Sécurité des VPN : comment les VPN contribuent à sécuriser les données et à contrôler les accès

Un réseau privé virtuel (VPN) peut vous aider à protéger les données et à gérer l'accès des utilisateurs, mais il existe des alternatives aux VPN.

Share facebook icon linkedin icon twitter icon email icon

Sécurité des VPN

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Découvrez comment un réseau privé virtuel (VPN) permet de renforcer la sécurité
  • Découvrez les inconvénients du recours aux VPN pour contrôler les accès
  • Découvrez les alternatives aux VPN

Les VPN apportent-ils une sécurité efficace aux entreprises ?

Un réseau privé virtuel (VPN) est un service de sécurité sur Internet qui permet aux utilisateurs d'accéder à Internet comme s'ils étaient connectés à un réseau privé. Les VPN utilisent le chiffrement pour créer une connexion sécurisée sur une infrastructure Internet non sécurisée.

Les VPN sont une solution possible pour protéger les données des entreprises et gérer l'accès des utilisateurs à ces données. Les VPN protègent les données lorsque les utilisateurs interagissent avec les applications et les propriétés web sur Internet, et ils peuvent dissimuler certaines ressources. Ils sont généralement utilisés pour contrôler les accès, cependant, d'autres solutions de gestion des identités et des accès (IAM) peuvent également permettre de gérer efficacement les accès des utilisateurs.

Comment les VPN permettent-ils de sécuriser les données ?

Le chiffrement consiste à brouiller les données afin que seules les parties autorisées puissent les lire. Il prend des données lisibles et les modifie de manière à ce qu'elles semblent aléatoires pour les pirates ou toute autre personne qui les intercepte. Ainsi, le chiffrement est comparable à un « code secret ».

Les VPN permettent d'établir des connexions chiffrées entre les appareils. (Les VPN recourent souvent aux protocoles de chiffrement IPsec ou SSL/TLS.) Tous les appareils qui se connectent au VPN définissent des clés de chiffrement, et ces clés permettent de coder et de décoder toutes les informations qu'ils échangent. Cette opération peut accroître légèrement la latence des connexions réseau, ce qui ralentit le trafic (en savoir plus sur les performances des VPN).

Ce chiffrement fait que les connexions VPN demeurent privées même si elles s'étendent sur l'infrastructure Internet publique. Imaginons qu'Alice travaille depuis chez elle, et qu'elle se connecte au VPN de son entreprise pour pouvoir accéder à une base de données de l'entreprise sauvegardée dans un serveur situé à 160 km de là. Supposons que toutes ses requêtes adressées à la base de données, ainsi que les réponses de la base de données, transitent par un point d’échange Internet (IXP) intermédiaire. Imaginons maintenant qu'un criminel ait secrètement infiltré cet IXP et surveille toutes les données qui y transitent (un peu comme la mise sur écoute d'une ligne téléphonique). Les données d'Alice sont toujours sécurisées grâce au VPN. Le criminel ne peut voir que la version chiffrée des données.

Comment les VPN facilitent-ils le contrôle des accès ?

Imaginons qu'il y ait deux serveurs dans les locaux de l'entreprise Acme : le serveur A et le serveur B. Acme n'utilise pas de connexion WiFi, donc tous les appareils doivent employer des câbles Ethernet pour accéder au réseau. Le serveur A est connecté physiquement par des câbles et des routeurs à un réseau d'appareils qui comprend des ordinateurs de bureau et l'imprimante du bureau.

Toute personne qui n'est pas connectée physiquement au réseau du serveur A ne peut pas se connecter au serveur A, et il en va de même pour le serveur B. Si Bob veut imprimer un document enregistré sur le serveur A avec l'imprimante du bureau, il doit brancher son ordinateur au bon réseau avant de pouvoir accéder au serveur A et à l'imprimante. S'il veut récupérer un document sur le serveur B, il doit également se connecter à ce réseau.

Le fonctionnement des VPN est comparable, sauf que le réseau est virtuel au lieu d'être physique. Tout comme Bob ne peut pas se connecter au serveur A sans se brancher au réseau, les ordinateurs ne peuvent pas se connecter à une ressource protégée par un VPN sans se connecter à ce VPN. Si Acme utilisait une connexion WiFi et des VPN au lieu de câbles et de routeurs physiques, Bob devrait se connecter au VPN A afin de se connecter au serveur A. De même, il devrait se connecter au VPN B pour accéder au serveur B.

