Tribune libre : les défis de sécurité de l'IPv6

Le lancement mondial de l’IPv6 est imminent, mais la méconnaissance généralisée du protocole soulève des enjeux sécuritaires. Une tribune de Christophe Auberger, responsable technique chez Fortinet.

Une méconnaissance généralisée du protocole IPv6

La plupart des systèmes qui n’ont pas l’IPv6 activé ont la capacité de contourner ce problème de transfert en encapsulant les paquets IPv6 d’en-têtes IPv4.

Ils lisent l’en-tête, mais ne peuvent pas lire le contenu du paquet en lui-même. Ils ne peuvent donc pas faire l’inspection approfondie habituelle des paquets, et transfèrent donc juste les paquets.

C’est seulement quand ils ont une implémentation dual stack qu’ils peuvent autoriser les fonctions de sécurité réseau à simultanément traiter et inspecter les paquets provenant à la fois des protocoles IPv4 et IPv6.

Plusieurs constructeurs de sécurité offrent cette fonctionnalité – mais pas tous − et c’est justement l’un des risques auxquels sont confrontés les professionnels de la sécurité réseau aujourd’hui.

Ils doivent s’assurer que leurs produits de sécurité peuvent inspecter le trafic IPv6. S’ils peuvent seulement transférer le trafic IPv6, ces produits pourraient également transférer le contenu malveillant.

Même avec une implémentation dual stack, les organisations ont néanmoins besoin de vérifier si elles ont les mêmes fonctionnalités de sécurité activées pour le protocole IPv4 que pour l’IPv6.

Dans le cas contraire, les appareils de sécurité réseau sont susceptibles de laisser passer des éléments critiques du trafic malveillant qui pourraient potentiellement compromettre le réseau.

Certaines des politiques et technologies sur lesquelles vous comptez peuvent uniquement fonctionner en IPv4 et non en IPv6, et créent ainsi les déficits de votre couverture de sécurité.

Cependant, mettre à jour l’infrastructure de sécurité réseau pour permettre le transfert à l‘IPv6 n’est pas un projet simple et prendra probablement des années pour être complètement abouti.

C’est pourquoi de nombreuses organisations, faisant face à des mises à jour matérielles qui sont potentiellement longues et onéreuses, n’ont pas prévues d’adopter l’IPv6 de sitôt.

Pourtant, les entreprises ne vont pas pouvoir éviter l’IPv6 encore trop longtemps. Suite au lancement du 5 juin, beaucoup plus de trafic IPv6 atteindra leurs réseaux.

Lorsque l’IPv6 représentera 5 à 10 % de vos données − plutôt qu’une fraction de pourcent comme a l’heure actuelle – éviter les mises à jour nécessaires va devenir beaucoup plus difficile à justifier. Les DSI vont donc devoir se pencher sur ce problème rapidement.

Tribune libre : des défis de sécurité avec l’IPv6

Tribune Fortinet : relever le défi de la sécurité de l’Internet des objets

Cybersécurité : cinq mesures pour protéger ses réseaux

Comprendre «l'après» peut aider les entreprises à se protéger contre les ransomwares

13 conseils pour télétravailler en toute sécurité

Choisir son fournisseur Cloud, une décision stratégique pour les PME

Le stockage dans le cloud continue d’inquiéter les PME

Numérique : le temps de l'augmentation est venu