Télétravail & Cybersécurité : Le VPN est-il suffisant ?

Spread the love
Télétravail & Cybersécurité : Le VPN est-il suffisant ?

Qu’il s’agisse de technologies SSL ou IPSec, les VPN ont sauvé beaucoup d’entreprises qui ont dû placer bon nombre de leurs collaborateurs en télétravail en mars 2020. La technologie est relativement simple à mettre en œuvre et a permis de sécuriser les accès distants de centaines, parfois de milliers de collaborateurs. Comme tous les éditeurs de solutions de sécurité, WatchGuard a fait face à un afflux de demandes sans précédent au début du premier confinement : « Nous avons été très sollicités par nos clients pour augmenter le nombre de VPN ouvert sur leurs firewalls » explique Pascal Le Digol, Country Manager France chez WatchGuard. « Depuis une dizaine d’années nous ne bridons pas le nombre de VPN en fonction d’un nombre de licence. La limite maximale est dictée par la puissance du boitier. Les clients ont donc souhaité upgrader leurs boitiers pour faire face à l’afflux de nouvelles connexions, ou l’ajout de firewalls virtuels. »

Le VPN est une approche désormais mature, avec globalement deux technologies en lice IPSec et SSL. Considéré comme le plus sûr, le protocole IPSec offre un très haut niveau de sécurité avec le chiffrement de chaque paquet de données. Il présente aussi le désavantage d’être un protocole spécifique qui n’est parfois pas disponible dans certains hôtels parce que le firewall n’est pas configuré pour le laisser. C’est là que SSL présente l’avantage d’utiliser le même port 443 qu’HTTPS, un protocole qui passe partout. C’est la raison pour laquelle beaucoup de nos clients préfère SSL, plus facile à déployer et avec un logiciel client plus léger qui charge moins les machines.

 

Utiliser de simples liens internet sécurisés par des briques de sécurité dans le Cloud, c’est le pari de plus en plus d’entreprises qui misent sur l’approche SD-WAN, en remplacement de leurs réseaux MPLS classique.

Pour Pascal Le Digol, Hormis la phase d’authentification préalable à l’établissement de la communication, un VPN n’a que peu d’impact sur les communications unifiées : « Un VPN peut induire un peu de latence et surtout de la gigue mais avec les connexions actuelles, VDSL et fibre et les machines actuelles, le VPN ne cause plus aucun problème de ce type. »

publicité

Le VPN, une solution fiable, mais pas infaillible

Le VPN est une solution d’accès distant qui fonctionne bien, mais qu’il faut aussi utiliser avec une certaine prudence. Pour l’expert, on ne peut déployer un VPN à grande échelle sans s’entourer de précaution et mettre en place une série de bonnes pratiques, notamment du côté des utilisateurs. « Il ne faut absolument pas déployer un VPN sur une machine personnelle qui n’est pas sécurisée au préalable par l’entreprise. Celle-ci n’a absolument aucune garantie que la machine personnelle de son collaborateur ne porte pas déjà un malware extrêmement dangereux. De même, un simple login/mot de passe ne suffit pas à protéger un accès efficacement. Déployer le MFA (Multi-Factor Access) sur l’accès VPN est absolument indispensable.

Une fois que le VPN mis en place, les PME ont tendance à oublier les enjeux de sécurité. Or le VPN est un maillon faible qui est bien souvent exploité par les attaquants.
— Pascal Le Digol, Country Manager France WatchGuard

C’est une évolution que les PME doivent aujourd’hui suivre et nous faisons beaucoup de sensibilisation auprès des entreprises afin de les accompagner dans ce sens. Beaucoup d’entre elles ont mis en place le télétravail en catastrophe et ces accès distants constituent aujourd’hui le maillon faible qui est bien souvent exploité par les attaquants. » Beaucoup de PME qui ont mis en place les VPN au début de la crise sanitaire n’y ont plus touché depuis et beaucoup considère que le niveau de sécurité des entreprises a clairement baissé depuis cette crise et que les solutions temporaires déployées dans l’urgence doivent aujourd’hui être renforcées.

Zero Trust, le futur du VPN

Les experts en cybersécurité s’accordent désormais sur l’architecture qui va succéder au VPN, c’est ce que l’on appelle le ZTNA, acronyme de Zero Trust Network Access. « Le concept de ZTNA change la manière de construire ces VPN pour utilisateurs nomades » estime Hector Avalos, Vice-President Sales Europe, Middle East, Africa & Russia chez Versa Networks. « L’utilisateur doit bien entendu être authentifié et ses échanges cryptés, mais le plus important en termes de sécurité, c’est que l’utilisateur n’a accès à rien par défaut. Ce sont des règles supplémentaires qui vont permettre d’identifier l’utilisateur, son terminal, notamment pour savoir si son laptop dispose de la dernière version de l’antivirus de l’entreprise. Ensuite on vérifie qu’il a bien un droit d’accès distant à l’application à laquelle il veut accéder.

