eevl - Fotolia

PME face au télétravail : le VPN devient l’objet de tous les maux

Perdues face à des accès sous-dimensionnés vers leurs SI internes, les PME tentent de reconnecter leurs salariés confinés avec des solutions qui sont hélas peu adaptées.

Après plusieurs jours du confinement réglementaire qui a plongé une majorité de salariés dans le télétravail, les entreprises de toutes tailles ont désormais bien identifié le nouvel objet de tous leurs maux informatiques : le VPN. Ce dispositif, qui est censé permettre à des télétravailleurs d’accéder aux disques durs et aux applications restées dans l’entreprise, était donc sous-dimensionné.
Pire, une explosion des abonnements pour des services de VPN « en ligne » – NordVPN évoque +165 % de ventes mondiales pour son offre PME entre le 11 et le 20 mars – suggère que les petites et moyennes entreprises n’ont pas compris comment se servir de cette technologie.

« Un VPN (Virtual Private Network) sert à créer un tunnel virtuel entre le PC d’un télétravailleur et le réseau privé du titulaire du VPN. Lorsque ce dernier est une entreprise, le but est que le salarié distant accède aux répertoires partagés, aux serveurs métiers, voire aux imprimantes, comme s’il était physiquement présent dans les locaux », explique au MagIt Fabrice Jard, le directeur du développement chez Draytek France, l’un des fabricants de routeurs WAN/LAN que les 1500 opérateurs alternatifs en France installent en marque blanche.

Dans la plupart des cas, le VPN « sur site » est une fonction présente sur le routeur qui fait la passerelle entre le réseau privé d’une entreprise, le LAN, et le monde extérieur, le WAN. Le WAN correspond à une ou plusieurs connexions – fibre, ADSL/VDSL, LTE/4G – vers Internet.

Il donne un exemple : Draytek se sert lui-même d’un VPN sur site pour que ses commerciaux nomades accèdent au CRM maison, parce que celui-ci est exécuté sur l’un des serveurs du siège, joignables uniquement par les machines situées sur le même segment d’adresses IP. « Évidemment, pour que cela fonctionne, il faut que le serveur VPN soit directement raccordé au réseau auquel il donne accès », précise-t-il.

« Cela n’empêche pas de nombreuses entreprises d’acheter des abonnements à des VPN en ligne, de type NordVPN ou PureVPN. Mais pas pour le télétravail. C’est même tout le contraire : elles s’en servent pour que les personnes physiquement présentes entre leurs murs aillent surfer sur Internet avec l’adresse IP de quelqu’un d’autre », dit-il. Le but, dans ce cas, est de se déresponsabiliser de toute activité en ligne menée par des usagers.

« Les entreprises qui utilisent ces services de VPN en ligne sont celles qui proposent un hotspot Wifi à leurs visiteurs. Ce sont essentiellement des restaurants, des hôtels, des galeries marchandes, des stades sportifs… Bref, uniquement des établissements qui ont cessé toute activité depuis les mesures de confinement », assène-t-il. En clair, il ne s’agit absolument pas du modèle à suivre pour des PME qui veulent plutôt reconnecter leurs télétravailleurs au SI interne.

Sur son site, NordVPN indique que ses services en ligne peuvent aussi servir aux entreprises qui envoient des salariés à l’étranger, pour qu’ils se connectent depuis leur hôtel avec une adresse IP de leur pays d’origine. C’est égal : cela ne concerne pas non plus grand monde à l’heure actuelle.  

En réalité, un VPN en ligne est rarement professionnel. Il tire généralement la majorité de ses revenus des activités récréatives : les voyageurs l’utilisent en effet à l’étranger pour accéder à leurs programmes de VOD sans souffrir de la régionalisation. Ces services furent aussi populaires parmi les communautés pirates, pour contourner la surveillance d’Hadopi.

Les alternatives discutables aux VPN sur site

Mais alors, comment expliquer le bond soudain des abonnements pour des VPN en ligne ? A priori, ces services profitent de la confusion du terme technique : les entreprises, qui prennent subitement conscience de ne pas avoir mis assez de VPN sur leur réseau, croient se rattraper en s’abonnant à des services qui portent le même nom.
Une confusion sur laquelle NordVPN, entre autres, n’hésite pas à jouer : le service a récemment renommé son offre de VPN pour les professionnels, NordVPN Business, en NordVPN Teams, comme si cela entrait dans la même catégorie que Teams, la plateforme collaborative de Microsoft. En fait d’équipe, le service propose surtout aux entreprises de gérer tous leurs abonnements depuis une seule console.

