Points clés
- Le rapport (ISC)² Cybersecurity Workforce Study 2023 identifie le manque de collaboration entre les équipes réseau et sécurité comme l'un des principaux obstacles à la mise en œuvre efficace des contrôles de sécurité réseau — des équipes qui travaillent sur les mêmes infrastructures avec des priorités et des référentiels différents.
- La transformation DevSecOps appliquée aux équipes réseau (NetDevOps / Network as Code) permet d'intégrer des contrôles de sécurité automatisés dans les processus de changement réseau — réduisant les erreurs de configuration humaines et accélérant la détection des déviations.
- Cisco SAFE (Security Architecture for the Enterprise) et le framework TOGAF incluent des rôles explicitement définis pour les équipes IT dans la gouvernance des communications réseau — des référentiels qui permettent de clarifier les responsabilités dans les organisations où la frontière entre réseau et sécurité est floue.
Les équipes IT — ingénieurs réseau, administrateurs systèmes, équipes cloud — sont en première ligne de la maîtrise des communications réseau. Leur rôle n'est pas seulement technique (configurer, dépanner, optimiser) mais aussi de gouvernance : ils sont les gardiens des configurations qui déterminent ce qui peut communiquer avec quoi dans l'infrastructure.
Responsabilités spécifiques des équipes IT dans la sécurité réseau
Les équipes IT ont des responsabilités spécifiques dans la sécurité réseau que les politiques doivent formaliser : (1) documentation des changements — chaque modification de configuration réseau doit être tracée dans un système de gestion des changements (ITSM) avec la justification fonctionnelle et la validation sécurité, (2) application du principe du moindre privilège aux règles réseau — chaque demande d'ouverture de flux doit être évaluée et limitée au strict nécessaire, (3) maintien des configurations de référence — les configurations sécurisées de référence (baselines) des équipements réseau doivent être documentées et les déviations détectées automatiquement, (4) intégration des alertes de sécurité — les alertes des équipements réseau doivent être transmises au SIEM et traitées par les équipes sécurité.
Formation et sensibilisation des équipes réseau à la sécurité
Les équipes réseau doivent être formées aux implications de sécurité de leurs décisions techniques : une règle de firewall trop permissive créée pour résoudre un problème d'urgence est une décision de sécurité autant qu'une décision technique. Cette formation doit couvrir les référentiels de durcissement des équipements (CIS Benchmarks), les techniques d'attaque réseau (pour comprendre ce qu'une configuration permissive permet à un attaquant), et les obligations réglementaires liées à la sécurité des communications.
Collaboration entre équipes réseau et sécurité
La collaboration entre équipes réseau et sécurité s'améliore par des processus formalisés : revues de sécurité conjointes des nouvelles architectures réseau, participation des équipes réseau aux exercices de réponse aux incidents, et inclusion des métriques de sécurité réseau dans les objectifs des équipes IT. Sans ces mécanismes de collaboration, les deux équipes optimisent pour des objectifs différents (disponibilité/performance pour le réseau, réduction du risque pour la sécurité) sans convergence.
Cas opérationnel : Network as Code chez ING — gouvernance des configurations réseau (UE)
ING a documenté publiquement son programme de Network as Code, dans lequel les configurations réseau sont définies sous forme de code versionné dans des dépôts Git et déployées via des pipelines automatisés. Chaque changement de configuration réseau passe par une revue de code incluant une validation automatique contre les politiques de sécurité (règles de conformité codifiées dans des outils de lint de politique). Ce modèle présente plusieurs avantages de sécurité : traçabilité complète de chaque changement, détection automatique des configurations non conformes avant déploiement, et possibilité de rollback instantané en cas d'erreur. Les équipes IT d'ING rapportent une réduction de 80 % des erreurs de configuration réseau et une réduction du délai entre la demande et le déploiement d'une nouvelle règle.
Le NIST CSF 2.0 a renforcé la fonction "Gouvernance" en précisant les rôles et responsabilités des équipes IT dans la gestion des risques de cybersécurité. Pour les équipes réseau spécifiquement, le framework recommande l'intégration des pratiques de sécurité réseau dans les processus opérationnels quotidiens (changements, maintenance, surveillance) plutôt que leur traitement comme des activités ponctuelles séparées.
L'ENISA a publié un guide sur la sécurité réseau adapté aux équipes IT des PME, définissant les responsabilités minimales que ces équipes doivent assumer dans la sécurité des communications. Le guide est structuré autour des actions quotidiennes, hebdomadaires et mensuelles que les équipes IT doivent réaliser pour maintenir un niveau de sécurité réseau suffisant sans nécessiter une équipe sécurité dédiée.
L'Infocomm Media Development Authority de Singapour a publié des lignes directrices sur la gouvernance IT incluant des responsabilités explicites des équipes IT dans la sécurité des communications réseau. Ces lignes directrices sont alignées avec les exigences NIS2 européennes et les standards NIST, créant une convergence réglementaire qui facilite la définition des rôles IT dans les organisations opérant dans plusieurs juridictions.