Le VPN d'accès à distance, également connu sous le nom de VPN professionnel, est une technologie importante qui existe depuis des décennies. Permet aux travailleurs distants de connecter leurs appareils au réseau d'entreprise via l'Internet public ; leur permettant de fonctionner comme s’ils faisaient partie du réseau d’entreprise. En ce sens, le VPN professionnel diffère du VPN personnel utilisé pour créer l’anonymat lors de la navigation sur le web. À propos de l'auteur Peter Ayedun est le PDG de TruGrid. Le problème avec les VPN d’accès à distance est qu’ils ne conviennent plus à une main-d’œuvre mobile confrontée à des menaces de cybersécurité généralisées et incessantes. Pour souligner ce problème, une analyse Gartner de juin 2019 prédit que d’ici 2023, 60 % des entreprises élimineront leur VPN par ligne commutée au profit d’un accès réseau sans confiance. Avance rapide jusqu'en juin 2020 et il est clair que la transition vers le travail à domicile suite à la pandémie de COVID-19 a mis davantage en évidence les faiblesses du VPN et pourrait donc accélérer sa disparition plus rapidement que Gartner ne l'avait prévu. Selon le DHS américain du 8 avril 2020, « l'augmentation du télétravail a accru l'utilisation de services potentiellement vulnérables, tels que les réseaux privés virtuels (VPN), augmentant ainsi la menace pour les individus et les organisations ». Les problèmes rencontrés par VPN peuvent être largement divisés en vulnérabilités FIN USER et GATEWAY.
Vulnérabilités des utilisateurs finaux VPN
Le défaut initial du VPN est qu’il crée trop de confiance entre l’appareil distant et le réseau de l’entreprise. Même si le tunnel VPN entre un travailleur distant et le réseau de l’entreprise est cryptographiquement sécurisé, la confiance entre les deux est facilement exploitée. En conséquence, les menaces (y compris les ransomwares) qui affectent l'appareil ou le réseau du travailleur distant peuvent voyager et infecter le réseau de l'entreprise. Segmenter un réseau d'entreprise pour limiter l'accès via VPN est une tâche ardue et ne garantit pas la sécurité contre le mouvement des menaces latérales. L’utilisation d’appareils fournis par l’entreprise avec des mesures de sécurité d’entreprise peut minimiser, mais pas éliminer, les menaces. Permettre aux travailleurs à distance d'utiliser des appareils personnels pour se connecter aux réseaux d'entreprise via VPN augmente considérablement les risques pour l'entreprise, car les appareils personnels ne disposent souvent pas des protections installées sur les appareils professionnels. Lorsqu'un travailleur à distance est éloigné du réseau de l'entreprise, les menaces telles que le phishing par courrier électronique, les attaques de logiciels malveillants et les violations de données ont plus de chances de réussir. Le problème est devenu si grave que la NASA a publié un bulletin le 6 avril 2020, encourageant les employés et les sous-traitants travaillant à distance via VPN à « s'abstenir d'ouvrir leur courrier électronique personnel ou leurs réseaux sociaux non liés lors du travail sur vos systèmes/appareils informatiques de la NASA ». soyez prudent avant de cliquer sur des liens dans les SMS et les réseaux sociaux. La NASA a émis ces avertissements après avoir constaté un doublement des tentatives de phishing par courrier électronique, une augmentation exponentielle des attaques de logiciels malveillants et un doublement des sites Web bloqués par les systèmes d'atténuation de la NASA. Essentiellement, utiliser un VPN d’entreprise revient à placer un appareil distant sur le réseau d’entreprise, sans toutes les garanties du réseau d’entreprise. Les attaques réussies sur un appareil ou un réseau distant peuvent facilement atteindre le réseau de l'entreprise.
Vulnérabilités de la passerelle VPN
Dans le réseau d'entreprise où les passerelles VPN sont souvent hébergées, il existe encore de multiples vulnérabilités. Comme toutes les technologies, les passerelles VPN doivent être constamment mises à jour pour améliorer la sécurité. Cependant, comme ils sont exposés à tout le monde, ils sont beaucoup plus spécifiques que la plupart des systèmes. Par conséquent, le VPN doit être mis à jour plus fréquemment. Le défi est que de nombreuses entreprises comptent sur leurs VPN pour être opérationnels 30 heures sur 40 pour fournir un accès aux employés et sous-traitants travaillant à distance. Cela signifie souvent que les passerelles VPN ne reçoivent pas de correctifs pendant des mois, voire des années, et sont donc plus vulnérables aux nouvelles attaques. L’ampleur des attaques contre les passerelles VPN est mieux illustrée par les nombreux avertissements de sécurité émis par la NSA américaine et la NSC britannique pendant plusieurs mois. Les vulnérabilités sont si répandues que les agences gouvernementales ont publié de nouveaux bulletins peu de temps après la publication de nouveaux correctifs. Les problèmes détectés étaient si graves que certains étaient des pré-authentifications, ce qui signifie que l'accès à plusieurs systèmes VPN concernés pouvait être accordé sans connexion réussie. Parmi les nombreuses organisations qui ont succombé aux vulnérabilités de la passerelle VPN, l'une des plus notables est Travelex au Royaume-Uni. Travelex est le leader mondial des opérations de change avec une présence dans 31 pays où il échange des devises pour 2019 millions de clients chaque année. En raison d'une vulnérabilité VPN non corrigée, l'ensemble des opérations de Travelex a été paralysé pendant plus de deux semaines, à partir du 9 décembre 2020. Il a été signalé le 2.3 avril 30 que Travelex avait payé 22 millions d'euros de rançon pour des cyberattaques visant à restaurer les opérations. L'attaque aurait coûté plus de XNUMX millions d'euros à ses états financiers du premier trimestre. Le XNUMX avril, Travelex est mis en vente ! Arrêtez-vous un instant pour réfléchir à cela... la plus grande société de partage de voyages au monde pourrait faire faillite en raison d'une attaque réussie contre son système VPN !
Accès réseau non approuvé
La solution aux énormes problèmes exposés par les faiblesses du VPN est un système qui ne crée pas de confiance entre les appareils de télétravail et le réseau de l'entreprise ; et qui authentifie les travailleurs distants dans le cloud ou hors du réseau d'entreprise avant d'accorder l'accès uniquement aux systèmes autorisés. Les systèmes qui entrent dans cette catégorie sont souvent appelés accès réseau Zero Trust. Un système Zero Trust efficace prendra en charge tout appareil distant (émis par un particulier ou par une entreprise). Il permettra aux appareils distants de se connecter à un courtier cloud ou à une passerelle pour une authentification initiale nécessitant un système multifacteur. Ce n'est que lorsque cette authentification indépendante sera réussie que le travailleur distant aura accès au système spécifique pour lequel il est autorisé. Un système Zero Trust efficace ne permettra à aucune menace sur l'appareil ou le réseau du travailleur distant de passer par le réseau de l'entreprise et sera automatiquement mis à jour contre les nouvelles menaces.