Le VPN est-il une solution fiable pour le télétravail massif ?

D’après une enquête Microsoft-OpinionWay, 36 % des actifs français ont télétravaillé pendant les grèves et pour 42% d’entre eux, il s’agissait de la première expérience de télétravail. Pendant l’épidémie de coronavirus, cette proportion a évidemment explosé !

Pour beaucoup, le VPN (Virtual Private Network, réseau privé virtuel) constitue une solution technique permettant la mise en place de manière efficace du télétravail. C’est notamment une alternative aux réseaux Wi-Fi publics. Selon les experts de Dahslane, « comme les réseaux Wi-Fi publics ne sont pas sécurisés, tout site ou service n’utilisant pas le chiffrement pourrait être compromis, permettant à un pirate d’accéder à des informations sensibles. Un VPN chiffre toutes les activités sur Internet, de la navigation sur Internet aux appels via la VoIP et tout ce qui se trouve entre les deux, bloquant ainsi les piratages potentiels. »

Le VPN, une technologie du passé ?

Toutefois, selon IDC, 97 % des entreprises admettent que leurs réseaux ne peuvent pas suivre le rythme du cloud. Mais, pour Didier Schreiber, expert de la société Zscaler en France, privilégier les VPN souffre de deux inconvénients majeurs. D’une part, « le VPN est une technologie du passé et présente bien plus de problèmes qu’il n’en résout. » À l’époque où le VPN a été introduit pour la première fois, en 1996, il fonctionnait comme annoncé, offrant une connectivité sécurisée aux utilisateurs distants qui avaient besoin d’accéder aux applications hébergées dans le datacenter sans laisser leurs secrets s’échapper.

« Ce furent les années d’or des VPN et ils ont contribué à forger une relation solide avec les entreprises du monde entier. Mais les temps ont changé, tout comme l’organisation. Les entreprises sont désormais modernes et numériques, car beaucoup ont adopté le cloud et la mobilité ; malheureusement, l’autre partenaire de la relation – le VPN – ne l’a pas fait et est resté coincé dans le passé. »

Le VPN est-il soluble dans le cloud ?

D’autre part, la technologie VPN n’a pas été conçue pour le cloud. « Elle a été conçue à une époque où toutes les données et applications d’une entreprise étaient stockées dans le datacenter. Mais, comme de plus en plus d’entreprises adoptent le cloud, les VPN semblent présenter plus de problèmes qu’ils n’en résolvent. » Pour Zscaler, le fait que la technologie VPN n’a pas été conçue pour le cloud, présente trois inconvénients.

D’abord, les VPN entraînent une mauvaise expérience utilisateur : « Avec les VPN, le trafic est redirigé vers un datacenter, ce qui rend l’accès douloureusement lent pour l’utilisateur. Même avec le cloud comme nouvelle réalité, le trafic est toujours en cours de redirection, ce qui alimente le problème de performance. »

Ensuite, les VPN rendent les entreprises vulnérables : « Les serveurs VPN doivent être exposés afin que les utilisateurs distants puissent les « trouver », puis accéder au réseau d’entreprise via des tunnels statiques qui creusent des trous à travers les pare-feux. La même technologie conçue pour protéger les entreprises les rend vulnérables aux logiciels malveillants et aux attaques. Aujourd’hui, les VPN sont connus pour être l’une des principales sources de faille pour les entreprises, et c’est pour cette raison que les entreprises les plus avancées sur le sujet de la cybersécurité cherchent à mettre en place de nouvelles solutions pour s’en affranchir. »

Enfin, les VPN sont très gourmands en ressources. « Les VPN nécessitent beaucoup d’attention et d’énergie. Au fur et à mesure que l’organisation grandit, le VPN doit évoluer, ce qui est un processus fastidieux qui peut souvent être une perte de temps. Cependant, une fois que le VPN et la passerelle entrante sont correctement dimensionnés, il y a la question de patcher les serveurs VPN, une tâche qui est souvent lente ou même oubliée. Aujourd’hui, les équipes sont invitées à faire plus avec moins, créant souvent un défi humain qui mène à des failles de sécurité. »

Quatre bonnes pratiques

Pour Didier Pichon, vice-président de MTI France, quatre bonnes pratiques doivent être mises en place :

1. Vérifier les licences VPN

D’une manière générale, les travailleurs à domicile qui accèdent aux ressources du réseau d’entreprise le font via un VPN. Cela garantit que, quel que soit leur type de connexion depuis un endroit éloigné du réseau d’entreprise, ils peuvent travailler sous les différentes protections et politiques qui s’y appliquent.

Les VPN sont généralement attribués sous forme de licence par utilisateur, et si les organisations disposent souvent d’un certain nombre de licences, la plupart n’en ont pas assez pour mettre un grand nombre de nouveaux travailleurs à domicile en ligne dans un court laps de temps. Pour que le VPN fonctionne et pour qu’il puisse assurer une bonne sécurité des applications d’entreprises, il faut qu’il soit configuré correctement ainsi que les serveurs sur lesquels il tourne.

Il est conseillé de se renseigner auprès de ses partenaires informatiques qui sont en relation étroite avec les principaux fournisseurs de VPN, notamment Cisco et Palo Alto, et qui peuvent avoir accès à des options tarifaires préférentielles, mises en place pour aider les entreprises à relever le défi soulevé par l’épidémie de coronavirus.

