La téléphonie sur IP comporte de nombreux atouts : allègement de la facture télécom, meilleure performance des équipes, modernisation du parc informatique…
Cependant, comme tout outil numérique, la VoIP peut faire l’objet de failles de sécurité. Quelles sont-elles ? Comment s’en prémunir ? Que votre décision de passer à la VoIP soit déjà prise ou que vous soyez toujours en cours de réflexion, nous avons fait le point pour vous sur les risques et bonnes pratiques à connaître pour sécuriser sa téléphonie sur IP.
La VoIP, pour un système téléphonique plus performant
La téléphonie sur IP, ou VoIP, permet d’utiliser internet pour passer ses appels. Elle transforme la voix en données numérisées; la vitesse de transmission augmente, tout en faisant diminuer le coût.
Bonus : la migration vers la téléphonie sur IP est plus simple et plus rapide qu’une ligne de téléphonie classique.
La VoIP dispose de nombreux atouts pour votre entreprise du point de vue de la DSI :
Elle participe à la digitalisation de l’entreprise et à la modernisation des équipements. La téléphonie n’est plus un système à part. Avec la VoIP, elle s’intègre à l’ensemble des outils utilisés au sein de l’entreprise.
La téléphonie sur IP est plus simple à mettre en place et à maintenir pour l’équipe technique. Une fois le prestataire choisi, le déploiement est facile, plus besoin d’attendre plusieurs semaines pour l’installation d’une ligne. Le parc hardware est réduit, ce qui limite également les interventions sur l’équipement. Enfin, la maintenance est facilitée, elle peut se faire à distance. Cela est notamment précieux lorsque votre entreprise dispose de plusieurs sites internet.
Avec la VoIP, les équipes opérationnelles obtiennent plus d’autonomie, notamment en configurant directement les paramètres de la téléphonie en fonction de leurs besoins. Il s’agit par exemple du Serveur Vocal Interactif (SVI), de la plage horaire de disponibilité, etc. Plus besoin que l’IT intervienne : grâce à la VoIP, on observe une baisse des tickets d’incidents, ce qui permet aux équipes techniques de se concentrer sur d’autres tâches, à plus forte valeur ajoutée.
L’intégration de la VoIP aux outils existants, via des API, permet d’avoir un centre de communication unifié, qu’il est simple de piloter.
La téléphonie virtuelle bénéficie de mises à jour régulières, contrairement aux systèmes de téléphonie fixe. La sécurité des outils est donc renforcée.
Enfin, la DSI est responsable de l’encadrement des aspects techniques de l’entreprise, tout en maîtrisant les coûts. Avec la VoIP, la facture télécom s’allège de façon conséquente. La DSI fournit donc à l’entreprise une solution performante, innovante et économique.
Tous ces avantages permettent aux équipes techniques d’être plus efficaces dans leur gestion des outils de communication de l’entreprise, les libérant pour des tâches à plus forte valeur ajoutée. Du côté des équipes opérationnelles, la VoIP améliore leurs performances, et donc la satisfaction des clients.
Téléphonie sur IP : cartographie des risques de la VoIP
La VoIP dispose de nombreux atouts pour convaincre les entreprises, équipes technique comprises. Cependant, comme tout outil numérique, elle est sujette à des risques de sécurité. Avant de mettre en place un système de téléphonie virtuelle au sein de votre entreprise, il est important de cartographier les risques, pour mieux s’en prémunir.
Voici une liste des principaux risques liés à la VoIP :
Le déni de service
Ce type d’attaque n’est pas spécifique à la téléphonie sur IP, elle s’adresse à tous les outils informatisés. Le déni de service, ou DoS, bombarde un serveur informatique de requêtes erronées. Le but de l’attaque : paralyser l’application ou l’équipement informatique concerné, pour l’empêcher de répondre aux requêtes de ses utilisateurs, le rendant hors d’usage. Cette attaque évolue souvent vers des dénis de service distribués, c’est-à-dire des attaques menées par plusieurs systèmes simultanément, contre le même système. Cela démultiplie les effets de l’attaque DoS. L**’application pour la VoIP** est simple : les hackers mettent en place un processus automatique, qui va appeler sans cesse le système, et raccrocher. La ligne devient trop occupée pour accepter d’autres appels.
Comment l’éviter ? De nombreux protocoles de sécurité existent pour protéger ses infrastructures de communication des hackers. L’un d’entre eux, le SBC ou Session Border Controller, permet d’acheminer et de contrôler les communications selon des règles établies en amont. Il gère le trafic, afin qu’il ne soit jamais sur-sollicité. Avec ce type de protocoles, votre ligne téléphonique VoIP est préservée et sécurisée.
Les malwares et virus informatiques
Au même titre que l’ensemble des outils informatiques, la VoIP peut être sujette à des virus. Ces derniers sont de plus en plus sophistiqués, faisant des dommages plus importants au sein des entreprises ayant mal sécurisé leurs accès (vol de données, accès à l’information …).
Comment les éviter ? La clé réside dans la formation des équipes. Il est important d’informer l’ensemble des salariés des risques encourus par l’entreprise, leur apprendre à reconnaître les tentatives de fraudes et à les signaler (ne pas ouvrir de pièce jointe suspicieuse ou d’expéditeurs inconnus par exemple).