Par ailleurs, tout VPN – en ligne comme sur site – chiffre les communications qu’il transporte. Or, les failles de sécurité étant la crainte principale des entreprises, elles s’imaginent qu’envoyer les connexions de leurs salariés sur un canal chiffré réduira les risques de cyberattaque. Sauf que le canal des VPN en ligne passe généralement par l’oreille du Cloud Act américain, exposant de fait les entreprises à de potentiels problèmes réglementaires.

De la manière dont LeMagIt le comprend, les fournisseurs de VPN en ligne tentent de se faire passer ici pour des passerelles réseau en cloud. Ces solutions, tantôt appelées plateformes SASE, tantôt Zero Trust Network Access, sont des services en ligne qui centralisent les connexions de tous les télétravailleurs, de tous les sites d’une entreprise, de toutes leurs ressources en cloud et leur appliquent une batterie de règles de sécurité avant de les laisser repartir vers la bonne destination. Non seulement les VPN en ligne ne sont pas autant sécurisés, mais, pire, leur seule destination possible est l’Internet public.

Les passerelles réseau en cloud – citons Prisma Acces chez Palo Alto, Stealth chez Unisys, Private Access chez Zscaler, Proofpoint Meta chez Proofpoint, ou encore Enterprise Application Access chez Akamai… – sont elles-mêmes plus orientées cybersécurité qu’infrastructure réseau. Réputées très efficaces pour faire la police parmi les droits d’accès, surtout quand il s’agit de rigoureusement cantonner les utilisateurs des grandes entreprises à certaines applications SaaS, elles ne résolvent ni le manque de bande passante ni l’absence de routage IP vers les ressources internes d’une PME. À moins de déployer et de configurer plus de couches logiques que n’en demande un simple VPN. Or, c’est justement ce qui pose problème.

Des VPN sous-dimensionnés, mais pas forcément par la faute des entreprises

« Depuis le début du confinement, quasiment 100 % des contacts que nous avons sont des appels à l’aide pour savoir comment configurer plus d’accès VPN sur nos routeurs », lance Fabrice Jard. Cisco, de son côté, donne une idée de la déferlante d’utilisateurs qui vient de s’abattre sur les VPN des entreprises : l’équipementier constate que le nombre de téléchargements de son client VPN – la partie du logiciel à installer sur le poste du télétravailleur – a atteint, en seulement une semaine, 40 % de tous les téléchargements observés en 2019.

« Les problèmes de télétravail que nous constatons sont effectivement liés aux goulets d’étranglement [se formant] sur les passerelles utilisées pour entrer sur les réseaux d’entreprise. »
Avi FreedmanPDG, Kentic

« Les problèmes de télétravail que nous constatons sont effectivement liés aux goulets d’étranglement qui se forment sur les passerelles utilisées pour entrer sur les réseaux d’entreprise », dit Avi Freedman, le PDG de l’éditeur de solutions d’administration réseau Kentic, au micro de nos confrères de TechTarget USA.

« Pour schématiser, vous avez un câble Ethernet 1 Gbit/s. Point. D’ordinaire, c’est suffisant pour que les salariés au bureau se connectent à Internet. En revanche, ce n’est pas du tout dimensionné pour faire passer en même temps tous les flux de travail qui circulent d’habitude au sein du réseau local », détaille-t-il.

Cisco explique volontiers que le problème de bande passante peut se résoudre en lui achetant plus de licences logicielles pour débloquer des accès VPN en plus sur ses routeurs. Mais selon Fabrice Jard, ce n’est qu’une partie de la solution.

« Souvent, la licence supplémentaire ne suffit pas. Il faut aussi mettre plus de cartes contrôleur dans le routeur. Le problème est qu’une connexion VPN mobilise beaucoup plus de puissance de calcul de la part du routeur que la connexion simple d’un salarié qui va sur le web. Car une connexion VPN est chiffrée : il faut donc des processeurs pour encoder et décoder en permanence les flux », explique-t-il.

