Cet article fait partie de notre guide: Les nouveaux outils de la sécurité réseau

Télétravail et applications d’entreprise : le VPN n’est pas la seule option

Leur dimensionnement peut s’avérer insuffisant pour des besoins dont l’échelle dépasse considérablement ce pour quoi ils ont été initialement déployés. Une opportunité pour le zero-trust network access.

La pandémie a conduit à un recours sans précédent au télétravail. Le réseau privé virtuel (VPN) a constitué une partie importante de la réponse des entreprises pour permettre à leurs collaborateurs d’accéder à distance à leurs ressources. Les équipementiers réseau n’ont d’ailleurs pas manqué de le percevoir. Mais ce n’est pas la seule réaction, ni peut-être la plus adaptée.

Des VPN gonflés en urgence…

Netskope relève ainsi que cette approche a pu provoquer « une forte augmentation du trafic traversant les infrastructures internes ». Et dans ce contexte, certains ont pu « faire face à une congestion des réseaux, une surcharge des firewalls et des appliances VPN, mais aussi un besoin urgent d’ajuster le nombre de licences sur les boîtiers existants ».

« Même les clients privilégiant l’utilisation du cloud n’ont pas conçu une infrastructure leur permettant de prendre en charge 100 % de leurs effectifs en télétravail. »
Ryan KalemberProofpoint

Chez Proofpoint, Ryan Kalember, ne dit pas autre chose : « même les clients privilégiant l’utilisation du cloud n’ont pas conçu une infrastructure leur permettant de prendre en charge 100 % de leurs effectifs en télétravail ». Même constat pour Eric Antibi, chez Palo Alto Networks : « dans la plupart des cas, les infrastructures matérielles concentrant les connexions en place dans les Entreprises ne sont pas dimensionnées pour que tous les salariés y soient connectés en même temps ».

Scott Gordon, chez Pulse Secure, a observé le phénomène : « nous avons vu un afflux de clients existant passant des commandes et travaillant avec nous pour déterminer la capacité, l’équipement, et les licences nécessaires. Nous avons constaté une augmentation massive de la demande pour Pulse Connect Secure, notamment depuis la région Asie-Pacifique et d’entreprises européennes et nord-américaines avec des collaborateurs et prestataires en Asie. La demande s’est depuis étendue à toutes les régions ».

… Mais poussés à leurs limites

Selon Netskope, « afin d’alléger la charge des infrastructures dites on prem, beaucoup d’organisations ont décidé d’activer le VPN en mode split tunneling, ce qui implique que les flux internet soient dirigés directement vers Internet au lieu de traverser les ressources de l’entreprise ». Ce qui les fait échapper aux contrôles de sécurité internes.

Chez Unisys, Jerry McCrohan assure que l’on « voit même des cas où les télétravailleurs ne peuvent se connecter qu’à tour de rôle et seulement quelques heures par jour à leurs infrastructures informatiques pour travailler avec leurs outils ». À la décharge des organisations concernées, il convient de relever que « la rapidité avec laquelle les mesures de confinement ont été mises en place n’a pas permis aux DSI des entreprises d’anticiper cette demande très importante de connectivité à distance, ou d’outils collaboratifs requis pour que les salariés puissent continuer à travailler efficacement ».

Et cela ne se fait pas du jour au lendemain, souligne Xavier Daspre, chez Akamai : « la mise en place d’un VPN correctement dimensionné est généralement complexe et cela entraîne un processus long, coûteux et compliqué pour la plupart des entreprises, qui ont vu le nombre de télétravailleurs augmenter de 140 % depuis 2015 ».

Le système dédié plutôt que le tout-en-un

Et faire face à un pic de demande peut être encore plus difficile lorsque l’on n’utilise pas de systèmes dédiés, mais uniquement les fonctions de VPN d’appliances plus généralistes.

« Lorsque vous activez les services de VPN-SSL, cela implique plus de bande passante, avec des efforts d’administration et des coûts additionnels. »
Scott GordonPulse Secure

Scott Gordon assure ainsi avoir constaté de nombreuses demandes d’organisations qui se contentaient autrement des services de VPN-SSL de leur pare-feu de nouvelle génération (NGFW) : « nous avons vu des DSI rencontrer des problèmes de montée en charge en raison d’une croissance massive des connexions sécurisées. Lorsque vous activez les services de VPN-SSL, cela implique plus de bande passante, avec des efforts d’administration et des coûts additionnels ».

