En 1996, Gurdeep Singh-Pall, ingénieur chez Microsoft développait le protocole de tunnellisation de pair à pair (Peer-to-Peer Tunnelling Protocol, PPTP). L’objectif était d’utiliser les adresses IP pour échanger des paquets réseau et offrir au personnel un moyen sûr et privé de se connecter à l’intranet de l’entreprise. Cet événement a marqué un tournant décisif dans l’avènement de la technologie VPN.

À ses débuts, lorsque le VPN était utilisé dans le cadre du télétravail, la majorité des systèmes et applications résidaient dans le datacenter de l’entreprise. Prenons l’exemple de Microsoft Exchange. Avec cette plateforme, l’utilisateur devait utiliser un client MAPI (Messaging Application Programming Interface) ou RPC (Remote Procedure Call) pour accéder à sa messagerie électronique. Par conséquent, l’utilisateur devait aussi se trouver sur le réseau VPN, à moins que son pare-feu ne présente d’importantes failles de sécurité. Un nouveau protocole de connexion nommé RPC sur HTTPS a ensuite fait son apparition en 2003. Il permettait à un client de se connecter à un serveur Microsoft Exchange via un canal SSL sécurisé sur Internet, éliminant ainsi le besoin d’un VPN et entraînant l’avènement du modèle Outlook Anywhere.

Aujourd’hui, à l’ère du Cloud Computing, les modes d’accès aux applications – de messagerie électronique ou autre – ont encore évolué. Tous les fichiers, applications et autres peuvent être hébergés sur un serveur tiers et accessibles via Internet. Si l’on reprend l’exemple de la messagerie électronique, il n’est plus nécessaire de configurer un serveur Exchange sur le serveur de l’entreprise pour héberger et gérer les e-mails. Il suffit désormais d’utiliser le Cloud via Office 365. En d’autres termes, on assiste à la « webification » de la plupart des applications de productivité.

Face à ce phénomène, certains commencent à remettre en question l’intérêt des VPN. En effet, s’ils ont pu s’avérer utiles pour offrir un accès sécurisé aux données à l’époque où le périmètre réseau était clairement défini, le Cloud Computing et les outils SaaS (Software as a Service) ont considérablement estompé les frontières. Si l’on y ajoute la récente généralisation du télétravail, de nombreux experts n’hésitent plus à enterrer les VPN. On peut toutefois dresser un constat plus nuancé : en réalité, les VPN évoluent, notamment leurs modes d’utilisation et le profil de leurs utilisateurs. Si les VPN dédiés au télétravail n’ont sans doute plus lieu d’être, ils demeurent le meilleur moyen de sécuriser le trafic Internet.

Protection de la liaison entre le Cloud de l’entreprise et les systèmes sur site

L’un des cas d’usage concernés est la connexion entre l’environnement Cloud d’une entreprise et ses systèmes sur site.

Auparavant, les canaux sécurisés créés par les VPN classiques pouvaient être compromis lorsqu’un utilisateur final était ciblé par exemple par une attaque de phishing. L’absence de segmentation du réseau permettait alors aux acteurs malveillants d’accéder à l’infrastructure stratégique. Aujourd’hui, le VPN crée un tunnel sécurisé pour le transfert des données, et celui-ci est intégré avec l’infrastructure Cloud. Le personnel peut ainsi accéder aux données en toute sécurité sans jamais voir son implémentation, tandis que l’entreprise maîtrise avec une grande précision l’accès des utilisateurs.

L’accès aux données et services est restreint selon différents critères : rôle et lieu de travail, type de réseau utilisé, données récupérées, etc. À ce titre, cette forme adaptée de VPN est essentielle pour répondre aux principes d’une architecture Zero Trust. Les entreprises doivent toutefois veiller à ce que le VPN ne se termine jamais au cœur du datacenter, une telle démarche revenant à accorder une confiance excessive au point d’origine.