On réalise une microsegmentation applicative qui lui accorde cet accès à ce moment-là. » Le spécialise souligne qu’un tel service ZTNA peut être délivré dans le Cloud avec de multiples avantages. D’une part, la mise en place est très rapide : des milliers de nouveaux utilisateurs peuvent être connectés via un service Cloud. La crise sanitaire a montré la capacité des fournisseurs de solutions Cloud a faire monter à l’échelle leurs services et cette capacité de monter en charge est tout aussi pertinente dans le fonctionnement normal d’une entreprise, que ce soit pour un changement de prestataire ou encore une fusion/Acquisition qui nécessite d’accorder des accès rapidement à un grand nombre de nouveaux collaborateurs.

 

Rapide à mettre en place, le bon vieux VPN a constitué une bouée de sauvetage pour les entreprises qui ont dû placer beaucoup de leurs collaborateurs en télétravail. Reste désormais à blinder cette infrastructure.

Cette élasticité du Cloud est aussi un bon moyen de se débarrasser une fois pour toutes de la problématique du dimensionnement des boitiers firewall. C’est le prestataire ZTNA qui ajuste la puissance et la bande passante allouée à l’entreprise en fonction du nombre d’utilisateurs pour lesquels l’entreprise a souscrit l’offre.

Du VPN au SD-WAN, il n’y a qu’un pas…

L’utilisation de simples liens Internet sécurisés est une pratique courante pour connecter au système d’information de l’entreprise les collaborateurs nomades ou en télétravail, mais l’approche est de plus en plus utilisée pour faire de l’interconnexion de sites, bien souvent des agences, mais aujourd’hui de bien plus gros site via ce que l’on appelle les réseaux SD-WAN (Software-Defined WAN). La raison est évidente : le coût d’une liaison Internet est bien inférieur à celui d’un lien MPLS dédié. « Cette bataille entre MPLS et le VPN existait déjà à la fin des années 90 » rappelle Pascal Le Digol. « Le MPLS avait alors gagné car les entreprises ont préféré confier la responsabilité du réseau à leur opérateur MPLS. Avec la fibre, les débits offerts par Internet, l’arrivée du SD-WAN et la multiplication des ressources placées dans le Cloud, on arrive à un moment où les entreprises reconsidèrent leur choix du MPLS.

C’est simple retour de balancier vers les VPN. » La balance est en train d’aller du côté des SD-WAN pour des raisons de coût mais aussi car l’environnement applicatif des entreprises évolue à toute vitesse. L’essor des applications SaaS et la migration des ressources informatiques vers le Cloud public rendent obsolète l’approche réseau traditionnelle basée sur des liens MPLS fixes qui contraignent les utilisateurs à transiter par l’accès Internet de l’entreprise pour accéder aux applications Cloud.

Les VPN traditionnels ont une capacité limitée. Cette problématique disparait avec une offre ZTNA dans le Cloud.
— Hector Avalos, Vice-President Versa Networks

Versa Networks figure parmi les nombreux acteurs à miser sur le succès de l’approche SD-WAN, à l’image de VMWare, Fortinet, SilverPeak, Cisco ou encore Palo Alto Networks. Hector Avalos souligne l’intérêt de migrer d’un réseau MPLS vers une architecture SD-WAN : « Actuellement, les réseaux MPLS d’entreprise et les VPN mis en place pour les utilisateurs nomades et l’interconnexion des petits sites distants sont complètement disjoints. Ce que nous proposons, c’est de permettre une interconnexion de réseaux SD-WAN et cette partie Cloud Delivery, l’accès au Cloud. Nous offrons ainsi un portail unique qui permet à l’entreprise de gérer les performances de ses applications, mais aussi l’ensemble des accès nomades. »

De manière générale, ce mouvement vers les réseaux SD-WAN et une sécurité des accès de type Zero-Trust convergent vers une architecture de sécurité plus globale baptisée SASE (Secure Access Service Edge) dans laquelle on retrouve ces briques SD-WAN et ZTNA, mais aussi les Firewall as a Service, la sécurité DNS, le CASB pour sécuriser les contenus Cloud ou encore les passerelles d’accès sécurisées SWG.

Leave a Reply