Le VPN est mort, vive le VPN!

Dans le domaine de la sécurité informatique, la fonction de réseau privé virtuel (VPN en anglais, elle aussi évolue. Ainsi dans un récent article, Le monde informatique signale la disparition possible des VPNs, l’article quoique complet oublie un point important fourni par les VPNs: la réduction des surfaces d’attaques.

En effet, les VPNs servent aussi à centraliser l’authentification et permettent donc de focaliser l’effort de sécurité à un endroit. La généralisation des services d’authentification sur le Cloud change un peu cela car le concept de SSO devient lentement transporté à travers Internet et non plus seulement sur un réseau local.

Au final, il est extrêmement difficile de trouver des systèmes VPN sans bug et complètement protégés (article par exemple de Naked Security http://bit.ly/2MeVYCJ) Mais il reste que il est souvent plus facile de détecter une attaque dans un système spécifique de sécurité que dans une application générique n’intégrant pas dans son développement, ou bien la considérant comme acquise, la fonction réseau avec une latence de LAN.

Dans ce cadre, les VPNs ne sont plus l’arme absolu de protection complémentaire des pare-feu et logins applicatifs. Eux aussi entres dans le scope des failles de sécurité.

Les éditeurs et intégrateurs de VPNs savent que la seule façon de garantir une sécurité optimale est d’assurer une mise à jour régulière des systèmes et également d’encourager les publications Infosec. Citypassenger relaie d’ailleurs les informations Infosec autant que possible dans ses bulletins.

La criticité de ces mises à jour est importante et l’attention des utilisateurs finaux devrait s’y porter régulièrement. et non pas uniquement au moment d’une attaque. Une fois ce point assuré, reste le contrôle des accès.

Et dans ce cadre, de façon contre-intuitive, l’usage de VPN sans client peut être un vrai avantage.
Ainsi, contrairement à la justification du « trust no one » qui repousse la sécurité sur la couche applicative et ne corrige donc en rien le problème, un mélange de VPN et de technologie SSL, tout en rajoutant une couche d’authentification locale directement sur le réseau du client et non plus uniquement dans le Cloud, renforcera le contrôle de la gestion des accès et donc de la sécurité globale. Cette authentification renforcée est bien entendu complémentaire, comme précisé plus haut, d’une mise à jour régulière des systèmes et applicatifs de l’entreprise.

Bref, au prix de mises à jour régulières, il devient possible de simplifier et renforcer ses accès VPN tout en en se passant de clients, et même plus globalement de renforcer sa sécurité jusque sur son LAN, en complément des pare-feux applicatifs et autres protections.