Un réseau privé virtuel (VPN) peut vous aider à protéger les données et à gérer l'accès des utilisateurs, mais il existe des alternatives aux VPN.
Cet article s'articule autour des points suivants :
Contenu associé
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Un réseau privé virtuel (VPN) est un service de sécurité sur Internet qui permet aux utilisateurs d'accéder à Internet comme s'ils étaient connectés à un réseau privé. Les VPN utilisent le chiffrement pour créer une connexion sécurisée sur une infrastructure Internet non sécurisée.
Les VPN sont une solution possible pour protéger les données des entreprises et gérer l'accès des utilisateurs à ces données. Les VPN protègent les données lorsque les utilisateurs interagissent avec les applications et les propriétés web sur Internet, et ils peuvent dissimuler certaines ressources. Ils sont généralement utilisés pour contrôler les accès, cependant, d'autres solutions de gestion des identités et des accès (IAM) peuvent également permettre de gérer efficacement les accès des utilisateurs.
Le chiffrement consiste à brouiller les données afin que seules les parties autorisées puissent les lire. Il prend des données lisibles et les modifie de manière à ce qu'elles semblent aléatoires pour les pirates ou toute autre personne qui les intercepte. Ainsi, le chiffrement est comparable à un « code secret ».
Les VPN permettent d'établir des connexions chiffrées entre les appareils. (Les VPN recourent souvent aux protocoles de chiffrement IPsec ou SSL/TLS.) Tous les appareils qui se connectent au VPN définissent des clés de chiffrement permettant de coder et de décoder toutes les informations qu'ils échangent. Cette opération peut accroître légèrement la latence des connexions réseau, entraînant un ralentissement du trafic (en savoir plus sur les performances des VPN).
Grâce à ce chiffrement, les connexions au VPN demeurent privées, même si elles s'étendent à l'infrastructure de l'Internet public. Imaginons qu'Alice travaille depuis son domicile, et qu'elle se connecte au VPN de son entreprise pour pouvoir accéder à une base de données de l'entreprise stockée sur un serveur distant de 160 km. Supposons que toutes les requêtes transmises à la base de données, ainsi que les réponses de la base de données, transitent par un point d'échange Internet (Internet Exchange Point, IXP) intermédiaire. Imaginons maintenant qu'un acteur malveillant ait secrètement infiltré cet IXP et surveille toutes les données qui transitent sur celui-ci (de manière comparable à la mise sur écoute d'une ligne téléphonique). Les données d'Alice sont toujours sécurisées grâce au VPN. Tout ce que peut voir l'acteur malveillant est les données chiffrées.
Imaginons qu'il y ait deux serveurs dans les locaux de l'entreprise Acme : le serveur A et le serveur B. Acme n'utilise pas de connexion WiFi, donc tous les appareils doivent employer des câbles Ethernet pour accéder au réseau. Le serveur A est connecté physiquement par des câbles et des routeurs à un réseau d'appareils qui comprend des ordinateurs de bureau et l'imprimante du bureau.
Toute personne qui n'est pas connectée physiquement au réseau du serveur A ne peut pas se connecter au serveur A, et il en va de même pour le serveur B. Si Bob veut imprimer un document enregistré sur le serveur A avec l'imprimante du bureau, il doit brancher son ordinateur au bon réseau avant de pouvoir accéder au serveur A et à l'imprimante. S'il veut récupérer un document sur le serveur B, il doit également se connecter à ce réseau.
Le fonctionnement des VPN est comparable, sauf que le réseau est virtuel au lieu d'être physique. Tout comme Bob ne peut pas se connecter au serveur A sans se brancher au réseau, les ordinateurs ne peuvent pas se connecter à une ressource protégée par un VPN sans se connecter à ce VPN. Si Acme utilisait une connexion WiFi et des VPN au lieu de câbles et de routeurs physiques, Bob devrait se connecter au VPN A afin de se connecter au serveur A. De même, il devrait se connecter au VPN B pour accéder au serveur B.
