Ces dernières années, en tant qu’expert de la cybersécurité, j’ai pu observer une multitude d’architectures IT et j’ai été consulté pour des décisions relatives aux politiques de sécurité et leurs mises en place. La pratique la plus courante est l’installation d’un logiciel VPN sur l’ordinateur personnel d’un employé pour un accès à distance. Or, en termes simples, BYOD et VPN ne devraient jamais se mélanger ou coexister. Aujourd’hui, avec la mise en place du télétravail à grande échelle afin de respecter la distanciation sociale et aider à atténuer la menace que représente le Coronavirus pour la santé, les défauts de cette pratique sont multipliés de façon exponentielle.

Risques et défis des VPN

Alors que nous sommes dans une période de risque sociétal élevé, l’ajout d’un risque en cybersécurité ne ferait qu’aggraver notre incapacité potentielle à fonctionner. Même dans une période plus prospère et plus stable, donner un accès VPN aux employés utilisant des ordinateurs personnels représenterait un risque inacceptable. Voici quelques raisons à cela :

  • Les utilisateurs sont généralement administrateurs de leurs ordinateurs personnels. Par conséquent, ces derniers sont des sujets sensibles aux logiciels malveillants lorsqu’ils effectuent des opérations même classiques (mails, navigation internet, etc.). La plupart des logiciels malveillants nécessitent des privilèges pour s’exécuter et s’installer et, lorsqu’un compte est exploité, le malware obtient alors l’accès aux privilèges et à l’accès de ce compte. De plus, les vieux ordinateurs personnels, sont souvent dotés d’anciens systèmes moins efficaces pour se défendre contre les logiciels malveillants et sans support donc potentiellement sans correctifs de leurs vulnérabilités.
  • Dans les cas où un ordinateur personnel est utilisé par différents membres d’une famille, il existe très peu de mesures pour empêcher une infection ou le mauvais jugement d’un individu, même lorsque chaque personne a son propre compte utilisateur. Les systèmes Windows disposent d’une fonction appelée « changement rapide d’utilisateur » qui offre la possibilité de se connecter à un autre compte tout en gardant son compte ouvert. La session connectée au VPN de l’entreprise peut ainsi être attaquée au travers d’une session non connectée au VPN.
  • Les organisations n’ont généralement pas l’autorité nécessaire pour gérer l’ordinateur personnel d’un employé. Si l’utilisateur final le permet, ainsi que la législation du pays, les solutions NAC (Network Access Control) peuvent valider les versions des signatures des antivirus et autres caractéristiques de base du matériel. Cependant, les solutions NAC ne peuvent toujours pas inventorier un ordinateur domestique afin de s’assurer qu’il soit protégé et entretenu comme un bien de l’entreprise. Il se peut qu’il n’y ait pas d’agent local compatible pour fournir ces détails à distance. La présence de ces lacunes peut exposer l’entreprise à des fuites de données provenant d’enregistreurs de frappe et de captures d’écran des logiciels malveillants.
  • Les solutions VPN d’entreprise intègrent généralement un certificat dans le profil VPN pour valider la connexion. Ceci est indépendant de l’authentification que l’utilisateur doit fournir par le biais de ses identifiants. Un hôte mal entretenu permet à un acteur malveillant d’initier facilement ses propres connexions, de voler les certificats, de détourner les sessions utilisées par les employés distants utilisant leurs ordinateurs personnels… Si on ne peut pas sécuriser l’hôte, comment sécuriser le logiciel de connexion qu’il exécute ? C’est impossible.
  • Les ordinateurs personnels ne disposent généralement que d’un antivirus et d’un logiciel de pare-feu de base et n’ont pas de solutions EDR (endpoint, detection, and response), EPM (endpoint privilege management), ni de solutions de gestion des vulnérabilités ou des patchs. De plus, les ordinateurs domestiques fonctionnent généralement comme des postes de travail indépendants, sans surveillance de la part des professionnels de la sécurité pour réagir en cas de problème.
  • La technologie VPN est fortement dépendante de la largeur de la bande passante externe à l’environnement, des liaisons des réseaux internes connectant le VPN au réseau, et de la segmentation du réseau pour isoler les connexions externes des ressources sensibles. La plupart des VPN, même avec des appareils mobiles fournis par l’entreprise, ne sont pas dimensionnés pour prendre en charge de grandes quantités d’utilisateurs agissant tous simultanément dans un même environnement. En plus de créer des failles de sécurité dans l’environnement de l’entreprise, le passage aux VPN en masse peut entraîner de graves problèmes de performance du réseau.

Certaines organisations reconnaissent les risques des VPN mais tentent néanmoins de les faire fonctionner grâce à des solutions de contournement complexes (avec des environnements VDI, des proxys, etc.). Si cette approche permet parfois aux organisations d’atténuer efficacement les risques liés aux VPN, elle n’est généralement pas rentable d’un point de vue ressources humaines et assets. Je suis convaincu que les entreprises devraient reconsidérer les risques des VPN sur les biens domestiques et envisager des solutions moins risquées et plus évolutives pour étendre l’accès à distance aux télétravailleurs. L’idéal est de fournir des assets appartenant à l’entreprise (renforcés et gérés pour fournir un accès à distance sécurisé) et d’acquérir une solution d’accès à distance moderne et architecturée ne nécessitant pas un environnement complexe pour assurer une connectivité sécurisée. De par les technologies d’accès à distance actuellement disponibles sur le marché pour les entreprises, il n’y a aucune excuse et probablement aucun avantage justifiable pour encore déployer des VPN.
___________________

Par William Culbert, Directeur EMEA Sud de BeyondTrust