Passer au contenu principal

Bloquer les logiciels malveillants et le phishing en périphérie du réseau

Ce guide de référence technique présente l'architecture, le déploiement et l'impact commercial de la mise en œuvre d'une protection contre les menaces au niveau du réseau afin de sécuriser les appareils invités et IoT non gérés en périphérie du réseau. Il fournit des conseils pratiques aux responsables informatiques pour bloquer proactivement les logiciels malveillants et le phishing.

📖 3 min de lecture📝 713 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Bonjour et bienvenue dans ce point technique de Purple. Je suis votre hôte, et nous plongeons aujourd'hui dans une décision d'architecture critique pour les exploitants de sites : Bloquer les logiciels malveillants et le phishing à la périphérie du réseau. Nous nous adressons aux responsables informatiques, aux architectes réseau, aux directeurs techniques et aux directeurs des opérations qui gèrent des réseaux dans des hôtels, des chaînes de magasins, des stades et des sites du secteur public. Si vous gérez un accès WiFi invité ou de grands réseaux publics, vous connaissez le casse-tête des appareils non gérés. Vous ne pouvez pas installer d'agent de point terminal sur le smartphone d'un invité, et vous ne pouvez certainement pas contrôler les liens sur lesquels il clique. Alors, quelle est la solution ? La protection de la périphérie du réseau. En déplaçant le point d'application de la sécurité vers la passerelle, vous bloquez les menaces avant même qu'elles n'atteignent l'appareil. Décortiquons l'architecture technique, en commençant par le filtrage DNS. Lorsqu'un appareil se connecte à votre réseau et tente d'accéder à un domaine malveillant - disons, un lien de phishing caché dans un SMS - la requête DNS frappe d'abord votre passerelle périphérique. Au lieu de résoudre l'adresse IP et de laisser passer le trafic, la passerelle périphérique vérifie le domaine par rapport à des flux de renseignements sur les menaces en temps réel. S'il est signalé comme malveillant, la requête DNS est redirigée vers un trou noir ("sinkhole"). La connexion est coupée avant même qu'un seul octet de logiciel malveillant ne soit téléchargé. C'est une démarche proactive, et non réactive. Regardons un scénario réel. Prenons l'exemple d'une grande chaîne de magasins proposant un accès WiFi invité gratuit. Pendant la période des fêtes, la fréquentation monte en flèche et des milliers d'appareils non gérés se connectent quotidiennement. Une campagne de phishing ciblée frappe la région, imitant un service de livraison populaire. Sans protection périphérique, un invité clique sur le lien, son appareil est compromis alors qu'il se trouve sur votre réseau, et soudain, la réputation de votre adresse IP s'effondre, ou pire, une tentative de mouvement latéral est menée contre votre VLAN de point de vente. Avec la protection de la périphérie du réseau, dès que cet invité clique sur le lien malveillant, la requête DNS est interceptée. La passerelle périphérique constate que le domaine a été enregistré trois heures plus tôt et a été signalé par les renseignements sur les menaces. La connexion est bloquée, l'invité voit une page de blocage sécurisée et votre réseau reste sûr. Aucun agent de point terminal n'est requis. Cette architecture simplifie également la conformité. Que vous soyez confronté à PCI-DSS dans le commerce de détail, au GDPR en Europe ou à la conformité IWF pour les réseaux WiFi publics au Royaume-Uni, le filtrage périphérique fournit la journalisation centralisée et l'application nécessaires aux audits. Vous disposez d'un historique d'audit complet des requêtes DNS et des menaces bloquées. Parlons maintenant de la mise en œuvre. Le piège le plus courant est le sur-blocage, qui génère des tickets d'assistance et frustre les invités. La clé réside dans l'application granulaire des politiques. Vous ne voulez pas d'un blocage général de tous les domaines récemment enregistrés si votre équipe marketing déploie fréquemment des sites de campagne temporaires. Vous avez besoin d'une approche multicouche. La couche 1 est l'intelligence amont sur les menaces - bloquant les acteurs malveillants connus, les serveurs de commande et de contrôle de botnets et les points de distribution de logiciels malveillants. La couche 2 est le filtrage de contenu basé sur des catégories, garantissant la conformité avec les réglementations locales. La couche 3 est le contrôle d'accès, appliquant différentes politiques en fonction du rôle de l'utilisateur. Un invité bénéficie d'une politique restrictive, tandis que le personnel de l'établissement sur un SSID d'entreprise bénéficie d'une politique différente. Qu'en est-il du DNS chiffré ? Des protocoles comme le DNS sur HTTPS (DoH) et le DNS sur TLS (DoT) peuvent contourner le filtrage de périphérie traditionnel s'ils ne sont pas gérés correctement. Votre architecture de périphérie doit en tenir compte soit en bloquant les résolveurs DoH publics connus pour forcer le repli vers votre DNS sécurisé, soit en mettant en œuvre l'inspection SSL pour les appareils gérés, bien que cette dernière option ne soit pas réalisable pour les réseaux d'invités. Pour le WiFi invité, forcer le trafic à travers votre DNS sécurisé et bloquer les ports alternatifs est l'approche standard. Passons à une session de questions-réponses rapide basée sur les questions courantes des clients. Question 1 : Le filtrage de périphérie ajoute-t-il de la latence ? Réponse : Minimale. Une passerelle de périphérie robuste met en cache les réponses DNS et utilise le routage anycast vers le nœud d'intelligence sur les menaces le plus proche. La latence ajoutée est généralement de l'ordre de quelques millisecondes, imperceptible pour l'utilisateur. Question 2 : Quel est l'impact sur le ROI ? Réponse : Le ROI se mesure par la réduction des incidents et la simplification de la gestion. Vous éliminez le coût de licence par appareil de la sécurité des terminaux pour les appareils BYOD. Vous réduisez également considérablement les heures de support technique consacrées à enquêter sur les appareils compromis ou à gérer les adresses IP sur liste noire. Question 3 : Cela peut-il protéger les appareils IoT ? Réponse : Oui. C'est un avantage considérable. Les téléviseurs intelligents dans les chambres d'hôtel, l'affichage dynamique dans les commerces de détail ou les terminaux de point de vente ne peuvent souvent pas exécuter d'agents de terminaux. La protection de périphérie les couvre automatiquement car tout leur trafic doit passer par la passerelle. En résumé, la protection uniquement basée sur les terminaux est insuffisante pour les réseaux d'établissements modernes. Vous avez besoin d'un point d'application unique pour tout le trafic. La protection de la périphérie du réseau est proactive, rentable et couvre tous les appareils, gérés ou non gérés. C'est la norme architecturale pour un WiFi invité sécurisé et les réseaux d'établissements. Merci d'avoir suivi ce point technique. N'oubliez pas de consulter le guide de référence complet pour obtenir des schémas d'architecture détaillés, les étapes de mise en œuvre et d'autres lectures sur l'analyse WiFi et les déploiements spécifiques à chaque secteur. Restez sécurisé.

