Sécuriser une architecture de téléphonie sur IP

La téléphonie sur IP (ou ToIP) est une évolution majeure récente dans le monde des télécommunications. Cette technologie consiste à utiliser le protocole de transfert de données IP pour acheminer des communications téléphoniques numérisées sur des réseaux privés ou publics.

Publié le 21 Janvier 2014 Mis à jour le 21 Janvier 2014

La mise en place de ce type de technologie au sein d’une entreprise ou d’une administration implique des modifications profondes du système d’information (remplacement des PABX, installation de serveurs applicatifs, changement des postes téléphoniques, câblage, etc.), et doit à ce titre être conduite comme un projet à part entière.

L’utilisation de la ToIP a souvent pour objectif d’apporter des gains en termes de coûts, de souplesse de déploiement et de fonctionnalités offertes aux usagers. La ToIP reposant sur une infrastructure IP, elle rapproche deux types de réseaux historiquement disjoints : les réseaux de données et les réseaux de téléphonie. Ce rapprochement accroît les risques auxquels sont exposés les services de téléphonie (fraude, écoute, intrusion, usurpation d’identité, etc.).

Ce document a pour objectifs de présenter ces risques ainsi que les mesures de sécurisation qui doivent accompagner la mise en œuvre d’une infrastructure de téléphonie sur IP. Il s’adresse à un public très large, mais il n’a pas pour but de présenter en détail le fonctionnement de la téléphonie sur IP. Il suppose que le lecteur dispose de connaissances minimales sur le sujet pour comprendre les recommandations de sécurité présentées. La responsabilité de la mise en œuvre des recommandations proposées dans ce document incombe au lecteur. Il pourra s’appuyer sur la politique de sécurité du système d’information existante et sur les résultats d’une analyse de risques pour déterminer les recommandations les plus pertinentes dans le contexte auquel il est soumis. Des tests pourront aussi être réalisés afin d’apprécier l’impact lié à la mise en œuvre de ces recommandations. Étant donnée la nature évolutive des systèmes d’information et des menaces portant sur ceux-ci, ce document présente un savoir-faire à un instant donné et a pour ambition d’être régulièrement amélioré et complété.