[et_pb_section][et_pb_row][et_pb_column type= »4_4″][et_pb_text]
[/et_pb_text][/et_pb_column][/et_pb_row][/et_pb_section]
REPÈRES
La crise du Covid19 et son corollaire, la brutale mise en confinement des entreprises ont amené de nombreux DSI à déployer dans l’urgence des solutions de sécurité pour permettre aux salariés de travailler depuis leur propre terminal informatique à domicile. Confronté à des exigences de mise en sécurité des données de l’entreprise, les responsables informatiques se sont généralement appuyés sur des réseaux privés virtuels ou VPN. Mais dans un monde où le télétravail devient la norme et où l’environnement informatique est en pleine révolution, le modèle de sécurité reposant sur la protection du réseau et son corollaire internet, le VPN, Alpha et Omega du modèle traditionnel de la sécurité des données de l’entreprise, deviennent l’objet de tous les maux. Nous esquissons en conclusion quelques pistes de solutions selon les besoins de l’entreprise.Qu’est-ce qu’un VPN ?
Reprenons la définition de Wikipedia: « Un réseau privé virtuel, abrégé VPN – Virtual Private Network est un système permettant de créer un lien direct entre des ordinateurs distants, qui isole leurs échanges du reste du trafic se déroulant sur des réseaux de télécommunication publics. On utilise notamment ce terme dans le travail à distance, ainsi que dans le cadre de l’informatique en nuage. »Le VPN à contresens
En premier lieu, il convient d’évacuer une première confusion quand on parle de VPN. L’un de ses emplois consiste, depuis un réseau interne, à aller surfer sur Internet avec l’adresse IP de quelqu’un d’autre, une façon de se déresponsabiliser des activités de ses employés. Prendre un abonnement de ce type auprès d’un fournisseur de VPN de ne protège en rien les données internes de l’entreprise qui sont même exposées à l’internet. A l’exception des activités d’hôtellerie, de gares, ou de services publics, l’emploi d’un VPN est rarement professionnel.Le VPN : le pont-levis d’un château-fort entouré de douves
Une PME cherche au contraire à reconnecter depuis internet ses salariés accédant depuis internet à son réseau interne protégé, et souhaite leur donner accès à tous les services de l’entreprise comme s’ils étaient dans ses locaux. L’analogie du château-fort entouré de douves et auquel on accède par un pont-levis s’impose alors. Le modèle de sécurité traditionnel reste inchangé : ceux qui sont à l’extérieur du réseau protégé sont les ennemis et ceux sont à l’intérieur appartiennent au périmètre de confiance. Le réseau interne est le château-fort, le bastion et les pares-feux sont les douves et le VPN est le pont-levis. En résumé, le VPN «sur site » est une fonction présente sur le routeur de l’entreprise et qui fait la passerelle entre le réseau privé d’une entreprise, le LAN (Local Area Network) , et le monde extérieur, le WAN (Wide Area Network) . Il permet depuis internet d’accéder à des machines uniquement présentes sur le LAN.Le modèle de sécurité périmétrique VPN atteint ses limites
La presse rapporte régulièrement des cas d’entreprises dont les données importantes ont été violées parce qu’un employé ou un prestataire s’est fait piéger par hameçonnage; parce qu’un espion a réussi à brancher sur le réseau interne de l’entreprise un système d’écoute; ou parce qu’un hacker a réussi à contrôler des serveurs de données sensibles à distance. Face à l’essor des appareils mobiles et face à des situations de travail hors des murs physiques de l’entreprise grâce au télétravail, il devient impossible de demander à des employés de se connecter depuis un nombre limité de serveurs de VPN centraux. Dans une telle organisation centralisée, le VPN, seule porte d’entrée aux données de l’entreprise, devient un goulot d’étranglement pour l’employé; car dans cette situation de télétravail où l’on lui demande de plus en plus d’autonomie, il est incité à utiliser ses propres machines informatiques, même en voyage pour ses besoins professionnels. Cette situation de latence et les connexions très lentes au VPN, voire instables, génèrent beaucoup de frustration et de réclamations aux services informatiques. Il arrive forcément que les utilisateurs, qui ne peuvent plus supporter ces contraintes, mettent en place leur propre solution de contournement : autant de pont-levis non sécurisés enjambant les douves et ouvrant un accès caché au château-fort. Un des moindres paradoxes devient alors que l’excès de sécurité devient le principal vecteur du risque redouté : la mise en insécurité des données sensibles de l’entreprise. Enfin, le canal des VPN en ligne passant généralement par l’oreille des Etats et de leurs lois extraterritoriales comme le Cloud Act américain, exposent les entreprises à l’insécurité juridique et à de potentiels problèmes réglementaires.L’environnement du télétravail est en pleine révolution
La distanciation physique change durablement l’organisation du travail :- Le télétravail devient la norme ; l’ « open space » et l’immeuble de bureau deviennent l’exception.
