Cloudflare lance une eSIM pour sécuriser les appareils mobiles, la première SIM à tolérance zéro,

Dans un contexte où les employés utilisent de plus en plus leurs propres appareils pour le travail

Bien que la taille des cartes SIM ait été réduite de plus en plus, certains « nouveaux » objets communicants, comme les montres connectées, n'ont plus assez de place pour intégrer une carte SIM, même au format nano. Et, surtout, il est assez compliqué de changer la carte SIM sur des objets connectés. Également, le téléphone portable est désormais un outil essentiel sur le lieu de travail moderne, d'autant plus que celui-ci s'est déplacé hors du bureau. Compte tenu des milliards d'appareils mobiles sur la planète - ils dépassent désormais les PC par un facteur important - il n'est pas surprenant qu'ils soient devenus le vecteur de menace de choix pour ceux qui tentent de percer les défenses des entreprises.

Le problème auquel nous sommes confrontés pour nous défendre contre ces attaques est que pour la plupart des solutions à tolérance zéro, le mobile est souvent un citoyen de seconde zone. Ces solutions sont généralement difficiles à installer et à gérer. Et elles ne fonctionnent qu'au niveau de la couche logicielle, comme c'est le cas de WARP, les applications mobiles (et de bureau) qui connectent les appareils directement à notre réseau de tolérance zéro. Et tout cela avant d'ajouter la complication supplémentaire du BYOD (Bring Your Own Device) que de plus en plus d'employés utilisent. C'est un problème délicat - et de plus en plus critique - à résoudre. Mais c'est aussi un problème auquel nous pensons pouvoir contribuer.


L'eSIM (embedded SIM) est une évolution de la carte SIM pour les téléphones mobiles et les objets connectés. C’est une version intégrée de la carte SIM qui permet à un appareil d'accéder au réseau d'un opérateur et de stocker des informations. L'eSIM est intégrée directement dans le terminal : smartphone, tablette, montre connectée... Cette évolution répond à la multiplication des formats de cartes SIM (standard, mini-SIM, micro SIM, nano SIM...).

L'objectif d'une carte SIM intégrée est multiple : il est moins compliqué d'acheter des cartes SIM et de les insérer dans des bacs de plus en plus inaccessibles ; les cartes SIM ne risquent plus d'être endommagées par des forces extérieures ; et enfin, il y a un sentiment de sécurité supplémentaire puisque personne ne peut vraiment voler une carte SIM virtuelle.

Le format eSIM possède deux caractéristiques nouvelles : la carte peut être soudée sur une carte électronique et il est développé un protocole permettant de provisionner la carte SIM à distance et à travers le réseau mobile. Il est ainsi possible de télécharger à l'intérieur de l'eSIM des profils de différents opérateurs sans intervenir physiquement sur la carte SIM.

Bien qu'il faille toujours prendre en compte la question de l'accessibilité de toute nouvelle technologie, il n'y a pas lieu de s'inquiéter : les eSIM sont disponibles dans presque tous les points de vente des grandes entreprises de télécommunications. La technologie n'est peut-être pas très répandue, mais elle est certainement accessible et disponible pour les utilisateurs. L'autre problème que posent les eSIM est qu'elles ne sont pas aussi facilement transférables d'un appareil à l'autre, mais elles peuvent toujours être retirées d'un appareil précédent et transférées sur l'appareil actuel.

Voici, ci-dessous, une présentation de la carte SIM Cloudflare :

« Fidèles à la philosophie de Cloudflare, nous pensons que la combinaison de la couche logicielle et de la couche réseau permet d'améliorer la sécurité, les performances et la fiabilité. En ciblant une pièce fondamentale de la technologie qui sous-tend chaque appareil mobile - la carte SIM - nous visons à apporter un niveau de sécurité (et de performance) sans précédent au monde mobile », déclare Cloudflare.

La menace serait de plus en plus mobile

Le mois dernier, Cloudflare était l'une des 130 entreprises visées par une attaque de phishing sophistiquée. Le mobile était la pierre angulaire de l'attaque : les employés ont d'abord été contactés par SMS, et l'attaque s'est largement appuyée sur la compromission des codes 2FA.

Étant donné l'importance du mobile dans le fonctionnement des entreprises aujourd'hui, Cloudflare a travaillé pour renforcer les défenses de tolérance zéro dans ce domaine. Et c'est ainsi qu’elle aconçu la SIM de tolérance zéro : une autre couche de défense à un niveau différent de la pile, rendant la vie encore plus difficile aux cybercriminels. Avec la première SIM à tolérance zéro, l’utilisateur bénéficie des avantages suivants :

• Empêcher les employés de visiter des sites de phishing et de logiciels malveillants : les requêtes DNS sortant de l'appareil peuvent automatiquement et implicitement utiliser Cloudflare Gateway pour le filtrage DNS ;
• atténuation des attaques courantes contre les cartes SIM : une approche eSIM-first nous permet d'empêcher les attaques par échange ou clonage de cartes SIM et, en verrouillant les cartes SIM sur les appareils individuels des employés, d'apporter les mêmes protections aux cartes SIM physiques ;
• permettre une connectivité privée sécurisée, basée sur l'identité, aux services cloud, à l'infrastructure sur site et même à d'autres appareils (pensez aux flottes d'appareils IoT) via Magic WAN. Chaque SIM peut être fortement lié à un employé spécifique, et traité comme un signal d'identité en conjonction avec d'autres signaux de posture d'appareil déjà pris en charge par WARP.

« En intégrant les capacités de sécurité de Cloudflare au niveau de la carte SIM, les équipes peuvent mieux sécuriser leurs flottes d'appareils mobiles, notamment dans un monde où le BYOD est la norme et non plus l'exception », déclare Cloudflare. La tolérance zéro fonctionne mieux lorsqu'il s'agit de logiciels et de rampes d'accès. Au-delà de tous les avantages en matière de sécurité que nous obtenons pour les appareils mobiles, selon l'entreprise, la SIM à tolérance zéro transforme le mobile en un autre pilier de la plateforme Cloudflare One.

Cloudflare One présente un plan de contrôle unique et unifié : les entreprises peuvent appliquer des contrôles de sécurité à l'ensemble du trafic entrant et sortant de leurs réseaux, appareils et infrastructures. Il en va de même pour la journalisation : il donne la possibilité d'avoir un seul endroit pour obtenir les journaux, et un seul endroit pour toutes les analyses de sécurité.

Le fait de travailler au niveau de la rampe d'accès plutôt qu'au niveau du logiciel présente un autre avantage de taille : il offre la souplesse nécessaire pour permettre aux appareils d'accéder à des services qui ne sont pas sur Internet, notamment l'infrastructure cloud, les centres de données et les succursales connectés à Magic WAN, la plateforme Network-as-a-Service de Cloudflare.

En fait, sous la couche , Cloudflare utilise les mêmes fondations logicielles de mise en réseau que ses clients utilisent pour construire la couche de connectivité derrière la SIM de confiance zéro. Cela permettra également de prendre en charge de nouvelles capacités telles que Geneve, un nouveau protocole de tunnellisation de réseau, élargissant encore la manière dont les clients peuvent connecter leur infrastructure à Cloudflare One. Des efforts comme IoT SAFE (et des normes parallèles non IoT) qui permettent aux cartes SIM d'être utilisées comme racine de confiance sont suivi, ce qui permettra une association plus forte entre la carte SIM Zero Trust, l'identité de l'employé et la possibilité d'agir comme un jeton matériel de confiance.

Bien sûr, tous les fournisseurs de solutions...