header_image.png

Synthèse décisionnelle

Pour les CTO et les architectes réseau gérant des sites à forte affluence, la sécurisation des appareils non gérés est un défi opérationnel critique. Vous ne pouvez pas déployer d'agent de terminal sur le smartphone d'un visiteur, et vous ne pouvez pas compter sur les utilisateurs pour éviter de manière proactive les liens malveillants. Ce guide détaille comment la mise en œuvre d'une protection contre les menaces au niveau du réseau peut bloquer les logiciels malveillants et le phishing à la périphérie du réseau avant même qu'ils n'atteignent l'appareil d'un visiteur. En appliquant des politiques de sécurité au niveau de la passerelle grâce au filtrage DNS et à l'intégration de la veille sur les menaces, les sites peuvent protéger de manière proactive les flux BYOD, IoT et des visiteurs. Cette approche réduit la charge de travail liée à la réponse aux incidents, garantit la conformité avec des normes telles que le GDPR et PCI-DSS, et maintient un environnement sûr pour les utilisateurs de WiFi invité dans les secteurs de l' Hôtellerie , du Commerce de détail et des Transports .

Analyse technique approfondie

Architecture de protection à la périphérie du réseau

La protection contre les logiciels malveillants à la périphérie du réseau déplace le point d'application de la sécurité du terminal vers la passerelle. Lorsqu'un appareil se connecte au réseau du site et tente de résoudre un domaine, la requête DNS est interceptée par la passerelle périphérique. Plutôt que de subir une résolution standard, la requête est évaluée par rapport à des flux de veille sur les menaces mis à jour en continu.

architecture_overview.png

Si le domaine est associé à la distribution de logiciels malveillants, à des campagnes de phishing ou à une infrastructure de commande et de contrôle (C2) de botnet, la requête DNS est redirigée vers un puits de filtrage (sinkhole). La connexion est interrompue avant qu'une charge utile malveillante ne soit téléchargée. Ce blocage proactif empêche les mouvements latéraux et protège la réputation IP du site.

