Les réseaux optiques constituent une composante essentielle de l'infrastructure d'internet

Les données critiques sont utilisées par diverses entités telles que les entreprises, les institutions financières, les agences gouvernementales, les administrations, et les fournisseurs de services. Avec les métiers de plus en plus « datacentric » et l’essor du travail hybride, on assiste à un accroissement du volume de données qui transitent sur les réseaux.

Cependant, avec l'augmentation de la valeur et du volume de ces données confidentielles transmises sur les réseaux, celles-ci deviennent de plus en plus attractives pour les attaquants, ce qui entraîne une augmentation du nombre d'attaques et de violations.

Face à cela, les réseaux optiques constituent une composante essentielle de l'infrastructure d'internet en tant que couche physique des réseaux, ce qui leur confère une influence notable sur les performances et la sécurité des six couches qui se situent au-dessus d'eux (modèle OSI).

Aussi, la consolidation des services sur un canal optique unique augmente la probabilité pour les attaquants de récupérer l’ensemble des données critiques à contrario des attaques sur les couches applicatives sui concerneront uniquement les données sur ces couches logicielles.

Par conséquent, l'approche de la sécurité ainsi que l'optimisation des performances des réseaux optiques a un impact significatif sur l'ensemble des couches du réseau.

Dans le cadre d’une stratégie de défense en profondeur visant à protéger les données critiques de l’organisation, la sécurisation de la couche « 1 » permet de réduire la charge et le trafic réel, et contribue à améliorer la sécurité de l'ensemble du système de communication.

Les risques pour la sécurité des données dans les réseaux optiques

Physiquement peu accessibles, les réseaux optiques sont souvent considérés comme étant sécurisés. Cependant, il existe des moyens de compromettre des communications ou de récupérer des informations à partir des fibres optiques sans que l’organisation ne s'en aperçoive.

 Les problèmes de sécurité des données dans les réseaux optiques sont les suivants :

Les informations peuvent être compromises de plusieurs façons dans les infrastructures de fibres optiques.

  • L'écoute clandestine : Les réseaux optiques transmettent les données sous forme de signaux lumineux, qui peuvent être interceptés par un attaquant. Si les données ne sont pas chiffrées, elles peuvent être facilement lues et interceptées portant atteinte à la confidentialité et à l’intégrité des données.
  • Interception des données : Les réseaux optiques sont vulnérables aux écoutes, ce qui signifie qu'un attaquant peut accéder physiquement à la fibre optique et intercepter les données transmises. Dans ce cas la confidentialité des données est compromise.
  • Attaques de l'homme du milieu : Les réseaux optiques sont également vulnérables aux attaques de l'homme du milieu (MITM). En l’absence d’authentification de bout en bout de la machine A à la machine B, un attaquant peut intercepter les données et les modifier avant de les transmettre au destinataire prévu. La confidentialité et l’intégrité des données sont alors touchées.
  • Accès non autorisé : L'accès non autorisé aux équipements des réseaux optiques, tels que les routeurs et les commutateurs, peut permettre à des attaquants de prendre le contrôle du réseau et d'accéder à des données sensibles. Il y a là un risque d’atteinte à la confidentialité des données.
  • Sécurité physique : Les réseaux optiques peuvent aussi être la cible d’incidents physiques à la suite d’un évènement involontaire ou bien d’une action malveillante. La coupure ou l'endommagement de la fibre peuvent entraîner des perturbations dans le réseau et compromettre la disponibilité des données.

 

En réponse à l'évolution rapide du paysage des menaces de cybersécurité, de nouvelles réglementations dans le monde entier (RGPD, NIS2, DORA…) augmentent la pression sur les organisations pour qu'elles protègent les données sensibles de leurs clients et de leurs opérations.

En conséquence, les organisations revoient leurs stratégies de sécurité afin de s'assurer qu'elles font tout ce qui est en leur pouvoir pour protéger leurs données.

Quelles sont les techniques pour atténuer ces problèmes de sécurité au niveau de la couche optique ?

Comment protéger les réseaux optiques contre ces risques ?

Pour atténuer ces problèmes de sécurité, les réseaux optiques peuvent utiliser des techniques telles que le chiffrement, l'authentification et le contrôle d'accès. Les mesures de sécurité physique, telles que les caméras de surveillance, les alarmes et l'accès restreint aux équipements, les outils de mesure de la qualité des liens peuvent également contribuer à la protection contre les attaques physiques.

Nous allons explorer la technique de chiffrement de la couche optique ainsi que les outils de mesure de la qualité des transmissions.

 

Le chiffrement optique et la confidentialité des données

La technique de chiffrement a pour objectif d’adresser le critère « Confidentialité » des communications de données de l’indice DICT (Disponibilité, Intégrité, Confidentialité, Traçabilité).

Le chiffrement optique est utilisé pour protéger la transmission de données en convertissant les données en texte chiffré.

Les clés de chiffrement sont gérées de manière hautement sécurisée pour garantir que chaque client final est protégé contre toute tentative non autorisée d'extraction de données dans le réseau à fibres optiques.

Certains gestionnaires de clés des liaisons optiques chiffrées du marché fournissent une gestion des clés symétriques centralisée et certifiée par l'ANSSI, offrant une protection immédiate contre les attaques par force brute très sophistiquées, y compris les menaces provenant des ordinateurs quantiques émergents.