- Le poste de travail personnel physique ( « Bring Your Own Devices » ou BYOD )) devient l’outil par défaut pour accéder à l’informatique de l’entreprise, et le vieux desktop professionnel rejoint la machine à écrire au musée des outils du passé.
- L’accès par internet devient la norme quand l’intranet et les réseaux privés deviennent des handicaps de mobilité.
- Le Cloud Public et les applications en SaaS, « L ow Cost », par leur agilité et leur scalabilité, deviennent la norme à conditions de maîtriser la sécurité des données échangées car les situations d’adaptation en mobilité sont de moins en mois prévisibles. Elles permettent de s’adapter très rapidement aux changements. Les infrastructures « On Premise » ou dédiées vont devenir l’exception.
- Le nouvel écosystème de collaboration sécurisé doit faire mieux pour moins cher tout en apportant ergonomie et simplicité d’usage : la sécurité ne doit pas se payer au prix d’une complexification des usages, faute d’être rejeté immédiatement par l’utilisateur lambda.
La « Sécurité à Confiance Nulle » ou ne faire confiance qu’à soi-même
Puisque le VPN, n’est plus l’Alpha et l’Omega de la sécurité des données pour les PME, puisque le modèle de sécurité ne passe plus par la protection périmétrique d’un réseau château-fort,et puisque la menace est aussi bien à l’intérieur du réseau qu’à l’extérieur, qu’elle est présente partout sur le cloud public et chez les infogéreurs, quelles sont les alternatives qui s’offrent à la PME pour le partage de données sensibles depuis n’importe quel terminal ayant un accès à l’internet ? Le concept porte un nom : « Sécurité à Confiance Nulle » ou « Zero-Trust Security ». Il s’agit désormais de réduire autant que possible son exposition à des acteurs de confiance tels cloud public, des administrateurs et des réseaux tout en utilisant leurs services pour ce qu’ils apportent d’efficace et d’économique.Le paradigme de la triple confiance
En premier lieu, et quel que soit le choix d’architecture de sécurité, il faut comprendre que la mise en sécurité des données passe par une triple confiance : 1) La confiance dans la sécurité qui garantit que celui qui accède à un service est bien la personne qu’elle prétend être. Il y a plusieurs réponses à ce problème bien résolu sur la techinque et fonctionnel- La fédération d’identité doublée d’un mécanisme à double facteur d’authentification répond à ce besoin ; elle doit s’appuyer elle-même sur un annuaire sécurisé couplé généralement à une infrastructure de gestion de clés adaptée au besoin de sécurité de l’entreprise. Ce type de service répond à des organisations souhaitant centraliser leur informatique et maîtriser intégralement les données. Elle n’est pas adaptée à une architecture en « multi-organisation » où les personnes ne sont pas censées se connaître.
- L’auto-génération de clé sur le terminal de travail doublé d’un mécanisme d’enrôlement de confiance répond à une organisation beaucoup plus éclatée de type « réseaux de résistance ». Elle ne nécessite pas d’annuaire central. C’est le concept de CCYOK ou « Create and Control Your Own Key »
- Le VPN répond en partie à ce besoin, parce que comme on l’a vu, les États disposent de la capacité d’interception.
- Le HTTPS est utilisé de façon universelle sur internet : c’est la manière la plus efficace et la moins coûteuse de sécuriser un transport.