2. Contrôler l’utilisation des applications cloud

Certains utilisateurs sont en mesure de travailler en utilisant uniquement des applications cloud. Pour ces derniers, l’accès VPN au réseau de l’entreprise peut se révéler inutile. Toutefois, ces utilisateurs, qui accèdent aux applications cloud sans se connecter au réseau, ne seront pas régis par les politiques de l’entreprise et ne bénéficieront pas des protections mises en place sur celui-ci.

Cela présente bien sûr des risques en terme de sécurité. Par exemple, lorsqu’un utilisateur transmet ses identifiants de connexion de manière non sécurisée, ou lorsqu’il accède à un site Web compromis, il peut permettre l’installation de logiciels malveillants sur son appareil : une mise en danger évidente pour lui-même et son équipement, mais également pour les actifs de l’entreprise.

Pour faire face à ce défi, deux approches peuvent être adoptées. Un portail d’authentification unique sécurisée (SSO) permet aux utilisateurs de se connecter une fois, puis de s’authentifier sur les applications cloud lorsqu’ils en ont besoin. Ceux-ci étant connectés par le portail SSO, la DSI peut appliquer les politiques de l’entreprise, par exemple en contrôlant les applications cloud auxquelles chaque utilisateur peut accéder.

Le SSO peut être rapidement opérationnel, configuré et lancé en seulement deux ou trois heures. Parallèlement, des outils de filtrage du Web, tel que Cisco Umbrella par exemple, peuvent gérer l’accès aux sites Web de l’entreprise à chaque fois qu’un ordinateur portable de l’entreprise est utilisé pour accéder à Internet, où que ce soit dans le monde.

3. Protéger le terminal

Lorsque l’entreprise fournit aux employés leurs ordinateurs pour le travail à distance, il est important que les machines soient correctement sécurisées, cryptées et configurées pour un usage domestique. Plusieurs logiciels permettant une protection des données sensibles sur les différents End Points des utilisateurs existent.

Les tests de pénétration sont utiles à cet égard, car ils permettent de déceler les faiblesses des ordinateurs portables standard et d’identifier les domaines dans lesquels la sécurité des appareils peut être améliorée.

4. Former les utilisateurs

Aucune protection technologique ne sera utile si les utilisateurs n’adoptent pas des mesures de travail sûres et sécurisées. Les nouveaux venus dans le monde du télétravail auront tout particulièrement besoin d’être informés à ce sujet. Des formations ou des conseils de bonnes pratiques sont disponibles auprès de plusieurs fournisseurs et peuvent être mis en place en quelques heures, pour des personnes spécifiques ou plus largement pour l’ensemble du personnel, en fournissant des instructions sur les habitudes de travail sûres, telles que la sécurité des ordinateurs portables et la prévention des points d’accès Wi-Fi publics non sécurisés.

Les bonnes pratiques pour optimiser les pratiques de télétravail
Bonnes pratiques Actions
Favoriser l’autonomisation de l’expérience des collaborateurs
  • Gérer les paramètres, tels que la participation anonyme, les options d’enregistrement, ou encore les fonctions de réunion (vidéo, partage d’écran)
Assurer la continuité des activités
  • Transférer les appels audio non essentiels sur le RTPC, ce qui permet de maintenir les réunions en tête-à-tête, la collaboration, le partage de documents et l’accès aux fonctions de tableau blanc
  • Désactiver la vidéo, qui consomme beaucoup de bande passante
Anticiper la charge d’un grand nombre de participants lors de réunions virtuelles
  • Permettre la diffusion de réunions par le biais d’évènements en direct dans Teams (Teams live events) ou la diffusion de réunions par Skype (Skype meeting broadcast)
  • Utiliser Skype Entreprise et Teams en mode îlots (Teams Islands), pour répartir la charge entre les plateformes, ainsi qu’entre le cloud et le réseau
Évaluer le travail à distance dans l’entreprise
  • Utiliser le tableau de bord sur la qualité des appels ou les rapports QoE/CDR de l’environnement serveur de Skype Entreprise On Premise
  • Pour Skype Entreprise en ligne et Teams, le tableau de bord sur la qualité des appels, disponible via les outils du centre d’administration d’Office 365, permet de surveiller la qualité et le volume des appels
Assurer la sécurité de votre entreprise
  • Exploiter la protection intégrée des informations, y compris eDiscovery et Data Loss Prevention, même dans les chats et les conversations
  • Utiliser l’authentification multifactorielle pour une meilleure protection de l’identité et un accès sécurisé des invités
  • Appliquer les politiques d’accès conditionnelles pour les scénarios où un utilisateur se connecte directement à Microsoft Teams
  • Veiller à ce qu’une gouvernance appropriée soit mise en place pour la désignation, le classement et la création des groupes de travail
  • Empêcher le partage externe si nécessaire et s’assurer que l’accès des invités est désactivé, afin de limiter la surface d’attaque (sauf si cela est nécessaire pour des réunions externes)
  •  Conserver autant que possible le partage d’écran et de documents au sein de la plateforme dédiée, ce qui donne les meilleures chances de maintenir la sécurité et la conformité
Source : Avanade.