Le VPN est-il la meilleure solution pour sécuriser les accès distants ?
Alors que toutes les entreprises françaises ont été tenues de se tourner vers le télétravail lors de la période de confinement, le recours au Virtual Private Network s’est largement imposé pour l’accès aux ressources internes critiques. Le marché semble prêt désormais pour aller plus loin et renforcer encore la sécurité des accès distants avec, par exemple, le Zero Trust Network Access ou ZTNA.Le nombre d’attaques par force brute sur le protocole RDP lors de la crise du Covid-19 a dépassé les 11 et 12 mars 2020 en France les 800000 !
L’épisode du confinement a démontré l’extrême dépendance des entreprises à l’ouverture de leur système d’information à l’extérieur. Les entreprises se sont retrouvées dans l’obligation de donner des accès à leurs collaborateurs confinés à domicile et cette ouverture a été parfois périlleuse. Certaines DSI qui ne disposaient pas d’infrastructures VPN ont été tentées d’ouvrir les accès à Windows RDP (Remote Desktop Protocol), un moyen d’accès distant réputé vulnérable car souvent sécurisé par un mot de passe trivial. Les pirates y ont vu une belle opportunité d’accéder au système d’information des entreprises et, de manière quasi mécanique, on a immédiatement assisté à une explosion des attaques sur le protocole RDP avec, dans chaque pays, un pic correspondant plus ou moins au pic de malades Covid-19.
La star incontestée du confinement
Le VPN est naturellement apparu comme une bouée de sauvetage pour bon nombre de DSI et ceux-ci ont déployé à grande échelle des clients VPN, parfois sur des machines non préalablement sécurisées, afin de donner accès à leur système d’information au maximum de collaborateurs. Le VPN devient la norme alors que le télétravail pourrait avoir une part beaucoup plus grande dans les entreprises. Benjamin Leroux, directeur marketing d’Advens, société de services spécialisée en cybersécurité, nous rappelle que « historiquement, le VPN était mis en œuvre par les utilisateurs nomades pour se connecter depuis l’extérieur à des ressources internes de type serveur de fichiers, des applications métier. Si un accès Webmail par exemple est conçu pour y accéder de l’extérieur sans VPN, nous préconisons bien évidemment le VPN dès lors qu’il faut accéder à des ressources internes critiques.»
Pour Mathieu Isaia, chief revenue officer de TheGreenBow, éditeur français d’un client VPN certifié par l’Anssi, l’utilisation d’un VPN est même requise quel que soit le type d’accès distant. « La sécurité apportée par un VPN chiffré est indispensable pour un accès distant dès lors que l’on souhaite garantir que l’on s’adresse bien au serveur souhaité – principe d’authenticité – et que les données qui transitent ne seront ni interceptées – principe de confidentialité –, ni altérées – principe d’intégrité. » Le VPN permet à un collaborateur de se connecter à un réseau distant afin que ce dernier se comporte exactement comme s’il était sur place et de travailler de chez lui dans les mêmes conditions qu’à son bureau : il a accès depuis son terminal distant à toutes les ressources (Intranet, serveur de fichier, applications d’entreprise…) auxquelles il accède depuis son bureau.
Une technologie désormais mature
La technologie du VPN n’a plus rien de véritablement nouveau. Les technologies IPsec et SSL existent depuis plusieurs décennies. Si les clients VPN doivent être régulièrement mis à jour pour intégrer les corrections de vulnérabilités qui restent inévitables, on se souvient notamment de la grande vulnérabilité Heartbleed de la librairie OpenSSL découverte en 2014, ces solutions sont considérées comme matures. IPsec garde la réputation d’être plus sûr que SSL, mais aussi plus contraignante. Mathieu Isaia souligne qu’en termes de sécurité pure, le protocole IPsec est « plus sûr que le protocole SSL; avec l’IPsec les opérations de sécurité sont réalisées au niveau de la couche réseau du modèle TCP alors que pour le SSL celles-ci sont réalisées au-dessus de la couche transport et donc dans l’espace de l’utilisateur. L’Anssi recommande l’utilisation du protocole IPsec plutôt que SSL. » Le responsable balaie la critique relative à la complexité de mise en œuvre d’IPsec. « Les griefs portés sur le protocole IPsec à une époque – difficulté de mise en œuvre ou impossibilité d’utilisation sur certains réseaux – n’existent plus depuis longtemps, les VPN IPsec étant désormais utilisables depuis n’importe quelle localisation et les solutions VPN IPsec étant désormais extrêmement faciles à déployer. » En outre, les ingénieurs précisent que l’implémentation du protocole SSL par les fournisseurs de ce type d’offres aboutit à une dégradation du débit de la communication due à de multiples aller-retour dans les couches de communications, ce qui n’est pas le cas des solutions IPsec.