En filigrane, il explique que le sous-dimensionnement des VPN n’est pas totalement imputable aux entreprises :

« En clair, si votre site est relié au monde externe via une ligne ADSL, alors le modèle de routeur que nous vous avons vendu supportera la connexion VPN entrante de 15 utilisateurs. »
Fabrice JardDraytek France

« Nous livrons des routeurs dont la puissance de calcul est dimensionnée selon la bande passante WAN. En clair, si votre site est relié au monde externe via une ligne ADSL, alors le modèle de routeur que nous vous avons vendu supportera la connexion VPN entrante de 15 utilisateurs. Si votre site est relié à une fibre 10 Gbit/s privée, interconnectée quelque part avec les liens publics qu’utilisent vos salariés, alors notre routeur est dimensionné pour supporter 500 connexions VPN entrantes simultanées. »

En pratique, le nombre de connexions VPN possible correspond surtout au nombre de profils VPN que la DSI peut configurer dans la console d’administration du routeur. Un profil est réservé à un utilisateur : il définit son identifiant, son mot de passe et les ressources réseau auquel il aura accès.

Fabrice Jard refuse de dévoiler dans quelles mesures les entreprises ont passé commande de nouveaux routeurs pour muscler en urgence le nombre de profils VPN. Mais il reconnaît du bout des lèvres une situation que LeMagIT a constatée par ailleurs : en ces périodes de confinement, les livraisons qui prenaient récemment une dizaine de jours sont à présent annoncées avec des délais de six semaines, tous équipements informatiques confondus.

Gagner de la bande passante en optimisant la configuration des routeurs

Dans ces conditions, l’attitude adoptée par les équipementiers est d’optimiser au maximum la configuration des routeurs déjà en place. La bonne nouvelle est que plusieurs marges de manœuvre existent.

« Chiffrer plutôt les flux en IPsec, en L2TP over IPsec ou en PPTP permet de faire passer plus du double de connexions VPN. »
Fabrice JardDraytek France

« La première caractéristique sur laquelle les administrateurs réseau peuvent jouer est la nature du chiffrement du VPN. Un protocole VPN SSL sera souvent privilégié, car il est le plus simple à mettre en œuvre : il n’y a qu’à définir un identifiant et un mot de passe. En revanche, il est aussi le plus lourd à décoder. Chiffrer plutôt les flux en IPsec, en L2TP over IPsec ou en PPTP permet de faire passer plus du double de connexions VPN », explique Fabrice Jard.

Par ailleurs, dès lors que les bureaux sont désertés, nombre de règles de qualité de service n’ont plus de raison d’être, d’autant qu’elles limitent artificiellement la bande passante accordée aux connexions VPN entrantes. « Il en va par exemple ainsi des règles liées à la qualité de service pour la téléphonie sur IP : si peu de gens sont présents sur site, elles ne serviront plus à grand-chose », dit-il.

Fabrice Jard prévient néanmoins qu’il faudra accompagner les utilisateurs pour configurer leurs PC à domicile. Les OS macOS, Windows, Linux, Android et iOS proposent tous par défaut des options très limitées pour configurer des connexions VPN. Dans tous les cas, il vaut mieux installer sur ces machines les clients VPN qui vont de pair avec l’équipement VPN déployé du côté de l’entreprise.

D’autant plus que ces clients VPN spécifiques apportent souvent une fonction essentielle : celle de trier les flux qui doivent passer ou pas par le VPN. Par défaut, en effet, lorsqu’une connexion VPN est active sur un PC ou autre poste client, tous les flux réseau sont redirigés vers l’infrastructure de l’entreprise, même ceux qui n’ont rien à y faire et qui engorgeront inutilement la bande passante des autres collaborateurs. On pense en particulier à la navigation web, y compris quand elle concerne l’utilisation d’applications SaaS professionnelles.

Les DSI recommandent généralement aux salariés d’allumer/éteindre le VPN selon leurs usages, mais rien ne garantit qu’ils penseront à la faire, surtout s’ils basculent sans cesse entre les ressources sur Internet et celles du réseau privé de l’entreprise.

Une autre bonne pratique côté utilisateurs serait de configurer ce VPN au niveau de leur routeur. L’intérêt ? « Un couple salarié dans la même entreprise, ou un utilisateur qui travaille à la fois sur son PC et son appareil mobile, n’utiliseraient plus qu’une seule connexion VPN. » Hélas, cette option est limitée : mis à part chez Free, aucune box ADSL ou fibre grand public ne propose cette fonction.

« En revanche, il peut être intéressant de demander aux salariés si certains d’entre eux ont remplacé leur box par un routeur tiers, car tous les modèles du marché supportent ce paramètre », indique, optimiste, Fabrice Jard.

Pour approfondir sur Continuité d’activité, Sécurité physique

Close