Comment sécuriser 3CX : les bonnes pratiques pour un système téléphonique fiable et protégé

Le Firewall Checker, c'est vraiment un des outils les plus pratiques de 3CX. Il contrôle que le réseau laisse bien passer la voix et les données. D'abord, il teste chaque port utilisé par le système. Ensuite, il lance un appel de vérification pour s'assurer que le son circule correctement entre le serveur et les postes.

Si un message d'erreur s'affiche, c'est généralement qu'un port est resté fermé, qu'il a été mal redirigé ou que le routeur le filtre.

Il ne faut pas laisser passer ça. Un port bloqué suffit parfois à couper le son ou à empêcher la connexion d’un poste. Il vaut mieux corriger tout de suite, avant la mise en service, plutôt que de chercher en urgence une panne sur un site déjà en activité.

5. Sécurité réseau et blocage des adresses

3CX intègre son propre système de défense. Quand une adresse IP tente plusieurs connexions infructueuses, elle se retrouve bloquée automatiquement. Le système la garde en mémoire dans sa liste noire interne - impossible pour cette source de réessayer.

Il y a aussi une base partagée d'adresses malveillantes. Tous les serveurs 3CX en bénéficient et reçoivent des mises à jour régulières. Résultat : votre système se protège mieux, sans que vous ayez à lever le petit doigt.

Pour compléter cette défense, il est conseillé de limiter les pays autorisés à passer ou recevoir des appels. La fonction “Allowed Country Codes” sert à limiter les appels aux seuls pays où le standard est utilisé. Une fois la sélection faite, il n'est plus possible de composer un appel vers l'étranger. Les appels vers les numéros surtaxés ou les zones connues pour la fraude ne passent plus.
Après cette étape, le système retrouve une vraie tranquillité. Les journaux cessent de se remplir inutilement et les alertes deviennent rares. L’ensemble tourne de façon régulière, sans sollicitation constante.

6. Sécuriser le provisioning et les téléphones

Le provisioning correspond à la configuration automatique des téléphones IP. Pour éviter qu’un appareil ne télécharge ses paramètres depuis une source non autorisée, il faut activer le mode HTTPS et désactiver toute configuration via HTTP. 3CX recommande de passer par le RPS (Redirect Provisioning Service) ou le SBC plutôt que le mode STUN, plus exposé.
Chaque téléphone doit être protégé par un mot de passe unique généré par 3CX. Un téléphone mal protégé, c’est souvent le point d’entrée le plus simple pour une attaque. Sur un parc de plusieurs postes, il suffit qu’un seul partage le même mot de passe qu’un autre pour fragiliser l’ensemble. C’est pour cette raison que chaque appareil doit recevoir un identifiant unique, généré par 3CX.
Quand on gère plusieurs modèles de téléphones, on repousse souvent les mises à jour. C’est compréhensible : cela prend du temps et interrompt parfois le service pendant quelques minutes. Pourtant c'est indispensable car ces mises à jour corrigent des problèmes de sécurité déjà connus. Elles maintiennent aussi la compatibilité avec les nouvelles versions de 3CX. En clair, les ignorer, c’est s’exposer à des pannes que l’on aurait pu éviter. Nous vous conseillons de les planifier régulièrement, quitte à les regrouper en dehors des heures d’ouverture.

Chez ASAP Network, nous accompagnons les entreprises pour sécuriser et optimiser leur téléphonie 3CX.

Quand on fait un audit, on y va tranquillement, point par point. Nous vous montrons ce qu'on trouve – un port ouvert par-ci, un certificat qui va expirer par-là – et on vous explique pourquoi c'est problématique. Inutile de sortir le jargon technique à tout bout de champ, l'idée, c'est que vous compreniez vraiment ce qui se passe sur votre installation. L’objectif reste toujours le même : rendre votre installation plus sûre, plus stable et capable de durer dans le temps.
Pour organiser un contrôle complet de votre système 3CX, vous pouvez nous joindre au 04 84 900 904. Un audit réalisé sérieusement apporte une vraie sérénité au quotidien.

Glossaire des termes techniques

FQDN (Fully Qualified Domain Name)
C’est le nom complet d’un serveur, qui permet de l'identifier sur Internet. Par exemple avec le nom de domaine pbx.asapnetwork.pro, on sait exactement où se trouve le système 3CX, sans risque de confusion avec un autre système.

TLS (Transport Layer Security)
Il s'agit ici du système de chiffrage de ce qui transite entre le téléphone et le serveur. Les données ne circulent plus en clair mais sont codées, de manière à ce que même si quelqu’un intercepte le flux, il ne peut rien en lire. C’est ce qui préserve la confidentialité des appels et des connexions.

RTP (Real-Time Protocol)
Ce système transporte la voix pendant un appel. Il découpe le son en petits paquets envoyés en continu sur le réseau. Quand il n’est pas chiffré, n’importe qui peut écouter ou altérer ces paquets s’il a accès à la connexion.