Sécurisation des sessions d’administration à distance

Que ce soit pour permettre à un salarié d’utiliser les programmes installés sur son ordinateur au bureau ou au support informatique d’intervenir et de résoudre des problèmes techniques, les sessions d’administration à distance sont indispensables, encore plus cette année. Malheureusement, elles créent des risques considérables lorsqu’elles ne sont pas sécurisées de manière adéquate et que des ports sont laissés à découvert. Les pirates bénéficient alors d’un moyen simple de contrôler un appareil sans restriction : souris, clavier et tout ce qui s’affiche à l’écran.

Il est donc essentiel d’utiliser un VPN pour protéger ces sessions. Plus important encore, celui-ci doit s’accompagner d’une authentification forte. Comme indiqué précédemment, l’implication d’un salarié dans le déploiement d’un VPN engendre des risques de sécurité. Il suffit d’un clic malencontreux sur un lien de phishing invitant un utilisateur peu méfiant à partager ses identifiants. Une fois ceux-ci capturés par un acteur malveillant, celui-ci ne tardera pas à se connecter au VPN et au réseau en général. Une authentification à plusieurs facteurs est donc essentielle. Même en cas de compromission d’identifiants, les cybercriminels auront du mal à surmonter un deuxième contrôle de sécurité, quelle que soit sa forme (mot de passe unique et à durée de validité limitée envoyé sur un autre appareil ou système d’identification biométrique). Avant toute chose, les identifiants par défaut doivent immédiatement être remplacés. Si la mesure peut paraître évidente, les négligences en la matière sont malheureusement légion, et les cybercriminels en profitent régulièrement.

Outre une authentification forte, les entreprises doivent procéder à des analyses comportementales, ce qui nous amène au troisième cas d’usage.

Le VPN grand public

La popularité des VPN a explosé hors de la sphère professionnelle pour s’inviter dans le quotidien, le grand public prenant progressivement conscience des risques liés à l’utilisation de réseaux non sécurisés. Avec un VPN, les utilisateurs peuvent chiffrer leur trafic et le sécuriser sur les segments non protégés, lors du transfert de paquets de données d’un routeur vers un autre point du réseau. Ce système offre notamment une protection contre les attaques Wi-Fi de type Evil Twin, dans lesquelles un point d’accès Wi-Fi frauduleux est manipulé pour surveiller le trafic des utilisateurs. Il permet donc de réaliser diverses tâches en toute sécurité, comme accéder à son compte en banque dans un lieu public.

En ce qui concerne les entreprises, les équipes de sécurité doivent garder un œil sur le comportement des utilisateurs pendant les sessions VPN. Si une authentification forte est importante, elle ne permet pas de repérer les éventuelles utilisations frauduleuses d’identifiants ou les risques de menace interne. En mettant en place une surveillance, les entreprises peuvent détecter les comportements suspects et prendre des mesures préventives pour limiter les dommages. Ces audits permettent de renforcer la protection de la propriété intellectuelle et des activités générales de l’entreprise.

Le VPN demeure donc utile à bien des titres. Il peut aider les entreprises à protéger les mouvements de données entre les systèmes sur site et le Cloud, il sécurise les sessions d’administration à distance et il permet au grand public de chiffrer son trafic Internet, quel que soit le réseau Wi-Fi utilisé pour se connecter. L’efficacité d’un VPN dépend toutefois de trois facteurs essentiels. Premièrement, le VPN ne doit jamais se terminer dans un datacenter. Deuxièmement, il convient d’utiliser une authentification forte et d’effectuer une analyse des comportements. Enfin, il faut s’assurer de la bonne configuration des VPN d’administration et partir du principe que tout utilisateur représente une menace potentielle, qu’il détienne des clés de chiffrement ou non. Dans ce domaine, le scepticisme constitue la ligne de défense la plus efficace.
___________________

Par Hicham Bouali, Directeur Avant-Ventes EMEA de One Identity