Télétravail rime avec VPN : Mais est-ce suffisant ?

Focus sur les solutions pour sécuriser le télétravail : le VPN

mercredi 18 mars

Télétravail rime avec VPN : Mais est-ce suffisant ?

Les récents événements liés au Coronavirus ont poussé les entreprises à inciter leurs salariés au télétravail. C’est alors posé la question importante d’ouvrir les accès depuis l’extérieur aux applications de l’entreprise :

Focus sur les solutions pour sécuriser le télétravail : le VPN - NXO

Comment assurer la sécurité des données ?

Dans ce contexte, les VPN font figure de solutions clés pour sécuriser les connexions des employés à domicile vers les systèmes d’information de l’entreprise. Mais pour fonctionner correctement et jouer pleinement leur rôle de protection des applications d’entreprise, ils devront être correctement déployés et configurés. Evidemment, il faudra d’abord prévoir le nombre de licences nécessaire pour permettre aux salariés de se connecter.

Pour contacter NXO Suivez ce lien

Définition du VPN

Le VPN (Virtual Private Network) est un type de solution de sécurité qui repose sur la création d’un tunnel privé qui n’est accessible qu’à des utilisateurs autorisés. Pour y accéder, il faut donc disposer d’une clé d’authentification partagée à l’avance ou qui est gérée automatiquement par les protocoles vpn. Les données vont ainsi transiter via un serveur VPN (ou serveur d’accès distant) qui va interroger les éléments demandés pour renvoyer le résultat chiffré. Le client VPN (installé sur l’ordinateur) va lui déchiffrer ces informations.

Plusieurs protocoles d’encapsulation (tunneling) peuvent être utilisés : L2F, PPTP, L2TP, IPSec, SSL… Il est important de savoir que le VPN n’est pas un réseau physique en lui-même mais passe par le réseau Internet classique en créant un « tunnel » sécurisé à l’intérieur.

Enfin pour y accéder, les utilisateurs se connectent par la console VPN avec via un Login/ Password.

Pourquoi utiliser un VPN ?

Augmenter la sécurité en ligne

Historiquement les entreprises ont créé le VPN afin de protéger les communications de leurs employés. En effet, cela avait pour but d’éviter l’interception de données qui est une attaque typique dans le cadre de l’espionnage industriel. A cela s’ajoute le fait que de nombreux collaborateurs se connectent sur des WIFI Public qui ont des vulnérabilités et qui sont source de nombreuses attaques.

Pour toutes ces raisons, le VPN permet d’ajouter une couche de sécurité aux connexions Internet. Cet outil de sécurité garantit une connexion chiffrée. Ainsi, toutes les informations sensibles transitant sur le réseau sont sécurisées.

Cela permet ainsi de se connecter en toute sécurité à un serveur à distance, partout dans le monde, pour envoyer et recevoir des données.

Protéger sa vie privée

Le réseau Virtuel va permettre de protéger la vie privée lors de toutes activités en ligne : navigation, téléchargement etc. Cela permet ainsi d’assurer la confidentialité.

Les limites d’une connexion VPN

En Cyber sécurité, il est impossible d’avoir une protection absolue avec une unique solution de Sécurité.

Il est d’ailleurs essentiel de penser sa stratégie de sécurité pour appliquer une défense en profondeur. En d’autres termes cela revient à appliquer plusieurs lignes de défenses indépendantes avec divers outils de sécurité. Cela part du principe que la compromission d’un niveau de défense ne doit pas entraîner la chute des autres.

Si on se focalise sur la solution VPN, cela ne fait que chiffrer les données entrantes et sortantes et ne protège donc pas directement l’appareil comme pourrait le faire une solution de protection de Endpoint (EPP) par exemple.

Autre limite, le collaborateur va se connecter uniquement via un login Password ce qui est très insuffisant en terme de sécurité. En effet, on s’expose à un potentiel risque d’usurpation d’identité.