SRTP (Secure Real-Time Protocol)
C’est une version sécurisée du RTP. Le son est transformé en données chiffrées avant d’être envoyé, puis reconverti à l’arrivée. De cette façon, la conversation reste confidentielle d’un bout à l’autre.

SIP (Session Initiation Protocol)
C’est le langage utilisé par la téléphonie IP. Il gère tout le déroulement d’un appel : ouverture, sonnerie, transfert, raccrochage. Sans lui, les téléphones ne sauraient pas comment dialoguer entre eux.

SBC (Session Border Controller)
Il agit comme un intermédiaire entre le réseau interne et Internet. Le SBC crée un tunnel sécurisé pour la voix et les données, ce qui évite les coupures ou les blocages liés aux pare-feux. C’est une sorte de garde du corps numérique entre vos téléphones et l’extérieur.

Firewall Checker
C’est un outil intégré à 3CX qui teste le passage de la voix à travers le réseau. Il vérifie si les ports nécessaires sont ouverts et si le son circule dans les deux sens. Quand une erreur apparaît, elle indique souvent un port mal redirigé ou bloqué.

Pare-feu (Firewall)
C’est le rempart de votre réseau. Il filtre les connexions entrantes et sortantes pour bloquer ce qui est suspect. On peut le comparer à un poste de contrôle à l’entrée d’un bâtiment : rien ne passe sans autorisation.

Provisioning
On appelle provisioning la configuration automatique des téléphones IP. Au lieu de saisir tous les paramètres à la main sur chaque poste, l'appareil télécharge directement son profil depuis le serveur : numéro d'extension, mot de passe, adresses réseau et autres réglages. En quelques secondes, le téléphone est opérationnel. En fait, ça change vraiment la vie quand on déploie des téléphones ! Plus besoin de configurer chaque poste à la main – et croyez-nous, on a tous déjà fait l'erreur de se tromper d'extension...

HTTPS (HyperText Transfer Protocol Secure)
Alors HTTPS, c'est HTTP mais en version blindée. Vous savez, quand vous voyez le petit cadenas dans votre navigateur ? C'est ça. Concrètement, au lieu que vos données se baladent en clair sur Internet (où n'importe qui peut les lire), elles sont cryptées. Du coup, même si quelqu'un intercepte le flux, il ne voit que du charabia. C'est devenu indispensable, surtout depuis que Google pénalise les sites qui ne l'utilisent pas.

STUN (Session Traversal Utilities for NAT)
Cette technique permet à un téléphone IP de franchir un routeur pour rejoindre un serveur externe. Elle fonctionne dans la plupart des cas, mais son ouverture expose parfois le système aux intrusions. C'est pour ça que, dans le cadre d'une installation professionnelle, on lui préfère souvent le tunnel sécurisé du SBC.

RPS (Redirect Provisioning Service)
Service de redirection sécurisé qui permet aux téléphones de trouver leur serveur 3CX et de récupérer leur configuration automatiquement.

Trunk SIP
Liaison virtuelle entre le système 3CX et l'opérateur téléphonique. C'est l'équivalent moderne d'une ligne physique traditionnelle – mais en bien plus flexible.

Let's Encrypt
Alors ça, c'est une petite révolution dans le monde des certificats ! Une autorité de certification complètement gratuite qui a changé la donne. Avant, il fallait payer pour avoir un certificat SSL décent. Maintenant, Let's Encrypt fournit des certificats TLS/SSL reconnus partout, et en plus c'est automatisé. Franchement, c'est devenu un standard.

SSL (Secure Sockets Layer)
Bon, techniquement SSL c'est obsolète – remplacé par TLS depuis des années. Mais tout le monde continue à dire "certificat SSL" par habitude. 

2FA (Two-Factor Authentication)
La double authentification, quoi. En gros, même si un pirate récupère votre mot de passe, il lui faut encore autre chose – souvent un code sur votre téléphone. C'est un peu pénible au quotidien, mais ça change vraiment la donne niveau sécurité.

VPN (Virtual Private Network)
Le fameux VPN ! Imaginez un tunnel secret qui traverse Internet pour relier vos sites. Vos données passent dedans, bien à l'abri des regards indiscrets. Dans le contexte téléphonique, c'est souvent comme ça qu'on relie les bureaux distants au serveur principal.

Blacklist / Liste noire
Un carnet noir des adresses IP qui ont fait les mauvais coups. Tentative de piratage, spam, attaques... hop, direction la liste noire ! Une fois qu'une adresse y est, elle ne peut plus se connecter. Simple et efficace.

Allowed Country Codes
Cette fonction, on l'adore chez ASAP Network ! Elle permet de dire "OK, mes utilisateurs peuvent appeler la France, l'Allemagne et l'Espagne, c'est tout". Fini les appels mystérieux vers des îles Salomon à 15€ la minute parce qu'un malware a pris le contrôle d'un poste, ou parce qu'un salarié peu scrupuleux se permet de téléphoner à sa tante aux Maldives durant son temps de travail...