IPsec ne fonctionne pas partout
Pour Benjamin Leroux, chez Advens, le choix des algorithmes n’est plus tellement un point critique. « Les algorithmes sont aujourd’hui bien connus et les cas d’usages documentés. Le protocole IPsec reste considéré comme plus sécurisé que le SSL car il englobe toutes les couches réseau, mais parfois IPsec ne fonctionne pas lorsque les accès sont filtrés comme dans certains sites publics, dans certains hôtels. »
Alhan Douville, ingénieur avant-vente chez Barracuda Networks, estime que d’installer un client VPN sur un ordinateur non sécurisé reste cependant problématique. « Il est difficile d’imaginer déployer ce client sur le PC personnel du collaborateur qui est, par nature, un poste non sécurisé. » Le constructeur propose une alternative, c’est le site web SSL VPN, une plate-forme web HTTP classique à partir de laquelle l’utilisateur accède à certaines applications de l’entreprise. « C’est une approche très basique mais qui permet néanmoins de donner accès à quelques ressources à ces employés distants. Alors que les terminaux mobiles de type smartphone ou tablettes numériques se sont très largement diffusés dans la population, nous proposons une application qui fonctionne sur ce même principe. L’application mobile CudaLaunch donne accès à certaines ressources de l’entreprise de manière sécurisée et en fonction des autorisations accordées. »
L’approche «Zero Trust» peut-elle enterrer le VPN ?
L’entreprise moderne, ce sont des collaborateurs qui doivent accéder au système d’information où qu’ils se trouvent, mais aussi quel que soit le terminal qu’ils choisissent, or le logiciel client obligatoire reste la limite de l’approche VPN. Dans son communiqué sur les premiers enseignements à tirer de la crise sanitaire du coronavirus, Alain Bouillé, délégué général du Cesin va jusqu’à annoncer la fin prochaine du VPN traditionnel : « De nombreux services étant disponibles dans le Cloud, les salariés se sont naturellement connectés directement à ces services depuis l’accès internet de la maison plutôt que passer par le VPN pour se connecter au réseau de l’entreprise, pour ressortir sur Internet afin d’utiliser ces services. Tant qu’il y aura des ressources IT legacy, le VPN traditionnel va subsister mais le sens de l’histoire est bien une connexion directe vers le Cloud, ce qui ne dispense pas de passer par des proxis et diverses couches de sécurité, elles-mêmes dans le Cloud. »
IPsec ou SSL ? Si IPsec et L2TP sont réputées comme les technologies de VPN les plus sûres, SSL a souvent été considéré comme plus simple à mettre en œuvre. Une idée aujourd’hui battue en brèche par les solutions les plus récentes.
L’alternative à l’approche VPN, c’est le Zero Trust Network Access, ou ZTNA, une approche imaginée en 2010 par John Kindervag, analyste chez Forrester. De nombreux fournisseurs se sont aujourd’hui ralliés à ce modèle avec des services sur le Cloud : Akamai avec Enterprise Application Access, Cisco Duo, Citrix Workspace essentiel et encore Google BeyondCorp Remote Access, Okta Identity Cloud, Palo Alto Networks Prisma Access ou encore Zscaler avec son offre Private Access. Parmi les partenaires de l’Américain, T-Systems. « Leur approche basée sur le Zero Trust Network Access couplée au SD-WAN constituent sans nul doute l’avenir du VPN », estime Sorina Barzea, deal solution manager chez T-Systems. « Cette solution d’accès ne sera plus dépendante de gateways déployées dans le datacenter de l’entreprise, mais complètement portée par le Cloud.» En outre, la porte-parole de T-Systems estime que l’approche Software Defined Perimeter va être plus simple à gérer par les entreprises qui n’auront plus à se livrer à une segmentation réseau complexe, mais procéderont à une segmentation des accès au niveau des applications. Enfin, par nature, l’approche permet de déjouer les attaques de type Man in the Middle. Elle masque les adresses IP de l’entreprise qui ne peut plus être victime d’attaques par déni de service. Elle élimine les attaques visant les VPN pour s’introduire dans les entreprises au moyen de campagnes de phishing et d’hameçonnage.
