Comprendre le trafic Nord/Sud et Est/Ouest
et la valeur ajoutée du NDR dans l’analyse réseau

a-propos-gatewatcher-d

Introduction


​Dans l’univers complexe des architectures réseau, il est primordial de comprendre les flux de données qui composent la communication entre les dispositifs internes et externes. Ceux-ci sont généralement classifiés en deux types principaux : le trafic Nord/Sud et le trafic Est/Ouest. Ces flux jouent un rôle crucial dans la conception, la gestion et la sécurité des réseaux modernes. Cet article explore en détail ces deux types de trafic et discute de l’importance des solutions de détection et de réponse aux menaces réseau (NDR) pour sécuriser ces flux de données.

Trafic Est-Ouest : optimisation de la communication interne


Définition et caractéristiques 

Le trafic Est-Ouest, ou trafic horizontal, désigne le flux de paquets de données entre les serveurs à l’intérieur d’un centre de données, ou à travers des clouds privés et publics au sein d’un même réseau local ou d’un centre de données.  Cette prédominance est due à la virtualisation, au cloud computing et à l’utilisation intensive de bases de données et d’applications internes qui nécessitent une communication constante entre les serveurs.

 

Sécurité du trafic est-ouest

La sécurité du trafic Est-Ouest est essentielle puisque certaines attaques, s’appuyant sur les communications internes, ne sont pas détectées par les périmètres traditionnels de sécurité tels que les pares-feux externes. L’utilisation de technologies NDR devient donc essentielle pour surveiller, détecter et répondre aux anomalies et menaces se déplaçant horizontalement à travers le réseau.

 

Cas d’étude

  • Secteur de la santé : communication interne entre les hôpitaux

Dans le secteur de la santé, où les hôpitaux et les cliniques utilisent des systèmes de dossiers médicaux électroniques (EMR) hébergés sur des serveurs internes ou dans le cloud, le trafic Est-Ouest est prédominant. Par exemple, un hôpital peut avoir plusieurs bâtiments sur un campus où les serveurs de données médicales échangent des informations en continu. Le trafic interne entre ces serveurs est critique pour le fonctionnement quotidien, puisqu’il inclut entre autres le partage rapide des résultats de tests médicaux ou le management automatisé des médicaments entre les départements.

  • Secteur financier : transactions et analyses de données

Les banques et les institutions financières gèrent d’immenses volumes de transactions qui nécessitent un traitement rapide entre les serveurs internes pour l’analyse des risques, la conformité et la fraude. Par exemple, les serveurs qui exécutent des algorithmes de trading haute fréquence communiquent intensément entre eux au sein de centres de données sécurisés pour exécuter des transactions en millisecondes. Le principal enjeu ici est la détection au plus tôt de comportements anormaux qui pourraient indiquer une intrusion ou une manipulation du système.

Trafic Nord-Sud : faciliter la communication externe


Définition et importance

Le trafic Nord-Sud, ou trafic vertical, concerne les échanges de données entre le réseau interne d’une entreprise et des réseaux externes, tels qu’Internet. Ce type de trafic est vital pour l’accès à des ressources extérieures, comme les services cloud, les sites web, et la communication par e-mail.

 

Gestion des menaces et sécurité

Le trafic Nord-Sud est souvent vu comme un vecteur pour des attaques externes. Il est donc crucial de mettre en place des mécanismes robustes de surveillance et de filtrage, tels que des pares-feux avancés, des proxys, des systèmes de prévention des intrusions (IPS). Pour autant, il est nécessaire d’aller bien au-delà de ces modes de protection habituels pour la plupart limités voire dépassés. Le NDR a pour avantage d’aider à identifier et à contrer au plus tôt les menaces potentielles avant qu’elles n’atteignent les ressources critiques du réseau. Il répond ainsi efficacement à tous types de menaces visant le système d’information. Ici par exemple, le NDR peut détecter des usages IT non conformes à la politique de sécurité interne de l’entreprise, comme l’utilisation d’outils non approuvés tels que Dropbox. Ils sont également capables de repérer la connexion directe d’une machine interne à des fins de tests, qui pourrait être exploitée malicieusement. De plus, ces systèmes identifient les communications entre une machine infectée et un serveur de contrôle, l’exfiltration de données vers des services de stockage externe, et les tentatives de brute force ou d’exploitation de vulnérabilités sur des composants frontaux de défense comme les firewalls ou les passerelles VPN. Tous ces cas mettent en lumière l’importance critique de ces technologies pour protéger les réseaux contre une gamme étendue de menaces informatiques.

