William Culbert, directeur EMEA Sud de BeyondTrust, développe cette question pour les lecteurs de Solutions Numériques.
Les Virtual Private Networks (VPN) sont depuis longtemps un pilier de l’entreprise. Pendant des années, les fournisseurs se sont vantés que les VPN offraient une “sécurité renforcée”, mais est-ce vraiment le cas ? Alors que depuis plus d’un an le télétravail s’est généralisé, les VPNs sont-ils un outil viable pour la sécurité des informations de l’entreprise ? Leur rôle dans la sécurité et l’accès facilité fait débat.
Le rôle des VPN dans la simplification de l’accès
Prenons un peu de recul. La tendance au télétravail est bien antérieure au Covid-19 et l’impact de ce dernier a été plus simple pour les entreprises où le télétravail était déjà présent. Bien sûr, il y a eu des changements et des avancées, notamment dans le domaine de la télémédecine, mais l’essentiel de l’évolution du “travail à distance” n’a été que la continuité d’une tendance existante.
La technologie VPN a été conçue pour fournir un accès et protéger les données en transit en dehors du réseau traditionnel de l’entreprise. Elle est déployée davantage comme un outil d’aide à l’entreprise plutôt qu’un outil de cybersécurité, donnant la possibilité d’étendre le réseau de l’entreprise à des utilisateurs situés dans n’importe quel lieu – que ce soit à domicile, en déplacement, en avion, à l’hôtel ou ailleurs. Les paquets IPSec (Internet Protocol Security) ne sont pas facilement détectés et bien qu’il existe des vulnérabilités, IPSec fait généralement son travail et fournit un cryptage fort pour assurer la protection des transmissions de données.
Le VPN comme vecteur d’attaque
De nombreuses entreprises utilisent les VPN pour accorder un accès au réseau, aux employés, tiers, vendeurs, invités… toute personne pouvant compromettre un point d’entrée du VPN. Il s’agit en soi d’une grave négligence en matière de sécurité. Dans ces cas, la sécurité de l’entreprise est aussi fiable que celle de l’endpoint de l’utilisateur externe qui est autorisé à pénétrer dans l’environnement.
En outre, ces dernières années, nous avons vu des dizaines de vulnérabilités de VPN exploitées dans le cadre de failles majeures pour les entreprises et les administrations. Les VPNs sont devenus une cible. Les pirates savent désormais que s’ils parviennent à pénétrer via un VPN, ils n’auront plus à se soucier des contrôles de sécurité traditionnels tels que les pares-feux. Ils ont désormais un accès complet au réseau d’une entreprise. Les pares-feux ne peuvent pas faire grand-chose pour bloquer le trafic indésirable lorsqu’un accès ouvert au réseau est accordé par le biais d’un VPN. De plus, les VPN sont souvent mal configurés, ce qui crée des failles exploitables pour les attaquants.
Un autre problème qui nuit à la sécurité des VPN réside dans les correctifs des dispositifs et logiciels VPN souvent oubliés ou ignorés. Les entreprises ayant besoin d’un accès VPN, afin que leurs employés puissent travailler, se heurtent souvent aux maintenances des correctifs VPN.
Et, bien sûr, à l’ère de l’accès à distance à grande échelle, les problèmes de performance du réseau autour des VPNs sont également de plus en plus fréquents, surtout lorsque de nombreux utilisateurs se connectent simultanément au VPN.
Faciliter un accès à distance réellement sécurisé
Au lieu d’une architecture de sécurité en “château fort”, qui suppose que tout ce qui se trouve à l’intérieur du périmètre du réseau soit sûr, les organisations doivent comprendre quelles ressources doivent être disponibles à l’intérieur du réseau de l’entreprise et quels utilisateurs ont réellement besoin d’accéder à ces ressources. Elles doivent également planifier avec soin une politique de base de moindre privilège pour éviter d’accorder un accès si ce n’est pas nécessaire.
Le modèle Zero-trust, qui consiste à refuser l’accès par défaut à toute personne ou à tout système, sauf en cas de nécessité, représente un mouvement constructif vers une architecture plus sûre. Cette approche associée à l’évolution de l’architecture de sécurité permet souvent de remplacer les VPN par une meilleure gestion des accès privilégiés.
L’optimisation des alertes et de la surveillance, ainsi que la capacité d’isoler les éléments, sont vraiment importants. Ce sont également des éléments essentiels pour établir l’architecture sécurisée dont les entreprises ont besoin.
Mais les pirates ne vont pas attendre que les professionnels de la cybersécurité corrigent leur architecture de sécurité pour attaquer. La mise en place d’une stratégie Zéro-Trust en remplacement des VPN est donc essentielle pour commencer à renforcer la sécurité sans attendre.