VPN et ZTNA sont complémentaires
Selon Gartner, 80% des nouvelles applications cloud seront accessibles au travers d’une approche de type ZTNA en 2022. Les analystes estiment même que d’ici à 2023, 60% des entreprises auront démonté leur VPN au profit de ces nouveaux services d’accès typés Zéro Trust, une vision que ne partage absolument pas Mathieu Isaia : «Le battage médiatique lancé par les acteurs du ZTNA qui s’annoncent comme les successeurs du VPN n’a pas lieu d’être. Les sujets sont complémentaires et nous devons aider nos clients à définir leur stratégie de sécurité alliant VPN, sécurité Cloud Security et ZTNA pour répondre aux nouveaux enjeux de sécurité liés à l’évolution de leurs usages.» Alors que les fournisseurs de solutions de cybersécurité poussent de plus en plus le modèle Zero Trust, force est de constater que le VPN a su se montrer indispensable qu’il s’agisse des périodes de grève des transports de décembre 2019 puis de la pandémie du Corona virus. L’annonce de la mort du VPN semble grandement exagérée.
Mathieu Isaia, chief revenue officer de The GreenBow
« Le principe de ne jamais faire confiance, toujours vérifier et monitorer en continu est un concept pertinent pour diminuer les risques liés à l’ouverture des accès distants à l’entreprise. C’est vrai, néanmoins quels que soient les concepts adoptés par la DSI, le VPN reste l’unique moyen d’ouvrir des tunnels sécurisés entre un terminal distant et un réseau d’entreprise. D’ailleurs, comme nous l’avons évoqué, le protocole HTTPS utilisé pour se connecter à une application sur le Cloud n’est rien d’autre qu’un tunnel VPN, mais en moins sécurisé ! »
Didier Schreiber, directeur marketing Europe du Sud de Zscaler
« La technologie du VPN a vécu! Les entreprises les utilisent depuis les années 80 mais celles-ci travaillent de plus en plus dans le Cloud. Les collaborateurs sont de plus en plus en situation de mobilité et le télétravail s’est imposé lors du confinement. Or le VPN n’a pas été conçu pour le Cloud et atteint aujourd’hui ses limites. Lorsque l’entreprise a fait le choix d’appliances physiques, il faut aller sur site et éventuellement les remplacer lorsqu’il faut accroître la capacité de manière significative comme ce fut le cas avec le confinement. Une approche cloud élimine ce type de contrainte puisque tous les éléments de sécurité sont dans nos datacenters. Lors de la crise sanitaire, nous avons constaté 400% d’accroissement de l’activité sur notre offre ZTNA entre février et mai 2020. »
Sorina Barzea, deal solution manager chez T-Systems
« La période fut délicate pour de nombreuses entreprises qui ont dû basculer un maximum de leurs collaborateurs en télétravail. Ce fut le cas pour le groupe Deutsche Telekom et ses 230000 utilisateurs. Des entreprises qui avaient de 5 à 10% de leurs effectifs en télétravail occasionnellement ont eu des problèmes de capacité lorsqu’il a fallu étendre à l’ensemble des effectifs en permanence en mode distant. De même, certains de nos clients n’utilisaient même pas de VPN et ont dû passer en VPN en mode urgent par nos passerelles pour assurer la continuité de leur activité. »
Benjamin Leroux, directeur marketing d’Advens, société de services spécialisée en cybersécurité
« Avec l’essor du Cloud, le collaborateur se connecte tant à des ressources internes qu’à des applications Saas à l’extérieur. Il n’est bien évidemment pas utile de passer par le réseau interne de l’entreprise lorsqu’on veut accéder à une ressource cloud et si cela paraît évident aujourd’hui, tout le monde n’avait pas intégré cette dimension avant la crise. En termes de supervision de la sécurité, cela se traduit par une perte de visibilité sur ce que font les utilisateurs. Il convient de mettre ce SI étendu sous le contrôle du SOC, ce qui pose la problématique des données de log délivrées par les différents fournisseurs de solutions cloud, notamment le délai sous lequel ces données de log sont rendues disponibles. »
Éric Heddeland, vice-président EMEA de la région Sud et des marchés émergents chez Barracuda Networks
« Au moment du confinement, les entreprises ont souhaité connecter leurs collaborateurs et le VPN était leur seule solution. Désormais, ces entreprises cherchent à stabiliser une organisation IT qui permette ce travail à distance dans la durée, avec des outils de sécurité beaucoup plus performants. Leurs collaborateurs en home office doivent se connecter aux ressources sensibles de l’entreprise mais aussi à leurs applications cloud, si bien que les VPN sont devenus critiques. Les entreprises se sont tournées vers nous du fait de cette nouvelle normalité que constitue ce télétravail à large échelle et elles recherchent une approche plus stable et, de plus, sécurisée sur le long terme. »