Composants clés

  1. Moteur de filtrage DNS : Inspecte toutes les requêtes DNS sortantes. Configurer ce moteur pour bloquer les résolveurs DoH (DNS over HTTPS) publics connus est essentiel pour empêcher les utilisateurs de contourner le DNS sécurisé du site.
  2. Intégration de la veille sur les menaces : S'abonne à des flux de veille mondiaux qui classifient les domaines en temps réel en fonction de leur réputation, du statut des domaines nouvellement enregistrés et des activités malveillantes connues.
  3. Application des politiques : Applique des règles granulaires basées sur le rôle de l'utilisateur (par exemple, le personnel par rapport aux visiteurs) et la catégorie de contenu, garantissant le respect de la Conformité IWF pour les réseaux WiFi publics au Royaume-Uni .

Guide d'implémentation

Le déploiement de la protection à la périphérie du réseau nécessite une approche progressive pour obtenir une couverture de sécurité maximale avec un minimum d'interruption.

Étape 1 : Segmentation du réseau

Assurez-vous que votre réseau est correctement segmenté à l'aide de VLAN. Le trafic invité, le personnel de l'entreprise, les appareils IoT et les systèmes de point de vente doivent se trouver sur des segments isolés. Cela limite la zone d'impact si un appareil est compromis avant de rejoindre le réseau.

Étape 2 : Configuration de la passerelle

Configurez votre routeur périphérique ou votre pare-feu pour acheminer tout le trafic DNS vers un service de filtrage DNS sécurisé. Implémentez des règles de pare-feu qui bloquent le trafic sortant sur le port 53 (DNS) et le port 853 (DoT) vers toute autre destination que les résolveurs sécurisés approuvés. Pour en savoir plus sur l'optimisation moderne des réseaux, consultez Office Wi Fi: Optimize Your Modern Office Wi-Fi Network .

Étape 3 : Définition des politiques

Établissez des politiques de base. Bloquez globalement les catégories malveillantes connues. Pour le filtrage de contenu, appliquez des politiques spécifiques au site - par exemple, appliquez un filtrage plus strict dans un environnement de Santé par rapport au commerce de détail général.

Bonnes pratiques

  • Application granulaire des politiques : Évitez les blocages généraux qui génèrent des tickets d'assistance. Utilisez un contrôle d'accès basé sur les rôles (RBAC) intégré à votre fournisseur d'identité (par exemple, la licence Purple Connect).
  • Journalisation complète : Conservez une piste d'audit complète des requêtes DNS et des menaces bloquées. C'est essentiel pour la réponse aux incidents et les rapports de conformité. Consultez Explain what is audit trail for IT Security in 2026 pour connaître les exigences détaillées.
  • Surveillance continue : Utilisez WiFi Analytics pour surveiller les performances du réseau et les événements de sécurité en temps réel.

Dépannage et atténuation des risques

Gestion du DNS chiffré

Les systèmes d'exploitation modernes utilisent de plus en plus le DoH et le DoT, qui chiffrent les requêtes DNS et peuvent contourner le filtrage périphérique traditionnel. Pour atténuer ce phénomène, maintenez à jour une liste de blocage des résolveurs DoH publics connus (tels que 8.8.8.8 et 1.1.1.1) afin de contraindre les appareils à se rabattre sur le DNS sécurisé du site diffusé sur le port standard 53.

Blocage excessif du trafic légitime

Les flux de renseignements sur les menaces agressifs peuvent parfois signaler des domaines légitimes, en particulier les domaines récemment enregistrés utilisés pour des campagnes marketing. Établissez un processus d'autorisation rapide et donnez à l'équipe des opérations informatiques les moyens de résoudre rapidement les faux positifs.

comparison_chart.png

Retour sur investissement et impact commercial

L'analyse de rentabiliser la protection contre les logiciels malveillants à la périphérie du réseau repose sur la réduction des risques et l'efficacité opérationnelle. En bloquant les menaces au niveau de la passerelle, les sites éliminent les coûts de licence par appareil associés à la sécurité des terminaux pour le BYOD et les appareils invités. Cela réduit également de manière considérable le temps que le personnel du centre de services IT consacre à enquêter sur les appareils compromis ou à gérer les adresses IP sur liste noire. La connectivité sécurisée et fiable qui en résulte améliore non seulement l'expérience des invités, mais protège également la réputation de la marque du site.

