William Culbert, directeur EMEA Sud de BeyondTrust, spécialiste américain de la gestion des identités et accès privilégiés, livre en avant-première à Solutions Numériques cet avis d’expert sur le VPN (Virtual Private Network ou Réseau privé virtuel). Il avertit, arguments à la clé : donner un accès VPN aux employés utilisant des ordinateurs personnels représente un risque inacceptable.
Ces dernières années, en tant qu’expert de la cybersécurité, j’ai pu observer une multitude d’architectures IT et j’ai été consulté pour des décisions relatives aux politiques de sécurité et leurs mises en place. La pratique la plus courante est l’installation d’un logiciel VPN sur l’ordinateur personnel d’un employé pour un accès à distance. Or, en termes simples, BYOD et VPN ne devraient jamais se mélanger ou coexister. Aujourd’hui, avec la mise en place du télétravail à grande échelle afin de respecter la distanciation sociale et aider à atténuer la menace que représente le Coronavirus pour la santé, les défauts de cette pratique sont multipliés de façon exponentielle.
Alors que nous sommes dans une période de risque sociétal élevé, l’ajout d’un risque en cybersécurité ne ferait qu’aggraver notre incapacité potentielle à fonctionner. Même dans
une période plus prospère et plus stable, donner un accès VPN aux employés utilisant des
ordinateurs personnels représenterait un risque inacceptable.
Les principaux risques
-> Les utilisateurs sont généralement administrateurs de leurs ordinateurs personnels. Par conséquent, ces derniers sont des sujets sensibles aux logiciels malveillants lorsqu’ils effectuent des opérations même classiques (mails, navigation internet, etc.). La plupart des logiciels malveillants nécessitent des privilèges pour s’exécuter et s’installer et, lorsqu’un compte est exploité, le malware obtient alors l’accès aux privilèges et à l’accès de ce compte. De plus, les vieux ordinateurs personnels, sont souvent dotés d’anciens systèmes moins efficaces pour se défendre contre les logiciels malveillants et sans support donc potentiellement sans correctifs de leurs vulnérabilités.
-> Dans les cas où un ordinateur personnel est utilisé par différents membres d’une famille, il existe très peu de mesures pour empêcher une infection ou le mauvais jugement d’un individu, même lorsque chaque personne a son propre compte utilisateur. Les systèmes Windows disposent d’une fonction appelée “changement rapide d’utilisateur” qui offre la possibilité de se connecter à un autre compte tout en gardant son compte ouvert. La session connectée au VPN de l’entreprise peut ainsi être attaquée au travers d’une session non connectée au VPN.
-> Les organisations n’ont généralement pas l’autorité nécessaire pour gérer l’ordinateur personnel d’un employé. Si l’utilisateur final le permet, ainsi que la législation du pays, les solutions NAC (Network Access Control) peuvent valider les versions des signatures des antivirus et autres caractéristiques de base du matériel. Cependant, les solutions NAC ne peuvent toujours pas inventorier un ordinateur domestique afin de s’assurer qu’il soit protégé et entretenu comme un bien de l’entreprise. Il se peut qu’il n’y ait pas d’agent local compatible pour fournir ces détails à distance. La présence de ces lacunes peut exposer l’entreprise à des fuites de données provenant d’enregistreurs de frappe et de captures d’écran des logiciels malveillants.
l’utilisateur doit fournir par le biais de ses identifiants. Un hôte mal entretenu permet
à un acteur malveillant d’initier facilement ses propres connexions, de voler les
certificats, de détourner les sessions utilisées par les employés distants utilisant leurs
ordinateurs personnels… Si on ne peut pas sécuriser l’;hôte, comment sécuriser le
logiciel de connexion qu’il exécute ? C’est impossible.
response), EPM (endpoint privilege management), ni de solutions de gestion des
vulnérabilités ou des patchs. De plus, les ordinateurs domestiques fonctionnent
généralement comme des postes de travail indépendants, sans surveillance de la part
des professionnels de la sécurité pour réagir en cas de problème.
ressources sensibles. La plupart des VPN, même avec des appareils mobiles fournis
par l’entreprise, ne sont pas dimensionnés pour prendre en charge de grandes
quantités d’utilisateurs agissant tous simultanément dans un même environnement.
En plus de créer des failles de sécurité dans l’environnement de l’;entreprise, le
passage aux VPN en masse peut entraîner de graves problèmes de performance du
réseau.
faire fonctionner grâce à des solutions de contournement complexes (avec des environnements VDI, des proxys, etc.). Si cette approche permet parfois aux organisations
d’atténuer efficacement les risques liés aux VPN, elle n’est généralement pas rentable d’un
point de vue ressources humaines et assets. Je suis convaincu que les entreprises devraient reconsidérer les risques des VPN sur les biens domestiques et envisager des solutions moins risquées et plus évolutives pour étendre l’accès à distance aux télétravailleurs.
L’idéal est de fournir des assets appartenant à l’entreprise (renforcés et gérés pour fournir un accès à distance sécurisé) et d’acquérir une solution d’accès à distance moderne et architecturée ne nécessitant pas un environnement complexe pour assurer une connectivité sécurisée. De par les technologies d’accès à distance actuellement disponibles sur le marché pour les entreprises, il n’y a aucune excuse et probablement aucun avantage justifiable pour encore déployer des VPN.