La manière dont fonctionnent les VPN fait que de nombreuses entreprises les utilisent pour contrôler les accès, en d'autres termes, pour contrôler quels utilisateurs ont accès à quelles ressources. L'entreprise installe plusieurs VPN différents, et chaque VPN se connecte à différentes ressources internes. En associant les utilisateurs à ces VPN, différents utilisateurs peuvent avoir différents niveaux d'accès aux données.
Le contrôle et la gestion des accès sont indispensables pour protéger et sécuriser les données des entreprises. En l'absence de contrôle des accès, les utilisateurs sans autorisation peuvent consulter ou modifier des données confidentielles, ce qui peut entraîner une fuite de données .
1. Point faible unique.
Les pirates ne peuvent pas surveiller le trafic chiffré du VPN depuis l'extérieur du VPN. Toutefois, s'ils réussissent à se connecter au VPN, ils ont accès à toutes les ressources connectées à ce réseau. Il suffit qu'un seul compte ou qu'un seul appareil soit piraté pour pouvoir accéder aux données protégées par un VPN.
Cette situation est souvent présentée comme le modèle du « château et de ses douves ». Imaginez un château protégé par des douves. Toute attaque visant le château sera bloquée par les douves, mais une fois que l'ennemi les aura traversées, le château tout entier sera en danger. Dans le cas de l'utilisation d'un VPN comme solution de sécurité, les comptes VPN des utilisateurs internes constituent les « douves ». Si un attaquant vole les identifiants de connexion d'un utilisateur, il peut s'introduire dans dans le VPN, et donc « traverser les douves » pour accéder à toutes les données connectées.
La sécurité « Zero trust » est un dispositif de contrôle des accès visant à remplacer la méthode du château et des douves par une stratégie plus fiable qui ne fait confiance à aucun utilisateur par défaut. En savoir plus sur la sécurité Zero Trust.
2. La gestion des VPN est complexe.
Il est difficile de gérer l'utilisation de plusieurs VPN à grande échelle. Au sein des grandes entreprises, le nombre d'utilisateurs différents nécessitant tellement de types d'accès différents est tel que les services informatiques sont contraints soit 1) de mettre en place et de gérer plusieurs VPN, soit 2) de demander aux utilisateurs de se connecter à plusieurs VPN à la fois, ce qui est peu pratique et peut avoir un impact négatif sur les performances des appareils et du réseau.
3. Les VPN n'offrent pas un contrôle précis.
Les VPN sont efficaces pour permettre à un grand nombre d'utilisateurs de bénéficier d'un accès simultané. Cependant, dans la pratique, les services informatiques doivent souvent personnaliser les autorisations en fonction de chaque utilisateur : un employé doit accéder à la base de code, un autre doit accéder à la base de code et au système de gestion de contenu (CMS), un autre doit accéder à ces deux éléments ainsi qu'à la plate-forme d'automatisation du marketing, un autre encore n'a besoin que du CMS, etc.
Il est peu aisé de mettre en place un VPN pour chaque employé : le coût est prohibitif, les performances sont lentes et cela demande beaucoup de travail. La gestion de l'accès au niveau individuel nécessite une approche différente, plus spécifique.
Les VPN étant virtuels, ils sont souvent utilisés pour autoriser les employés travaillant à distance à accéder aux ressources de l'entreprise dont ils ont besoin. Toutefois, cela se traduit souvent pour les entreprises par un ou plusieurs des problèmes décrits ci-dessus.
De nombreuses solutions de gestion des identités et des accès (Identity and Access Management, IAM) offrent un contrôle plus précis et plus facile à mettre en œuvre. Cloudflare Zero Trust, par exemple, offre une solution facile à déployer, conçue pour renforcer la sécurité sans grever les performances. Cloudflare Zero Trust permet de sécuriser l'accès aux applications internes sans recourir à un VPN. Contrairement à un VPN, le réseau mondial de Cloudflare protège les ressources et les données internes.
Les passerelles de sécurité Web peut également aider à sécuriser l'accès des employés travaillant à distance en filtrant les contenus à risque et en empêchant les données de quitter les réseaux contrôlés par l'entreprise. Enfin, la mise en place d'un périmètre défini par logiciel (SDP) permet de rendre l'infrastructure interne et les données invisibles pour tous les utilisateurs sans autorisation.