La manière dont fonctionnent les VPN fait que de nombreuses entreprises les utilisent pour contrôler les accès, en d'autres termes, pour contrôler quels utilisateurs ont accès à quelles ressources. L'entreprise installe plusieurs VPN différents, et chaque VPN se connecte à différentes ressources internes. En associant les utilisateurs à ces VPN, différents utilisateurs peuvent avoir différents niveaux d'accès aux données.

Le contrôle et la gestion des accès sont indispensables pour protéger et sécuriser les données des entreprises. En l'absence de contrôle des accès, les utilisateurs sans autorisation peuvent consulter ou modifier des données confidentielles, ce qui peut entraîner une fuite de données .

Quels sont les inconvénients liés à l'utilisation de VPN pour contrôler les accès ?

1. Point faible unique.

Les pirates ne peuvent pas surveiller le trafic chiffré du VPN depuis l'extérieur du VPN. Toutefois, s'ils réussissent à se connecter au VPN, ils ont accès à toutes les ressources connectées à ce réseau. Il suffit qu'un seul compte ou qu'un seul appareil soit piraté pour pouvoir accéder aux données protégées par un VPN.

Cette situation est souvent présentée comme le modèle du « château et de ses douves ». Imaginez un château protégé par des douves. Toute attaque visant le château sera bloquée par les douves, mais une fois que l'ennemi les aura traversées, le château tout entier sera en danger. Dans le cas de l'utilisation d'un VPN comme solution de sécurité, les comptes VPN des utilisateurs internes constituent les « douves ». Si un pirate vole les identifiants de connexion d'un utilisateur, il peut s'introduire dans dans le VPN, et donc « traverser les douves » pour accéder à toutes les données connectées.

La sécurité « Zero trust » est un dispositif de contrôle des accès visant à remplacer la méthode du château et des douves par une stratégie plus fiable qui ne fait confiance à aucun utilisateur par défaut. En savoir plus sur la sécurité Zero Trust.

2. La gestion des VPN est complexe.

Il est difficile de gérer l'utilisation de plusieurs VPN à grande échelle. Au sein des grandes entreprises, le nombre d'utilisateurs différents nécessitant tellement de types d'accès différents est tel que les services informatiques sont contraints soit 1) de mettre en place et de gérer plusieurs VPN, soit 2) de demander aux utilisateurs de se connecter à plusieurs VPN à la fois, ce qui est peu pratique et peut avoir un impact négatif sur les performances des appareils et du réseau.

3. Les VPN n'offrent pas un contrôle précis.

Les VPN sont efficaces pour permettre à un grand nombre d'utilisateurs de bénéficier d'un accès simultané. Cependant, dans la pratique, les services informatiques doivent souvent personnaliser les autorisations en fonction de chaque utilisateur : un employé doit accéder à la base de code, un autre doit accéder à la base de code et au système de gestion de contenu (CMS), un autre doit accéder à ces deux éléments ainsi qu'à la plate-forme d'automatisation du marketing, un autre encore n'a besoin que du CMS, etc.

Il est peu aisé de mettre en place un VPN pour chaque employé : le coût est prohibitif, les performances sont lentes et cela demande beaucoup de travail. La gestion de l'accès au niveau individuel nécessite une approche différente, plus spécifique.

Existe-t-il des alternatives aux VPN permettant aux employés de travailler à distance ?

Les VPN étant virtuels, ils sont souvent utilisés pour autoriser les employés travaillant à distance à accéder aux ressources de l'entreprise dont ils ont besoin. Toutefois, cela se traduit souvent pour les entreprises par un ou plusieurs des problèmes décrits ci-dessus.

De nombreuses solutions de gestion des identités et des accès (IAM) offrent un contrôle plus précis et plus facile à mettre en place. Cloudflare Access est par exemple facile à mettre en place et est conçu pour renforcer la sécurité sans réduire les performances. Cloudflare Access permet de sécuriser l'accès aux applications internes sans VPN. Contrairement à un VPN, le réseau mondial de Cloudflare protège les ressources et les données internes.

Les passerelles de sécurité Web peut également aider à sécuriser l'accès des employés travaillant à distance en filtrant les contenus à risque et en empêchant les données de quitter les réseaux contrôlés par l'entreprise. Enfin, la mise en place d'un périmètre défini par logiciel (SDP) permet de rendre l'infrastructure interne et les données invisibles pour tous les utilisateurs sans autorisation.

En savoir plus sur la sécurisation du télétravail.