Eric Antibi indique quant à lui avoir été sollicité « soit pour faire évoluer le matériel vers un pare-feu plus puissant soit encore plus souvent pour proposer une alternative dans le cloud afin de gérer les pics de charge avec notre offre Prisma Access ».
Comme lui, donc, CyberArk a été confronté à une forte demande subite pour ses solutions d’accès sécurisé aux applications de centre de calcul, mais aussi cloud, dite zero trust network access (ZTNA), un composant de l’ensemble SASE selon Gartner. Là, Jean-Christophe Vitu en témoigne : « nous avons vu des clients qui avaient une capacité insuffisante dans leurs infrastructures VPN et qui nous ont donc demandé, en urgence, de mettre en œuvre des solutions pour répondre à la forte demande de télétravail pour tous les employés ».

L’alternative du Zero Trust Network Access

Jean-Christophe Vitu n’est pas seul dans ce cas. Jerry McCrohan souligne les apports d’Unisys Stealth.

« [Nous avons] observé une augmentation du trafic mondial sur notre service ZPA de plus de 400 % (800 % par rapport au mois de janvier). »
Didier SchreiberZscaler

Mais chez Zscaler, Didier Schreiber indique avoir « observé une augmentation du trafic mondial sur notre service ZPA de plus de 400 % (800 % par rapport au mois de janvier). Nous faisons en effet face à une demande très importante d’entreprises pour la mise en place de nos deux solutions Zscaler Private Access, permettant de disposer d’un accès à distance à leurs applications internes et privées et Zscaler Internet Access, pour les applications cloud, SaaS et l’Internet ouvert ».
Et d’illustrer son propos : « DB Schenker, filiale de Deutsche Bahn, qui disposait déjà de Zscaler Internet Access, nous a contacté en début de crise, pour basculer rapidement plus de 76 000 employés sur la solution Zscaler Private Access, ce qui a pu être effectif en quelques jours ».

Proofpoint doit se réjouir du rachat de Meta Networks l’an dernier. Mais l’éditeur joue la solidarité et Ryan Kalember souligne que l’offre Proofpoint Meta est accessible gratuitement à tous ses clients jusqu’en 30 septembre. De même, Akamai propose son service Enterprise Application Access gratuitement pour 60 jours. Palo Alto Networks propose quant à lui 45 jours d’utilisation gratuite de Prisma Access.

Des couches de sécurité supplémentaire

Dans le contexte de crise actuel, Scott Gordon observe que « les entreprises sont plus ouvertes à l’utilisation d’appareils personnels […] cette approche permet d’avancer plus vite. Mais cela ouvre la porte à des menaces de sécurité plus grandes […]. Nous recommandons, et les organisations l’invoquent, l’application de politiques de sécurité sur les terminaux ». Certains agents de connexion à distance le permettent justement. Mais Ryan Kalember souligne aussi les apports supplémentaires de passerelles d’accès cloud sécurisé (CASB) ou encore de déport de rendu Web. Proofpoint est considéré comme challenger par Gartner sur le marché des CASB, où Netskope compte parmi les leaders.

Dans un contexte de demande renforcée, tous ces acteurs ont ajusté leur organisation pour répondre aux besoins. Scott Gordon fait ainsi état du recrutement d’équipes additionnelles en support client, notamment de niveau 1. Eric Antibi explique que « l’ensemble des équipes techniques est extrêmement mobilisé, que ce soit les consultants avant-vente […] ou notre centre de support ». Même chose chez Unisys dont les équipes sont massivement passées au télétravail et à la visioconférence.

Des mesures spécifiques

Xavier Daspre explique qu’Akamai, « dans les régions où la demande crée des goulots d’étranglement pour les clients, réduit les téléchargements de logiciels de jeu aux heures de pointe, complétant les téléchargements à des vitesses rapides normales tard dans la nuit ». De quoi contribuer à garantir l’expérience de chacun y compris aux périodes de pointe. Et « plus important encore, cela permettra aux travailleurs de la santé et aux premiers intervenants, qui travaillent dur pour contenir la propagation de COVID-19, d’avoir un accès continu aux services numériques vitaux dont ils ont besoin ».

Du côté de Zscaler, Didier Schreiber indique que la situation « nécessite des redéploiements et redimensionnements réguliers ». Une réunion est donc organisée chaque jour avec les équipes d’exploitation « pour procéder aux ajustements permettant de répondre à la demande de trafic sur ZPA et ZIA. Mais nous essayons d’avoir toujours un coup d’avance pour anticiper de futurs pics, ce qui signifie que lorsque nous avons une augmentation de trafic de 400 %, nous dimensionnons nos capacités pour gérer une augmentation de 800 % ».

Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)

Close