Malgré une forte sensibilisation aux risques VPN, le travail à distance a contraint de nombreuses entreprises à s’appuyer davantage sur les anciennes méthodes d’accès pendant la pandémie. Dans le même temps, les cybercriminels continuent de tirer parti des vulnérabilités de sécurité de longue date et de l’augmentation des attaques contre les VPN, selon le rapport sur les risques VPN de Zscaler.
« Comme en témoignent plusieurs violations et attaques de rançongiciels très médiatisées, les VPN continuent d’être l’un des maillons les plus faibles de la cybersécurité. Les lacunes de leur architecture fournissent un point d’entrée aux acteurs de la menace et leur offrent la possibilité de se déplacer latéralement et de voler des données », a déclaré Deepen Desai, RSSI mondial de Zscaler.
« Pour se prémunir contre l’évolution du paysage des menaces, les organisations doivent utiliser une architecture Zero Trust qui, contrairement au VPN, n’amène pas les utilisateurs sur le même réseau que les informations critiques de l’entreprise, empêche les mouvements latéraux avec la segmentation utilisateur-application, minimise le surface d’attaque et fournit une inspection TLS complète pour éviter les compromis et la perte de données. ”
La confiance zéro sécurise l’accès à distance
Alors que de plus en plus d’entreprises ont des employés qui retournent au bureau, 95 % des lieux de travail interrogés comptent toujours sur les VPN pour prendre en charge une combinaison d’environnements de travail hybrides et distribués qui couvrent souvent plusieurs zones géographiques. Outre les employés distants, les grandes organisations étendent souvent l’accès au réseau à d’autres parties prenantes externes, notamment les clients, les partenaires et les sous-traitants. Dans de nombreux cas, ces utilisateurs se connectent à partir d’appareils non fiables sur des réseaux non sécurisés, se voient accorder beaucoup plus de liberté que nécessaire et entraînent des risques de sécurité supplémentaires.
Contrairement aux VPN encombrants et non sécurisés, l’architecture Zero Trust améliore la sécurité de l’organisation sans sacrifier l’expérience utilisateur. De plus, la confiance zéro permet aux équipes informatiques de garder secret l’emplacement de leur réseau et de leurs applications, réduisant ainsi la surface d’attaque et la menace d’attaques basées sur Internet.
Les risques VPN continuent de croître
L’augmentation du nombre de télétravailleurs dans tous les secteurs a entraîné une forte augmentation des cyberattaques conçues sur mesure pour cibler les utilisateurs de VPN. Comme les VPN accordent un plus grand degré de confiance aux utilisateurs par rapport à l’architecture Zero Trust, les cybercriminels cherchent plus activement à obtenir un accès non autorisé aux ressources du réseau via des surfaces d’attaque exposées.
Selon le rapport, 44 % des professionnels de la cybersécurité ont été témoins d’une augmentation des exploits ciblant leurs VPN professionnels au cours de l’année écoulée, démontrant les risques associés à cette technologie lorsqu’elle est déployée pour prendre en charge les utilisateurs distants.
Les architectures de sécurité réseau héritées sont omniprésentes et profondément ancrées dans les centres de données d’entreprise, ce qui rend difficile la remise en question du statu quo et l’adoption de nouvelles architectures. Il n’est donc pas surprenant que presque toutes les organisations interrogées continuent d’utiliser des VPN tout en sachant qu’elles sont ciblées par des ransomwares et des malwares. Pendant ce temps, les fournisseurs de sécurité réseau en place ont tout intérêt à maintenir le statu quo de l’accès à distance.
Les entreprises doivent se méfier des anciennes approches d’accès au réseau qui s’appuient sur un VPN basé sur le cloud, et examiner les architectures des fournisseurs pour déterminer si elles apporteront des avantages significatifs en matière de réduction des risques et d’expérience utilisateur. La technologie VPN comporte les mêmes lacunes et risques fondamentaux dans les machines virtuelles cloud que dans les appliances, et doit être évitée au profit d’approches plus modernes.
Alternatives VPN
Les risques permanents liés aux anciens VPN ont entraîné une évolution progressive vers une sécurité zéro confiance, qui offre un contrôle et une flexibilité accrus pour une gestion efficace de l’accès à distance. 78 % des organisations interrogées pour le rapport sur les risques VPN ont indiqué que leur future main-d’œuvre sera hybride, créant un besoin continu pour ce type d’infrastructure de sécurité dans l’entreprise.
Depuis le passage aux environnements de travail à distance et hybrides, 68 % des entreprises interrogées ont indiqué qu’elles accéléraient leurs projets de confiance zéro. Contrairement aux VPN, l’architecture Zero Trust traite toutes les communications réseau comme potentiellement hostiles et nécessite un accès plus strict à l’aide de politiques de validation basées sur l’identité. Cela garantit que les équipes informatiques et de sécurité peuvent empêcher les utilisateurs d’accéder aux applications interdites et empêcher les intrus malveillants de profiter de l’accès accordé pour se déplacer latéralement au sein du réseau.
L’architecture de sécurité Zero Trust réduit également les risques réseau en éliminant la surface d’attaque, en masquant l’activité des menaces basées sur Internet et en les connectant directement aux applications et aux ressources dont elles ont besoin.
