Technologie

Télétravail et cybersécurité : le VPN est-il suffisant ?

Qu’il s’agisse de la technologie SSL ou de la technologie IPSec, le VPN a sauvé de nombreuses entreprises qui ont dû mettre de nombreux employés en déplacement à distance en mars 2020. La technologie est relativement simple à mettre en œuvre et a permis de protéger le réseau. Des centaines et parfois des milliers d’employés d’accès à distance. Comme tous les fournisseurs de sécurité, WatchGuard a fait face à un afflux de demandes sans précédent au début de son premier verrouillage. « Les clients ont été très enthousiastes à l’idée d’augmenter le nombre de VPN ouverts dans le pare-feu », explique Pascal Le Digor, Country Manager France chez WatchGuard. « Depuis une dizaine d’années, nous n’avons pas limité le nombre de VPN en fonction du nombre de licences. La limite maximale est déterminée par la puissance du boîtier. Par conséquent, les clients peuvent ajouter de nouvelles connexions ou ajouter des pare-feu virtuels. Je voulais pour mettre à niveau la boîte pour y faire face.

Le VPN est désormais une approche mature, avec deux technologies implémentant globalement IPSec et SSL. Le protocole IPSec, considéré comme le plus sécurisé, offre un très haut niveau de sécurité en cryptant chaque paquet de données. Il présente également l’inconvénient qu’il s’agit d’un protocole particulier qui peut ne pas être disponible dans certains hôtels car le pare-feu n’est pas configuré pour le permettre. Cela présente l’avantage que SSL utilise le même port 443 que HTTPS. C’est un protocole qui passe partout. C’est pourquoi tant de clients préfèrent SSL. SSL utilise un logiciel client léger, facile à déployer et à faible charge machine.

De plus en plus d’entreprises misent sur l’approche SD-WAN, remplaçant les réseaux MPLS traditionnels par de simples liens internet protégés par des briques de sécurité dans le cloud.

Pour Pascal Le Digol, le VPN a peu d’impact sur les communications unifiées, sauf lors de la phase d’authentification avant l’établissement de la communication. Pour les machines, les VPN ne posent plus ce type de problème.”

Le VPN, une solution fiable, mais pas d’erreur

Un VPN est une solution d’accès à distance qui fonctionne bien, mais il doit également être utilisé avec prudence. Pour les professionnels, les VPN ne peuvent être déployés à grande échelle que s’ils sont habillés de précautions et mettent en œuvre un ensemble de bonnes pratiques, notamment de la part de l’utilisateur. « Ne déployez pas de VPN sur une machine personnelle qui n’était pas auparavant protégée par l’entreprise. Rien ne garantit que la machine personnelle du collaborateur ne porte pas encore le malware très dangereux. De même, un simple login/mot de passe ne suffit pas pour protéger efficacement les accès. Le déploiement de MFA (Multi-Factor Access) pour l’accès VPN est absolument essentiel. “”

Avec l’introduction des VPN, les PME ont tendance à oublier les problèmes de sécurité. Cependant, les VPN sont des maillons faibles et sont souvent exploités par des attaquants.

–Pascal Le Digol, Country Manager France WatchGuard

« C’est une évolution que les PME doivent suivre aujourd’hui, et nous faisons beaucoup de sensibilisation auprès d’elles pour les aider dans ce sens. Beaucoup d’entre elles mettent en place du télétravail en cas de sinistre. Et ces accès distants sont des maillons faibles qui sont très souvent exploités par les attaquants aujourd’hui. » De nombreuses petites entreprises qui ont mis en place un VPN au début d’une crise sanitaire n’ont plus touché au VPN depuis, et de nombreuses Entreprises estiment que leurs niveaux de sécurité ont clairement baissé depuis la crise et que les solutions temporaires déployées dans les urgences doivent être renforcées.