Définitions clés

Périphérie du réseau

La limite où un réseau local se connecte à Internet, généralement gérée par un routeur, un pare-feu ou une passerelle.

Il s'agit de l'emplacement optimal pour déployer des contrôles de sécurité pour les appareils non gérés, car tout le trafic doit y transiter.

Filtrage DNS

Le processus de blocage de l'accès à certains sites Web ou adresses IP en interceptant les requêtes DNS et en les évaluant par rapport à une politique ou à un flux de menaces.

Utilisé pour empêcher de manière proactive les appareils de se connecter à des domaines malveillants avant tout transfert de données.

Sinkholing

Rediriger le trafic malveillant vers une adresse IP sûre et contrôlée au lieu de sa destination initiale.

Lorsqu'un appareil invité tente de contacter un serveur de logiciels malveillants, la passerelle de périphérie redirige la requête afin de prévenir l'infection.

Flux de Threat Intelligence

Un flux de données continuellement mis à jour concernant les cybermenaces potentielles ou en cours, y compris les domaines malveillants et les adresses IP connus.

Les passerelles de périphérie utilisent ces flux pour décider en temps réel d'autoriser ou de bloquer le trafic.

DoH (DNS over HTTPS)

Un protocole permettant d'effectuer une résolution de système de noms de domaine à distance via le protocole HTTPS, en chiffrant les données.

Bien que bénéfique pour la confidentialité, le DoH peut contourner le filtrage de périphérie de l'entreprise à moins que les résolveurs DoH connus ne soient explicitement bloqués.

Segmentation VLAN

Division d'un réseau physique unique en plusieurs réseaux logiques afin d'isoler le trafic.

Essentielle pour séparer le trafic invité non fiable des systèmes sensibles de l'entreprise ou des points de vente.

BYOD (Bring Your Own Device)

La pratique consistant à autoriser les employés ou les invités à utiliser leurs appareils personnels sur le réseau de l'organisation.

Les appareils BYOD ne sont généralement pas gérés, ce qui rend la sécurité des points de terminaison impossible et nécessite une protection en périphérie du réseau.

Piste d'audit

Un enregistrement chronologique des activités du système, y compris les requêtes DNS et les connexions bloquées.

Requise pour la conformité avec des cadres tels que PCI DSS et GDPR afin de prouver que les contrôles de sécurité sont actifs.

Exemples concrets

Un hôtel de 500 chambres doit sécuriser le WiFi des invités tout en veillant à ce que les appareils IoT (téléviseurs intelligents, commandes de chambre) soient protégés contre les serveurs de commande et de contrôle externes.

Déployez une passerelle en périphérie du réseau avec filtrage DNS. Segmentez le réseau en VLAN Invités, IoT et Entreprise. Configurez la passerelle pour intercepter toutes les requêtes DNS provenant des VLAN IoT et Invités, en les redirigeant vers le service DNS sécurisé. Appliquez une politique stricte pour le VLAN IoT qui autorise uniquement la résolution des domaines connus et requis (liste d'autorisation), tout en appliquant une politique standard de blocage des menaces pour le VLAN Invités.

Commentaire de l'examinateur : Cette approche est très efficace car elle prend en compte l'impossibilité d'installer des agents de point de terminaison sur les téléviseurs intelligents. En utilisant la segmentation VLAN combinée à un filtrage granulaire en périphérie, l'hôtel applique les principes du zero-trust pour l'IoT tout en maintenant une expérience fluide pour les invités.

Une grande chaîne de vente au détail est fréquemment confrontée à la mise sur liste noire de ses IP en raison d'appareils d'invités qui envoient des spams lorsqu'ils sont connectés au WiFi du magasin.

Mettez en œuvre une protection contre les logiciels malveillants en périphérie du réseau avec des flux de Threat Intelligence actifs. Configurez le pare-feu pour bloquer le trafic SMTP sortant (port 25) pour l'ensemble du trafic invité. Activez le filtrage DNS pour rediriger les requêtes vers les domaines de botnets et de distribution de spams connus (sinkholing).

