VPN : pourquoi les entreprises doivent l’utiliser

Pour réduire les risques d’espionnage économique et d’escroquerie, les entreprises doivent sécuriser les échanges d’informations entre leurs collaborateurs. L’une des meilleures solutions consiste à utiliser un VPN (Virtual Private Network). Il existe des solutions propriétaires, mais les entreprises peuvent aussi utiliser la solution libre OpenVPN.
Voici une introduction généraliste. En complément, vous pouvez lire les articles plus techniques publiés par Securiteoff sur les VPN.

 

grey keyboard green enter button vpn lock symbol

 

Un VPN peut être considéré comme un réseau privé construit au sein d’une infrastructure informatique publique, tel qu’Internet. Il s’agit en quelque sorte d’un réseau dans le réseau qui permet aux personnes, parfaitement identifiées, de communiquer entre elles sans risques (même si le « risque zéro » n’existe pas…). Les données qui y transitent sont sécurisées par des algorithmes de cryptographie.
L’aspect « virtuel » de cette connexion signifie que le réseau privé, ainsi créé, n’est pas matérialisé par des liens physiques.
Le VPN est principalement retenu dans deux cas de figure :

  • des liaisons à distance permettant aux utilisateurs mobiles ou télétravailleurs de se connecter de manière sécurisée au Système d’Information (SI) de leur entreprise : bases de données, applications, messagerie…
  • des accès protégés depuis un réseau wi-fi public afin d’éviter l’interception de données.

Implicitement, cela signifie qu’un VPN ne peut être considéré comme un support ne garantissant aucune infection virale d’un Système d’information ; il ne s’agit que d’une « voie » dédiée au transport sécurisé de données. Si parmi les informations échangées il y a un fichier infecté, le poste de travail qui le recevra et l’ouvrira sera susceptible d’être
touché… L’analyse des flux par des pare-feux (firewall) et des données par un antivirus est toujours indispensable.

 

Les différents types de VPN
Le VPN est basé sur la technique du tunnelling qui permet notamment d’établir une liaison virtuelle, dite « point à point », entre un émetteur et un destinataire parfaitement authentifiés (par des mots de passe ou des clés publiques). Schématiquement, un VPN est un tunnel confidentiel placé à l’intérieur d’un tunnel plus important, en l’occurrence l’Internet.
Ces accès reposent sur différentes couches réseau qui présentent chacune des particularités.

  •  PPTP (Point to Point Tunneling Protocol) : facile à mettre en place, ce protocole implique que le matériel réseau (routeur ADSL, wi-fi) soit compatible. Les différentes versions de Windows intègrent la solution PPTP. Les spécifications du standard PPTP ont été réalisées par plusieurs sociétés qui se sont associées afin d’accomplir cette tâche.
  • L2TP/IPsec (Layer 2 Tunneling Protocol/Internet Protocol Security) : ce protocole très sécurisé est intégré à une vaste gamme d’ordinateurs de bureau. L’IPsec est composé d’une collection de protocoles standardisés au sein de l’organisme IETF (Internet Engineering Task Force) et possède la fonctionnalité de cryptage 256 bits. Un très grand nombre d’équipements réseau, en particulier les routeurs et les pare-feux, permettent l’exploitation d’IPsec. Dans de nombreux cas, l’utilisation d’IPsec présente un rapport « bénéfice en sécurité » sur « coût » appréciable dans la mesure où cette technologie est prise en charge nativement par la plupart plusieurs systèmes d’exploitation et ne nécessite donc pas d’investissements lourds. Il s’agit par ailleurs d’un protocole arrivé à maturité et bien connu. Sa mise en œuvre peut se faire sans charge excessive pour les équipes d’administration.
  • SSTP (Secure Socket Tunneling Protocol) : type de tunnel VPN qui s’appuie notamment sur un canal SSL 3.0. Au départ, le SSL (Secure Socket Layer) est destiné à sécuriser les connexions TCP entre un client et un serveur. Les exemples les plus connus sont la messagerie, les connexions entre un navigateur web et un serveur. Mais le SSL permet aussi de contrôler des accès d’un VPN.
  • OpenVPN: ce logiciel libre est simple à mettre en place et s’appuie sur des technologies maitrisées (SSL, certificats). Il utilise la bibliothèque d’authentification OpenSSL ainsi que le protocole SSLv3. Autre avantage : il est disponible sur de nombreux systèmes d’exploitation et environnements : Solaris, GNU/Linux, Mac OS X et Windows. « OpenVPN implique un peu de temps pour le maitriser, mais comme cette solution est ouverte, in fine, il est plus facile de se débrouiller en cas de problèmes », explique Éric Filiol, Directeur du laboratoire de virologie et de cryptologie opérationnelles (ESIEA Ouest).

 

Les avantages des VPN
Outre la sécurité élevée des échanges de données confidentielles, ce type de réseau facilite les accès au Système d’information de l’entreprise. Dans le cas d’une organisation ou d’une administration ayant plusieurs localisations, l’ajout d’un nouveau site se fait simplement en le connectant à Internet et en l’incluant sur le VPN d’entreprise. Il sera ainsi très facilement intégré sur l’intranet.

 

Les inconvénients des VPN
Leurs disponibilités et leurs performances dépendent largement des fournisseurs de services et des sous-traitants. Les entreprises clientes doivent aussi vérifier le « sérieux » de ces prestataires.
Même si le recours au VPN s’est démocratisé ces dernières années, leur mise en route réclame une forte expertise, notamment une bonne compréhension de la sécurité informatique et des différents protocoles.
Aucune solution ne peut prétendre à une sécurité intégrale. Le VPN ne déroge pas à cette règle d’or. Son principal point faible reste l’accès au VPN. Il est donc recommandé de naviguer en HTTPS afin de protéger au minimum la connexion entre ce réseau virtuel et l’Internet.

 

Partager :

Dans la même catégorie

Publié le : 28/03/2024

7 bonnes pratiques que les petites entreprises peuvent suivre pour se protéger contre les cyberattaques 

Découvrir
Publié le : 26/03/2024

La gestion post-crise : évaluer, apprendre et améliorer le PRA

Découvrir
Publié le : 26/03/2024

Pourquoi un audit de cybersécurité est-il essentiel pour toutes les entreprises ?

Découvrir
error: Le contenu est protégé !!