Les fournisseurs de services de communication (FSC) tirent des avantages considérables en termes d'agilité et de coûts des modèles de déploiement en nuage et en périphérie rendus possibles par les architectures de réseau natives du nuage. L'informatique en périphérie consomme les données à proximité de leur source, évitant ainsi les exigences de latence et de bande passante liées à la transmission des données. Les nuages publics fournissent une capacité élastique à la demande tout en éliminant les besoins d'infrastructure en matière de marge de manœuvre et de redondance. L'infrastructure cloud-native à travers ces modalités facilite les pratiques modernisées telles que DevOps et l'intégration continue/la livraison continue, qui contribuent davantage à l'efficacité opérationnelle des FSC.
Le déplacement des charges de travail d'installations sécurisées sur site vers des nuages publics ou des sites périphériques relativement peu protégés nécessite une nouvelle conception des mesures de sécurité. Dans ces réseaux natifs de l'informatique en nuage, le périmètre se désintègre, laissant les fonctions du réseau potentiellement exposées. L'isolation physique des équipements peut également ne plus être possible. Les exigences réglementaires en matière de protection de la vie privée pour l'interception légale du trafic de médiation et de contrôle, ainsi que les communications interceptées elles-mêmes, doivent faire l'objet d'une attention particulière pour garantir la conformité.
Sortir du centre de données verrouillé
Les environnements traditionnels des CSP offrent des avantages considérables en matière de sécurité pour les déploiements de plates-formes d'interception légale. Les installations elles-mêmes sont physiquement sécurisées, avec des mesures telles que le contrôle d'accès et la vidéosurveillance. Au-delà de ces mesures générales, la plate-forme d'interception légale peut être davantage sécurisée, par exemple dans une armoire verrouillée, et elle peut également se trouver derrière des pare-feux stricts de confiance zéro, si ce n'est complètement hermétique, empêchant l'accès direct depuis l'internet.
Le contrôle physique de l'équipement permet de s'assurer que seules les personnes autorisées y ont accès physiquement, ce qui élimine un grand nombre de risques potentiels pour la sécurité. Des pare-feu protègent ces systèmes et les meilleures pratiques prévoient que toutes les connexions soient initiées à partir de la plate-forme d'interception légale elle-même, ce qui renforce l'isolement.
Les réseaux privés virtuels (VPN) ou les tunnels cryptés sont généralement utilisés pour communiquer entre les autorités chargées de l'application de la loi (LEA) et les fournisseurs de services de communication. Dans ce scénario de réseau traditionnel, le trafic sensible peut être transmis par fibre optique à une passerelle VPN située dans la même armoire verrouillée que la plate-forme d'interception légale, en clair, sans exposition à des entités extérieures. Les systèmes d'exploitation sous-jacents de cet équipement peuvent être verrouillés et renforcés pour leurs rôles spécifiques, sans exposition à la sécurité de services extérieurs.
En revanche, aucune de ces protections n'est disponible lorsque les déploiements d'interception légale sont étendus à la périphérie ou à l'informatique dématérialisée. En déplaçant les fonctions de réseau en dehors des centres de données traditionnels, les FSC doivent maintenir leurs mesures de sécurité dans des environnements moins contrôlés.
Contrôle de la visibilité et de l'accès physique
À mesure que les FSC réalisent les possibilités d'économies et de services à faible latence, ils poussent les ressources plus loin, jusqu'à la périphérie du réseau. Cette évolution nécessite une plus grande portée dans le déploiement des services d'interception légale, et l'augmentation de l'empreinte s'accompagne d'exigences accrues en matière de protection. En particulier sur les petits sites situés à la périphérie du réseau, les équipements peuvent être physiquement vulnérables par rapport aux installations traditionnelles contrôlées.
Ces mêmes FSC peuvent bénéficier d'avantages significatifs en termes de coûts, d'évolutivité et autres en utilisant l'infrastructure en tant que service (IaaS) des fournisseurs d'informatique dématérialisée. Dans ces topologies, ce sont les administrateurs du fournisseur d'informatique dématérialisée, et non le FSC, qui ont un accès physique aux systèmes et qui contrôlent cet accès. D'un point de vue réglementaire, les FSC doivent s'adapter à ces circonstances, notamment en fournissant des protections vérifiables de ces systèmes en l'absence d'isolation physique.
