragez vos équipes à rapporter toute activité ou comportement suspect ;
  • Effectuez régulièrement des tests pour mettre leur maîtrise de ces concepts à l’épreuve ;
  • Adoptez des outils de suivi pour détecter toute anomalie potentielle ;
  • Et enfin, point le plus important pour une PME réunionnaise, entourez-vous d’un prestataire qualifié en téléphonie VoIP basé à La Réunion.

Comment choisir votre prestataire de téléphonie IP ?

Il existe deux grandes “formules” en matière de solutions de téléphonie ip :

  • Les standards de type IPBX (Internet Protocol Branch Exchange), qui permettent de brancher votre équipement téléphonique directement sur votre installation informatique. Dans cette architecture, vous hébergez vous-même votre installation téléphonique, et devez donc disposer de l’infrastructure correspondante (serveur téléphonique) ;
  • Avec un Centrex IP, votre installation est externalisée pour être hébergée dans le datacenter d’un prestataire. Votre standard téléphonique virtuel est basé sur le cloud, et vous n’avez pas à vous occuper de la maintenance ou de l’évolutivité de votre système téléphonique : c’est votre hébergeur qui s’en occupe.

Si vous optez pour le Centrex IP, le coût ne doit pas être votre seul critère lors du choix du prestataire chargé du déploiement de votre téléphonie VoIP, de son hébergement, de sa gestion et de sa maintenance. La sécurité est un aspect bien plus important, qui vous permettra de réaliser de très grosses économies !

En effet, vous éviterez les scénarios catastrophiques tels qu’une interruption de votre trafic téléphonique quotidien pendant plusieurs jours, par exemple. Imaginez les conséquences que cela pourrait avoir sur vos activités et votre réputation : vos concurrents seraient trop heureux de les évoquer lors de leur prospection commerciale…

Un bon prestataire informatique doit s’engager à sécuriser votre réseau téléphonique VoIP. Il doit installer des outils de sécurisation et veiller à ce que toutes les mises à jour des logiciels de téléphonie et autres soient faites scrupuleusement. De cette manière, les éventuelles failles découvertes dans ces logiciels seront corrigées avant qu’elles ne puissent être exploitées par des pirates.

Il devra également veiller au chiffrement des appels, afin d’éviter de possibles interceptions.

Cependant, soyez vigilants : de nombreux prestataires IT affirmeront que leur solution est sécurisée. Mais une solution à la pointe de la sécurité aujourd’hui ne le sera peut-être plus dans quelques mois. S’ils ne font pas de la cybersécurité l’une de leurs priorités, ces fournisseurs seront rapidement distancés par les évolutions de ce secteur.

Privilégiez un prestataire reconnu comme étant un expert en cybersécurité qui se forme constamment et remet régulièrement en question son arsenal d’outils de sécurisation.

Conclusion

Gardez en tête que la téléphonie sur IP en mode cloud (Centrex) est relativement sûre de nos jours, et qu’elle vous permet de bénéficier d’une confidentialité et d’une fiabilitébien supérieures à celles qu’offrait la téléphonie traditionnelle.

Mais compte tenu de l’inventivité sans limites des pirates, la cybersécurité évolue très vite et vous devez vous entourer d’un prestataire fiable pour sécuriser votre système téléphonique VoIP.

Vous aimeriez profiter des nombreux avantages de la téléphonie IP, mais vous avez beaucoup de travail et tous ces acronymes en IP vous ennuient déjà ? Suivez nos conseils et faites-vous aider par un partenaire disposant d’une double compétence cybersécurité/téléphonie VoIP, comme Youtell à La Réunion. Youtell dispose de l’accréditation ExpertCyber, décernée par cybermalveillance.gouv.fr, un programme étatique de lutte contre les cybermenaces. Cerise sur le gâteau, vous profiterez d’un cloud hébergé péi, avec tous les avantages que cela présente. N’attendez plus : contactez-nous et donnez des ailes bien réunionnaises à votre téléphonie d’entreprise !

Vous êtes à la recherche d'accompagnement pour votre entreprise ?