VPN : les bonnes pratiques pour maintenir la sécurité

Sécurité, authentification et autorisation des points d’accès VPN

Le VPN se concentre sur la connectivité. Et originellement, peu importent la posture de sécurité du terminal et l’authentification de l’utilisateur : tant que la négociation de tunnel de bout en bout se fait correctement, la connexion est établie. Cela peut suffire pour les utilisateurs individuels, mais la plupart des entreprises exigent que les terminaux répondent au même niveau d’exigences que celui normalement observé sur site. Elles exigent également l’authentification des utilisateurs sur ces dispositifs : pas question de laisser le premier venu visiter les ressources du système d’information.

C’est là que les outils de protection des terminaux et les systèmes de détection et de remédiation sur les hôtes (EDR) entrent en scène. Ces systèmes protègent les postes de travail des utilisateurs contre les logiciels malveillants et les virus, et peuvent même garantir que les systèmes se connectant à l’entreprise sont conformes aux politiques internes d’application des mises à jour et autres correctifs. C’est particulièrement important pour les utilisateurs qui travaillent à domicile ou dans d’autres lieux non sécurisés pendant de longues périodes.

La plupart des pare-feu de nouvelle génération (NGFW) et des UTM intègrent la fonction de serveur VPN à ce type de contrôle d’accès et peuvent même imposer au passage l’authentification à facteurs multiples (MFA).

Sécurité du serveur VPN

Des services VPN peuvent être déployés sur Windows ou Linux, mais ce n’est pas recommandé dans la plupart des environnements d’entreprise. Les administrateurs système ne sont généralement pas formés ni équipés pour faire face à l’assaut de problèmes de sécurité liés à l’exposition directe des serveurs sur Internet. Toutefois, les équipes placées dans une telle configuration doivent veiller à limiter l’utilisation du service VPN, tant en termes d’utilisateurs que de tâches accessibles via celui-ci.

Pour une meilleure sécurité, la plupart des fournisseurs de NGFW – voire de SD-WAN et de SASE – intègrent à leurs produits des services VPN de niveau entreprise. Avec ces types de systèmes, la fonction de serveur VPN est intégrée dans un dispositif ou un système de sécurité durci.

Mettre en œuvre et documenter la politique de sécurité du VPN

Il est difficile pour les entreprises d’élaborer des politiques d’accès et de sécurité cohérentes lorsqu’elles disposent d’un enchevêtrement de systèmes. Consolider les systèmes VPN suivant une norme commune peut être un bon point de départ. Car une fois l’ensemble homogénéisé, il est beaucoup plus facile de définir et de mettre en œuvre des politiques.

Des systèmes NGFW plus sophistiqués permettent d’associer des profils d’utilisateurs à des Security Group Tags (SGT), qui fournissent des labels uniques décrivant les privilèges octroyés à l’utilisateur au sein du réseau. La nomenclature SGT est celle de Cisco, mais ce niveau d’abstraction est présent chez de nombreux équipementiers et peut même s’appliquer dans une approche multifournisseur en utilisant le Platform Exchange Grid de Cisco, désormais standard de l’IETF, RFC 8600. Ainsi, il est possible de définir des politiques pour des groupes auxquels les utilisateurs seront affectés.

Les défis de la sécurité des VPN

Lorsque l’on suit les meilleures pratiques pour sécuriser un VPN, il est important de comprendre également les défis qui y sont associés.

Split tunneling. En pratique, le « split tunneling » implique généralement un accès direct à l’internet pour certains services et une connexion via un tunnel VPN pour d’autres trafics d’entreprise. Il est ainsi courant de permettre l’accès direct aux applications SaaS, telles que Microsoft 365, tout en forçant le passage par le VPN de tout autre trafic.

Bien que le split tunneling soit populaire, il présente des inconvénients. L’accès SaaS est direct, ce qui améliore les performances, mais il peut aussi être un vecteur d’attaques et d’exfiltration de données.

Délais d’inactivité. Les entreprises doivent également veiller à ce que les sessions inactives soient interrompues – en trouvant un juste équilibre, pour ne pas pénaliser l’expérience utilisateur. Généralement, il est recommandé de maintenir les connexions inactives pendant 10 à 30 minutes, mais pas plus. Et si l’entreprise peut contrôler le terminal, il est également crucial d’exiger un verrouillage de l’écran après un certain délai d’inactivité – là encore, le plus court possible – tout en tenant compte de l’expérience utilisateur.