De même, les charges de travail conteneurisées dans les environnements "cloud-native" utilisent le système d'exploitation fourni par l'infrastructure sous-jacente, ce qui rend impossible son verrouillage pour les besoins limités d'une plateforme d'interception légale. Les conteneurs héritent de l'exposition à la sécurité et de la surface d'attaque de l'environnement sous-jacent, et les FSC sacrifient les capacités de renforcement propres au système.
Vers une approche écosystémique
L'absence de contrôle physique de l'environnement dans les déploiements en périphérie et dans le nuage signifie que les données d'interception légale ne doivent pas passer en clair, c'est-à-dire sans être chiffrées, même dans le cadre d'une connexion directe entre deux systèmes. Pourtant, les plateformes de renseignement légal du monde réel doivent communiquer avec un large éventail d'éléments de réseau, à la fois pour leur fournir des informations sensibles et pour recevoir d'eux des informations sensibles. Cette exigence illustre la nécessité d'un chiffrement véritablement omniprésent dans les flux de trafic d'interception légale.
Ces interactions chiffrées exigent que tous les éléments du réseau qui touchent aux fonctions de renseignement légal soient capables de gérer le chiffrement utilisé, et nombre d'entre eux devront être mis à niveau pour ce faire. Les FSC ont besoin d'une approche structurée pour atténuer la complexité et les risques sur la voie du chiffrement interopérable, y compris une sécurité optimisée, la flexibilité des fournisseurs et la préparation à l'avenir. Le SS8 joue un rôle de chef de file dans ce domaine, en travaillant avec l'ensemble de l'écosystème pour ajouter du cryptage là où il n'y en a pas, supprimer les vulnérabilités des anciennes méthodes de cryptage et passer aux protocoles les plus récents, tels que TLS 1.3.
Les relations de longue date avec l'industrie sont inestimables dans cet effort, tout comme la granularité de ces relations, qui s'étendent généralement à plusieurs équipes de produits chez chaque fabricant d'équipement. Les collaborations sont un moyen essentiel pour SS8 d'aider l'écosystème conformément aux meilleures pratiques que l'entreprise a développées au cours de plus de deux décennies de leadership dans le domaine de l'intelligence légale. Ces relations constituent une base mature sur laquelle les FSC peuvent s'appuyer pour moderniser et sécuriser leurs réseaux afin de tirer pleinement parti de la périphérie et du nuage.
À propos du Dr. Cemal Dikmen
En tant que directeur technique de SS8, Cemal joue un rôle essentiel dans l'orientation stratégique, le développement et la croissance future de l'entreprise. Expert renommé et leader d'opinion dans le domaine de la conformité juridique et de l'analyse des communications, il est fréquemment intervenu lors de diverses conférences sectorielles au cours des dix dernières années. Cemal est titulaire d'une licence, d'une maîtrise et d'un doctorat en génie électrique. Vous pouvez en savoir plus sur Cemal sur son profil LinkedIn en cliquant ici.
À propos de SS8 Networks
En tant que leader dans le domaine de l'intelligence légale et de la localisation, SS8 contribue à rendre les sociétés plus sûres. Notre engagement est d'extraire, d'analyser et de visualiser les informations critiques qui permettent aux forces de l'ordre, aux agences de renseignement et aux services d'urgence d'obtenir des informations en temps réel qui contribuent à sauver des vies. Nos solutions performantes, flexibles et évolutives permettent également aux opérateurs de réseaux mobiles de se conformer à la réglementation avec un minimum de perturbations, de temps et de coûts. SS8 bénéficie de la confiance des plus grandes agences gouvernementales, des fournisseurs de communications et des intégrateurs de systèmes du monde entier.
Le portefeuille de surveillance et d'analyse de données Intellego® XT est optimisé pour les organismes d'application de la loi afin de capturer, d'analyser et de visualiser des ensembles de données complexes pour obtenir des renseignements d'enquête en temps réel.
LocationWise offre la plus grande précision de localisation de réseau vérifiée au monde, fournissant des informations de localisation actives et passives aux services d'urgence, aux forces de l'ordre et aux opérateurs de réseaux mobiles.
La plateforme de médiation Xcipio® répond aux exigences de l'interception légale dans n'importe quel type de réseau et offre la possibilité de transcoder (convertir) entre les versions de transfert d'interception légale et les familles standard.
Pour en savoir plus, contactez-nous à l'adresse suivante info@ss8.com.