Commentaire de l'examinateur : Le blocage du port 25 est une bonne pratique standard, mais l'associer au filtrage DNS en périphérie empêche dès le départ les appareils compromis d'atteindre leurs serveurs de C2, ce qui protège la réputation de l'IP du détaillant et réduit les avertissements des FAI.

Questions d'entraînement

Q1. L'administrateur réseau d'un stade constate que, bien que le filtrage DNS soit activé, certains appareils d'invités parviennent toujours à atteindre des domaines malveillants connus. Quelle est la cause la plus probable et comment y remédier ?

Conseil : Pensez aux protocoles modernes qui pourraient contourner le filtrage standard du port 53.

Voir la réponse type

Les appareils utilisent probablement des protocoles DNS chiffrés comme le DNS sur HTTPS (DoH) ou le DNS sur TLS (DoT), qui contournent le filtrage standard du port 53. L'administrateur doit mettre à jour les règles du pare-feu pour bloquer les résolveurs DoH/DoT publics connus et bloquer le trafic sortant sur le port 853, forçant ainsi les appareils à se rabattre sur le DNS sécurisé du site.

Q2. Lors du déploiement d'une protection en périphérie de réseau dans un environnement hospitalier, en quoi les politiques doivent-elles différer entre le WiFi invité et le VLAN des appareils IoT médicaux ?

Conseil : Pensez au concept du moindre privilège et aux comportements prévisibles.

Voir la réponse type

Le WiFi invité doit utiliser une politique standard de blocage des menaces (bloquant les logiciels malveillants, le phishing et les contenus inappropriés selon les directives de l'IWF) tout en autorisant généralement l'accès à internet. Le VLAN IoT médical doit utiliser une politique stricte de "refus par défaut" avec une liste d'autorisation, permettant la communication uniquement avec les serveurs de fournisseurs spécifiques et requis. Les appareils IoT ont des modèles de trafic prévisibles, ce qui rend la liste d'autorisation extrêmement efficace.

Q3. Un client du secteur de la vente au détail souhaite mettre en œuvre un filtrage en périphérie, mais craint de bloquer des domaines de campagnes marketing légitimes récemment enregistrés. Quel processus convient-il de mettre en place ?

Conseil : Concentrez-vous sur les flux de travail opérationnels et sur l'équilibre entre la sécurité et les besoins de l'entreprise.

Voir la réponse type

Mettez en œuvre un flux de travail d'autorisation rapide. Bien que les "domaines récemment enregistrés" constituent une catégorie de menaces courante, l'équipe informatique doit disposer d'un processus pour vérifier et ajouter rapidement aux listes d'autorisation les domaines fournis par l'équipe marketing avant le lancement des campagnes, garantissant ainsi que la sécurité n'entrave pas les opérations commerciales.

Continuer la lecture de cette série

DNS Over HTTPS (DoH) : implications pour le filtrage du WiFi public

Ce guide de référence technique explique comment le DNS over HTTPS (DoH) contourne le filtrage de contenu traditionnel du port 53 sur les réseaux WiFi publics. Il fournit des stratégies d'atténuation exploitables et neutres vis-à-vis des fournisseurs pour permettre aux architectes réseau et aux responsables informatiques de regagner en visibilité, d'assurer la conformité et de sécuriser l'accès des invités dans les environnements d'entreprise.

Lire le guide →

Responsabilité liée au WiFi public : pourquoi le filtrage de contenu est obligatoire

Ce guide de référence technique présente les risques juridiques et opérationnels liés à la fourniture d'un WiFi public non filtré, en expliquant pourquoi le filtrage de contenu est une exigence de déploiement obligatoire pour les exploitants de sites. Il fournit des stratégies d'architecture exploitables, des étapes de mise en œuvre et des tactiques de atténuation des risques pour protéger les réseaux contre les activités illégales, les violations de droits d'auteur et le non-respect des réglementations. Les exploitants de sites et les directeurs techniques y trouveront des études de cas concrètes, des cadres de décision et des conseils de configuration pour mettre en œuvre un environnement de Guest WiFi défendable et conforme.

Lire le guide →

Conformité IWF pour les réseaux WiFi publics au Royaume-Uni

Ce guide de référence détaille les exigences techniques, l'architecture et les stratégies de déploiement pour la mise en œuvre de réseaux WiFi publics conformes à l'IWF dans les établissements du Royaume-Uni. Il fournit aux responsables informatiques des cadres d'action concrets pour atténuer les risques juridiques tout en maintenant un accès réseau de haute performance.

Lire le guide →