 

Cas d’étude

  • Secteur de la santé : accès aux ressources médicales en ligne

Dans le domaine de la santé, le trafic Nord-Sud est crucial pour l’accès à des ressources médicales distantes, comme les bases de données de recherche ou les plateformes de télémédecine. Ce trafic peut être ciblé par des attaques de phishing ou des tentatives d’interception de données, visant à accéder à des informations médicales sensibles.

  • Secteur financier : transactions bancaires et échanges de données

Dans la finance, le trafic Nord-Sud permet les transactions en ligne et l’échange de données financières avec des entités externes. Ces opérations sont vulnérables aux cyberattaques, telles que l’interception de transactions ou les attaques de déni de service, qui peuvent compromettre la sécurité financière et la confidentialité des données. Les institutions utilisent des proxys, des pares-feux de nouvelle génération, et des solutions NDR pour surveiller et contrer les menaces potentielles.

Ces exemples soulignent les risques spécifiques du trafic Nord-Sud et l’importance de disposer de systèmes robustes de surveillance et de sécurité pour protéger les échanges de données critiques dans ces secteurs hautement réglementés.

Rôle crucial des solutions NDR


Une solution de détection et réponse aux menaces réseau (NDR) est essentielle pour une surveillance continue et approfondie des réseaux. Elle scrute le trafic en temps réel pour identifier tout comportement anormal et offre ainsi une visibilité complète et instantanée des assets et des utilisateurs présents sur le système d’information. Ce qui est crucial pour accélérer les investigations : comment engager une démarche proactive dans la lutte contre les cyberattaques si l’on ne maîtrise pas sa surface d’exposition ? C’est en analysant précisément les flux réseaux, y compris chiffrés, et en détectant toutes typologies de menaces dès ses premiers signaux faibles, qu’une démarche efficace de cybersécurité pourra être engagée.

Dans un contexte où l’utilisation du cloud est en constante expansion, avec ses défis et menaces intrinsèques, la protection des workloads cloud devient une priorité essentielle. Il est crucial de maîtriser les ressources potentiellement critiques exposées via internet et de sécuriser les API (Application Programming Interface) exposées pour garantir un niveau de sécurité optimal.

Outre leur efficacité à détecter les menaces latérales et verticales qui échappent souvent aux outils de sécurité traditionnels, les solutions NDR se distinguent par leur capacité à répondre rapidement et automatiquement aux incidents. En effet, dès la détection d’un comportement anormal sur un réseau, il est essentiel de pouvoir interrompre immédiatement toutes actions engagées par le cyberattaquant (reconnaissance, connexions inhabituelles, etc.) afin d’éviter l’infection de plusieurs assets. Automatiser et personnaliser sa réponse est indispensable pour l’adapter face à la typologie de menaces employées, en s’appuyant sur son écosystème existant. Le NDR s’intègre parfaitement dans l’écosystème de sécurité existant, disponible à la fois en installation locale (on-premise) et dans le cloud, offrant ainsi une flexibilité opérationnelle inégalée. Cette réactivité est vitale pour contenir les attaques et en atténuer les conséquences en temps réel, limitant ainsi les dommages potentiels et renforçant la résilience du réseau face aux cybermenaces.

Conclusion – le NDR d’Est en Ouest et du Nord au Sud


La compréhension approfondie des flux de trafic Nord/Sud et Est/Ouest est essentielle pour concevoir des réseaux à la fois sécurisés et performants. L’intégration des solutions NDR dans cette architecture renforce significativement la sécurité, en fournissant des outils avancés capables de détecter et neutraliser une vaste gamme d’activités malveillantes, tant internes qu’externes. Ces systèmes offrent une surveillance globale et continue, positionnant le NDR comme le pilier central de votre arsenal de défense.

Ainsi, une stratégie de sécurité bien orchestrée, qui tient compte de ces deux axes de trafic et utilise efficacement les solutions de détection et de réponse, est cruciale pour la protection des actifs informationnels dans un paysage de menaces en constante évolution.