Au-delà d’avoir des règles de bases comme le renouvellement régulier et d’imposer des mots de passe complexe, cela est très insuffisant. En effet, avec le nombre d’attaque par email (Phishing) notamment, le vol des identifiants permettrait au pirate d’accéder à l’ensemble du SI de l’entreprise. Comment ? Une fois qu’un pirate est entré, il peut se déplacer latéralement pour accéder à tout système ou application du réseau et l’exploiter.

Une bonne pratique serait de mettre en place une authentification à deux facteurs (MFA), comme pour les paiements en ligne par exemple. Il est possible d’adresser aux salariés un code ou des clés physiques pour s’identifier.

Enfin, une connexion par VPN peut ralentir l’accès et donc avoir un effet négatif sur l’expérience client.

L’alternative au VPN pourrait être la remise en cause de l’approche et partir sur le modèle du « Zero Trust» qui repose sur le fait que rien n’est de confiance et qu’il s’agit d’authentifier l’utilisateur mais aussi la machine et les applications tout en limitant les accès (principe du moindre privilège).

Alors VPN ou un autre modèle ?

Il faut bien comprendre que la sécurité proposée par le VPN dépend du type d’entreprise, plus exactement de la structuration du SI. En effet, si l’entreprise est basée sur le modèle de la sécurité périmétrique (type château fort) avec des collaborateurs qui ne peuvent utiliser leurs propres outils (BYOD) qui pourraient être non sécurisés ou déjà vulnérables, et que l’ensemble du SI est concentré en 1 lieu, alors le VPN peut répondre au besoin principal de sécurité et si on y ajoute un renforcement au niveau de l’identification (MFA).

En revanche pour une entreprise ayant beaucoup de collaborateurs en télétravail, des données de l’entreprise hébergées à l’extérieur du périmètre de l’entreprise, une solution de type VPN est très insuffisant. Cependant une application stricte du modèle Zero trust remet en cause un nombre important d’éléments comme la mise en place d’une solution de type « gestion des identités », micro segmentation etc. Cela peut donc prendre du temps et être complexe.

Pour en savoir plus Contactez-nous !

Découvrez aussi

Cybersecurité : la gestion des identités

Cet article de blog de NXO met en lumière les problèmatiques et bonnes pratiques de gestion des identités en matière de cybersécurité

Découvrir l’offre

La sécurité de la téléphonie d’entreprise

Que vous soyez une entreprise ou une collectivité, apprenez comment vous protéger des piratages de votre système de téléphonie d’entreprise | Phreaking

Découvrir l’offre

Les bases essentielles sur la protection des applications web

La sécurité des applications web constitue un enjeu majeur pour les entreprises. Voici les conseils de nos experts en cybersécurité

Découvrir l’offre

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durée	Description
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_01CQSTSNYF	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_92794824_2	1 minute	Set by Google to distinguish users.
_gat_UA-92794824-2	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
ln_or	1 day	Linkedin sets this cookie to registers statistical data on users' behaviour on the website for internal analytics.
pardot	past	The pardot cookie is set while the visitor is logged in as a Pardot user. The cookie indicates an active session and is not used for tracking.

Cookie	Durée	Description
DEVICE_INFO	5 months 27 days	YouTube: Utilisé pour suivre l'interaction de l'utilisateur avec le contenu intégré.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lpv983551	30 minutes	Ce cookie empêche le suivi de chaque rechargement en tant que vue de page.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
visitor_id983551	1 year	Le cookie visiteur inclut un identifiant unique de visiteur et l'identifiant unique de notre unité commerciale.
visitor_id983551-hash	1 year	Ce cookie est une mesure de sécurité qui empêche un utilisateur malveillant de se faire passer pour un visiteur et d’accéder aux informations du prospect correspondant.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durée	Description
AnalyticsSyncHistory	1 month	No description
li_gc	2 years	No description
SGPBShowingLimitationPage65978	session	No description
SGPBShowingLimitationPage68398	session	No description