Zero Trust, l’avenir du VPN

Les experts en cybersécurité s’accordent sur une architecture qui hérite du VPN. Cela s’appelle ZTNA et est un acronyme pour Zero Trust Network Access. « Le concept ZTNA change la façon dont nous construisons ces VPN pour les utilisateurs mobiles », a déclaré Hector Avalos, vice-président des ventes pour l’Europe, le Moyen-Orient, l’Afrique et la Russie chez Versa Networks. “Bien sûr, l’utilisateur doit être authentifié et l’échange doit être crypté, mais d’un point de vue sécurité, le plus important est que l’utilisateur n’ait accès à rien par défaut. Ce sont les utilisateurs et leurs appareils. Une règle supplémentaire qui permet d’identifier et surtout de savoir si son ordinateur portable dispose de la dernière version de l’antivirus de l’entreprise. Ensuite, assurez-vous d’avoir un accès à distance à l’application à laquelle vous souhaitez accéder. . “”

« À ce stade, nous effectuerons une micro-segmentation de l’application qui accorde cet accès. Les spécialistes soulignent que de tels services ZTNA peuvent être fournis dans le cloud avec de multiples avantages. D’une part, la configuration est très élevée. Rapide à . Des milliers de nouveaux utilisateurs peuvent se connecter via les services cloud. La crise sanitaire montre la capacité des fournisseurs de solutions cloud à faire évoluer leurs services, et cette capacité de mise à l’échelle, qu’il s’agisse d’un changement de fournisseur ou non. Qu’il s’agisse d’une nouvelle fusion ou acquisition qui nécessite accès rapide, il est tout aussi pertinent pour le fonctionnement normal de l’entreprise, pour un grand nombre de nouvelles embauches.

Un bon vieux VPN facile à configurer a été la pierre angulaire d’une entreprise qui a dû amener de nombreux employés à travailler à domicile. Actuellement, il existe encore une protection pour cette infrastructure.

Cette résilience du cloud est également un bon moyen d’éliminer complètement les problèmes de dimensionnement des boîtes de pare-feu. C’est le fournisseur de service ZTNA qui ajuste la puissance et la bande passante allouée à l’entreprise en fonction du nombre d’utilisateurs que l’entreprise souscrit à l’offre.

Du VPN au SD-WAN, il n’y a qu’un pas…

S’il est courant d’utiliser des liens internet simples et sécurisés pour connecter les nomades et les télétravailleurs au système d’information d’une entreprise, cette approche est de plus en plus utilisée pour interconnecter des sites. .. Réseau (WAN défini par logiciel). La raison est claire. Le coût de la connexion Internet est bien inférieur au coût d’une liaison MPLS dédiée. « Cette bataille entre MPLS et VPN existait déjà à la fin des années 90, rappelle Pascal Le Digol. “A cette époque, le MPLS a gagné, car les entreprises ont préféré déléguer la responsabilité du réseau aux opérateurs MPLS. La fibre, le débit offert par Internet, l’avènement du SD-WAN, placé dans le cloud. Avec la prolifération des ressources, il est temps pour les entreprises de repenser les choix MPLS.

“Ceci est un simple retour sur VPN. Du côté du SD-WAN, non seulement pour des raisons de coût, mais aussi parce que l’environnement des applications d’entreprise évolue rapidement, l’échelle augmente. L’essor des applications SaaS. Et la migration de l’informatique ressources vers le cloud public a aboli l’approche réseau traditionnelle basée sur des liaisons MPLS fixes et oblige les utilisateurs à accéder aux applications cloud via un accès Internet d’entreprise.

Les VPN traditionnels ont une capacité limitée. Ce problème est résolu avec une offre ZTNA dans le cloud.

–Hector Avalos, vice-président de Versa Networks

Versa Networks est l’un des nombreux acteurs pariant sur le succès de l’approche SD-WAN, notamment VMWare, Fortinet, SilverPeak, Cisco et Palo Alto Networks. Hector Avalos souligne l’intérêt de migrer des réseaux MPLS vers l’architecture SD-WAN. “Actuellement, l’interconnexion entre les réseaux MPLS d’entreprise, les VPN configurés pour les utilisateurs mobiles et les petits sites distants est complètement séparée. Nous proposons un réseau SD-WAN et cette livraison cloud. Interconnexion partielle, ou permettant l’accès au cloud, fournissant ainsi un portail qui permet aux entreprises de gérer les accès pour tous les nomades, et pas seulement les performances applicatives. »

De manière générale, cette évolution vers les réseaux SD-WAN et la sécurité d’accès de type zero trust converge vers une architecture de sécurité plus globale appelée SASE (Secure Access Service Edge). Dans cette architecture, vous trouverez ces briques SD-WAN et ZTNA, mais les pare-feu sont également une passerelle d’accès sécurisée pour les services, la sécurité DNS, le CASB pour la protection du contenu cloud et même le SWG.



Télétravail et cybersécurité : le VPN est-il suffisant ?

Source link Télétravail et cybersécurité : le VPN est-il suffisant ?

Back to top button