D’un point de vue purement technique, il faut également mettre en place des pare-feux (ou firewall). C’est l’une des mesures de sécurité VoIP les plus efficaces pour garantir l’intégrité de votre système de téléphonie sur IP. Ils permettent de filtrer les informations et de détecter les comportements inhabituels, qui ne pourront pas accéder au serveur. Les solutions de téléphonie Cloud comme Aircall vous permettent de maintenir un taux de fonctionnement très élevé grâce à ces pare-feux puissants.
Les écoutes non autorisées
Cette méthode existe depuis l’invention de la téléphonie. Comme son nom l’indique, un fraudeur va rejoindre un appel non crypté pendant sa transmission, pour pouvoir récupérer des informations. Ce type d’attaque est souvent utilisée pour le vol d’identité : sans cryptage des appels, toutes les informations sensibles sont susceptibles d’être dévoilées, notamment lors des appels du support client (noms, dates de naissance, etc).
Comment les éviter ? Aujourd’hui, il est très simple de crypter les données et les voix des appels VoIP. Vos communications téléphoniques sur IP sont donc chiffrées et protégées des écoutes non autorisées.
Le TLS, Transport Layer Security, permet de sécuriser le trafic entrant et sortant entre les personnes appelées.
Le SRTP, Secure Real-Time Transport Protocol, crypte les paquets de données transmis pendant l’appel pour que les fraudeurs ne puissent pas les décrypter.
Enfin, le VPN, Virtual Private Network, fournit un tunnel sécurisé et crypté, qui permet d’envoyer et recevoir de la donnée en toute sécurité.
Les appels spams
Sur le même principe que les emails indésirables, les appels spams, aussi appelés SPIT pour SPam over Internet Telephony, sont des attaques qui effectuent des appels automatiques et lancent un enregistrement lorsque le service concerné décroche.
Comment les éviter ? De nombreux outils sont à disposition, à commencer par la mise en place de listes de numéros autorisés / non autorisés. Le test de Turing permet également d’identifier les appels de personnes réelles versus les appels de logiciels générateurs de spams. Les lignes téléphoniques VoIP Aircall sont ainsi protégées des appels spams, et vous proposent des numéros autorisés pour que vos commerciaux ne soient jamais bloqués dans leur prospection.
Les détournements d’appel
Grâce à la VoIP, un utilisateur authentifié peut modifier ses paramètres de transferts d’appel à travers son interface web. C’est la méthode utilisée par les hackers pour mener leur attaque. Quand un appel est lancé, l’attaquant va envoyer un message de redirection contenant une information erronée et va envoyer sa propre adresse comme adresse de renvoi d’appels. Tous les appels destinés à l’utilisateur initial sont donc transférés à l’attaquant.
Comment les éviter ? L’étape incontournable est la sécurisation des accès (mots de passe, etc), pour que les hackers ne puissent pas accéder à ces informations. L’application des protocoles de sécurité déjà mentionnés permettent également d’empêcher ce type d’attaques.
La téléphonie sur IP permet d’alléger la tâche de l’équipe IT en rendant les équipes plus autonomes. Comme tous les outils informatiques, la VoIP peut être sujette à des risques de sécurité. Mais de nombreux protocoles de sécurité existent pour s’en prémunir efficacement. Il est donc important de choisir un fournisseur VoIP avec un support technique performant pour vous assurer un taux de fonctionnement le plus élevé possible.
5 bonnes pratiques pour sécuriser votre téléphonie sur IP
Nous vous avons présenté les risques IT les plus courants de la téléphonie sur IP.
En plus de nos recommandations précédentes, voici 5 bonnes pratiques à appliquer pour anticiper les attaques :
Avoir une équipe technique dédiée pour sécuriser l’activité : elle réalise le chiffrage des communications et s’assure que l’ensemble des protocoles de sécurité sont performants.
Sécuriser les accès aux données sensibles et aux outils : crypter les mots de passe, mettre en place plusieurs couches d’authentification, ne pas donner les mêmes droits d’accès à tous les collaborateurs … Autant d’actions qui permettent de réduire les risques de sécurité.
Former ses équipes : l’erreur est principalement humaine. Il est donc important d’informer ses équipes des risques présents, pour qu’elles sachent réagir et les limiter. Des sessions d’entraînement ou des tests en situation réelle permettent de reprendre les bases et d’assurer une formation continue.
Mettre en place des outils de suivi : en monitorant l’activité, les comportements inhabituels pourront être détectés rapidement et être stoppés avant tout dégât causé.
Faire appel à un partenaire expert : chez Aircall, nous prenons la sécurité de nos clients à cœur. Bien s’entourer est la clé de la réussite !
La téléphonie sur IP apporte de multiples avantages aux entreprises, et permet aux équipes techniques de se libérer, pour pouvoir se concentrer sur des tâches plus globales. Si elle comporte des risques, ils sont facilement identifiables et de nombreuses solutions existent pour sécuriser sa VoIP.
Aircall propose une solution de téléphonie digitalisée, performante et entièrement sécurisée, approuvée par des milliers d’entreprises. Testez-la gratuitement et sans engagement !
Publié le 9 juillet 2020.
