Accueil Le Cloud, la meilleure alternative aux VPN ?

Le Cloud, la meilleure alternative aux VPN ?

Source Pixabay - Gerd Altmann

Aux premières heures du confinement, les VPN ont été vus comme une bouée de sauvetage pour offrir des accès distants à de nombreux collaborateurs. La solution a permis de tenir le choc, mais a montré aussi ses faiblesses.

 

Les VPN ont sauvé la mise de nombreux DSI quand, en mars 2020 la population a été confinée pour la première fois. De nombreux collaborateurs ont pu continuer à se connecter au système d’information de leur entreprise grâce à leur client VPN. Les éditeurs ont bien souvent permis à leurs clients de les déployer sans limite pour passer la crise, puis régulariser les achats de licences dans un deuxième temps.

TheGreenbow, l’un des éditeurs français de VPN d’entreprise a ainsi connu un surcroit d’activité significatif avec 50 000 licences gratuites distribuées lors du premier confinement, de mars à mai 2020. Arnaud Dufournet, Chief Marketing Officer de l’éditeur, revient sur cette année très particulière : « L’année 2020 a été très porteuse pour nous car les entreprises ont dû rapidement déployer leurs collaborateurs en télétravail et les connecter de manière sécurisée. La demande a été forte et nous avons fait une offre à prix très agressif qui a permis à de nombreuses entreprises de déployer des clients VPN à moindre prix.» Un an après le début de la crise sanitaire, l’éditeur a dévoilé une nouvelle version de son logiciel client VPN avec de nouvelles fonctionnalité dont le but est de le rendre le plus transparent possible vis-à-vis de l’utilisateur. Le logiciel détecte automatiquement s’il est sur le réseau de confiance de l’entreprise pour ne pas s’activer si ce n’est pas nécessaire et un mode “Allways On” maintient le VPN même si l’utilisateur bascule d’un réseau Ethernet à la 4G, par exemple.. « Ce nouveau client est pensé pour que l’utilisateur ait le moins d’action à faire. Il faut simplifier au maximum l’usage du VPN car si les utilisateurs rencontrent trop difficultés, s’ils jugent le VPN trop contraignant, alors ils vont essayer de s’en passer et ainsi s’exposer au risque » ajoute Arnaud Dufournet.

Dans le nouveau chapitre du rapport de Kaspersky dédié à la sécurité des systèmes d’information des entreprises (IT Security Economics), Damir Shaykhelislamov, Advanced Threat Protection Solutions Group Manager de l’éditeur souligne : « Le travail à distance entraîne la dissolution du périmètre de l’entreprise et la nécessité de surveiller beaucoup plus de terminaux. Cela nécessitera également une adoption plus large des systèmes VPN/gestion des accès privilégiés/ authentification multi-facteurs, la mise en place d’une surveillance plus stricte et enfin une mise à jour des plans de secours et d’urgence existants ». Dans le même rapport, Nicola Sotira, responsable du CERT de Poste Italiane S.p.A,. pointe néanmoins les limites du VPN : « Même les VPN, désormais largement adoptés pour permettre le travail à distance, devront être revus à long terme car ils peuvent provoquer des latences, entravent souvent la productivité et présentent également des problèmes d’extensibilité – notamment en contrôlant l’accès aux ressources internes de manière plus granulaire pour éviter que le personnel ne reçoive des autorisations qui ne correspondent pas à son rôle. »

L’ANSSI recommande de ne pas autoriser un accès direct depuis les équipements d’accès aux ressources Cloud pour les utilisateurs en situation de nomadisme. Les utilisateurs nomades doivent se connecter aux services Cloud publics en transitant par le SI de l’entreprise via un tunnel VPN, une architecture d’accès aujourd’hui battue en brèche par les services de SWG dans le Cloud (ou Secure Web Gateway).

Les VPN Ipsec ou SSL ont été précieux lors des phases de confinements mais ont aussi montré leurs limites. Engorgement des gateways et des liens Internet des entreprises , délais de connexion et temps de latence record dans certaines entreprises où tous les collaborateurs devaient se connecter au siège parisien, qu’ils travaillent à Brest, Marseille ou au Brésil ou en Inde…

Si la cible technologique des RSSI est de tendre vers le modèle “Zero Trust”, souvent présenté comme le successeur du VPN, il faudra sans doute des années avant de transformer les systèmes d’information pour se plier aux concepts du ZTNA (Zero Trust Network Access).

A la recherche d’un successeur au VPN

Dernièrement Fortinet dévoilait FortiOS 7.0, la dernière version du système d’exploitation de ses solutions de sécurité. Cette nouvelle version innove justement sur le volet accès distant afin de remplacer le VPN traditionnel. La solution prônée par Fortinet vise à réduire la surface d’attaque en vérifiant l’utilisateur et son dispositif pour chaque session applicative, tout en dissimulant les applications critiques par rapport à Internet. L’éditeur promet une simplification des tâches d’administration, les mêmes règles d’accès s’appliquant tant aux utilisateurs dans l’entreprise qu’à ceux qui sont en télétravail.

A court terme, le Cloud semble être la solution la plus simple pour se débarrasser des défauts du VPN. Ce que le Gartner nomme les Secure Web Gateway (SWG) déportent toute la problématique de la gestion des accès chez un prestataire Cloud spécialisé. Un marché actuellement dominé par Zscaler. Ivan Rogissart, directeur avant-vente pour l’Europe du Sud de Zscaler : « il y a 10 ans, la vision du fondateur de Zscaler, Jay Chaudhry, était que les applications allaient migrer dans le Cloud et, avec la 3G puis la 4G, les smartphones allaient révolutionner l’accès aux données. Cette mobilité accrue des collaborateurs, alliée à des applications de plus en plus disponibles via le Cloud ont fondamentalement transformé les infrastructures IT. Les systèmes sont beaucoup plus ouverts sur Internet et nous avons chez nos clients de 70% à 85% du trafic qui aboutit aujourd’hui sur Internet.» Le fournisseur s’est concentré les premières années sur la sécurisation du trafic Internet et vers les applications SaaS via l’offre Zscaler Internet Access. Ce service inclut désormais des fonctionnalités de Firewall as a Service, de CASB, etc. La flexibilité du Cloud permet de déployer très rapidement des dizaines de milliers d’utilisateurs supplémentaires en quelques jours et cette capacité de montée en charge est particulièrement utile pour réaliser de l’inspection de trafic SSL, une tâche particulièrement gourmande en ressources machines.

Zscaler a défriché le marché et a été rejoint par de nombreux acteurs, depuis Barracuda en passant par Symantec, McAfee, Netskope, Cisco avec son offre Umbrella.

Selon MarketsandMarkets, ce marché des solutions SWG était de l’ordre de 4,6 milliards de dollars en 2019. Il atteindra près de 11 milliards en 2024, soit une croissance annuelle supérieure à 19%.