Le gestionnaire SMS (Service Management System) est l’orchestrateur et l’élément central qui synchronise et effectue la rotation des clés via l’OUT of Band (canal dédié). Ce dernier fournit une gestion des clés d’une manière symétrique et éphémères afin de réduire les risques d’attaques. Avec l’essor de l’informatique quantique, les méthodes traditionnelles de rotation des clés et de synchronisation ne suffiront plus à protéger la confidentialité des données offrant un niveau de protection contre les nouvelles cyber-attaques que la cryptographie traditionnelle ne couvre pas. L’introduction de Safe quantum qui se base sur la physique quantique (par exemple la rotation des clés en suivant le changement de polarisation ou de phase d’un photon, changement de température ou de vibration de la fibre) permet la détection des menaces au niveau quantique et la réduction du nombre d’attaques en comparaison avec les méthodes de cryptographie tradionnelles. Certains fournisseurs proposent aussi des méthodes hybrides : cryptographie traditionnelle et Safe quantum pour renforcer la protection des données. Le gestionnaire reste l’orchestrateur qui délègue la rotation des clés à la couche quantique et reprend le rôle de générateur de clés si une attaque est identifiée au niveau de la couche quantique.

Quels sont les critères pour bien choisir son gestionnaire de clés ?

Comme requis pour les certifications de sécurité FIPS/ANSSI, ce type de gestionnaire autonome doit permettre la gestion et l’administration du chiffrement sur la couche optique (ex : OTU4, OTU2E) indépendamment de la gestion de réseau classique.

Pour réaliser un service de chiffrement de bout en bout, il est important que cet outil prenne en charge la génération et la rotation critique des clés nécessaires.

Dans un 1er temps, il a pour rôle de générer et envoyer la clé PSK-WKAT (« Well Known Answer Test ») de manière symétrique aux deux équipements de chaque extrémité du service afin de valider le service à chiffrer de bout en bout. Une fois le chemin validé de bout de bout, le gestionnaire va générer et envoyer la clé de chiffrement de type AES-256 de manière symétrique aux deux équipements de chaque extrémité du service. Le transfert des clés est réalisé via l’envoi de traps SNMPv3. Une fois la clé réceptionnée par les deux plate-formes, le gestionnaire donne l’ordre d’effectuer la rotation de la clé. La rotation de clé est programmée par l’administrateur de chiffrement avec une périodicité allant de la semaine à seulement 1 minute. La rotation de clé doit être sans impact trafic.

Si une clé n’est pas réceptionnée par l’un des équipements, le service reste chiffré avec la dernière clé réceptionnée et une alarme doit être remontée vers le gestionnaire.

Les dispositifs utilisés pour le chiffrement optique doivent avoir une faible latence et une vitesse de traitement élevée, pour garantir que le réseau est protégé sans compromettre sa vitesse de transmission. En outre, le chiffrement optique doit être résistant aux attaques basées sur la signature électromagnétique d'un signal.

Sécuriser le réseau sur la base d'approches optiques offre l’avantage d’une faible latence et une vitesse de traitement élevée, permettant de protéger le réseau sans compromettre sa vitesse de transmission.

Outils de détection des intrusions

Grâce aux variations des niveaux de puissance, les outils de mesure de la qualité des transmissions optiques tels que réflectomètre optique à domaine temporel (OTDR), permettent aux opérateurs de réseaux de localiser les incidents mais surtout de détecter et localiser les intrusions sur le réseau.
En identifiant des changements ou défauts qui dégradent la qualité des transmissions, ces outils permettent de détecter des phénomènes physiques tels que des coupures ou même des intrusions sur le réseau et mise en écoute. Cela permet aux équipes de sécurité de pouvoir intervenir le plus vite possible en cas de suspicion d’attaque et en fonction du résultat de l’analyse, de lever le doute ou de réagir à l’incident.
Basé sur deux phénomènes physiques que sont la diffusion de Rayleigh et le coefficient de Fresnel, l’OTDR est capable de détecter l’ensemble des évènements qui apparaissent sur une fibre optique et les localiser. Par exemple, l’introduction d’un connecteur physique sur une fibre peut donner naissance à des attaques en dupliquant le signal lumineux.
En formant une « chaîne blindée », ces outils améliorent la sécurité du réseau tout en conservant la flexibilité nécessaire pour prendre en charge une large gamme d'applications et de services.

Les réseaux optiques sont votre passion ?

Si les réseaux optiques sont votre passion, l’événement mondial consacré à l'optique « Wavelengths 2023 » du 25 au 27 avril 2023 a abordé les enjeux actuels des organisations et les solutions pour y répondre ainsi que les dernières connaissances sur le sujet.

Partenaire des Wavelengths 2023 à Vienne, en Autriche, IMS Networks était représenté par Moufida Feknous, Senior optical transport engineer, ainsi que Sébastien Laliève, Presales Engineer IMS Networks. Ce mercredi 26 avril, ils ont présenté un cas client dans le secteur de l'énergie "Security in Enterprise: why it is a must ? ».

Pour vous tenir au courant de la présentation de ce cas client ainsi que de ce qui se passe dans le monde de l'optique, n’hésitez pas à nous suivre via la newsletter IMS Networks et via Linkedin.

En quête d'innovation et d'efficacité ? Nous pouvons vous conseiller sur les possibilités qui s'offrent à vous dans le domaine des réseaux optiques et de la sécurité. -> Contactez-nous