ZTNA et VPN : pourquoi les opposer alors qu’il faut les associer !
Publié le 15/5/2023
Auteur : François BONNET, Head of Product & Alliances
Le développement massif des usages nomades comme le télétravail (31 % des salariés en France pratiquent le télétravail selon Malakoff Humanis) et l’éclatement des systèmes d’information, posent des défis considérables aux RSSI en matière de sécurité des accès distants. Dans ce contexte, le « Zero Trust », nouveau modèle de sécurité pour les SI, apparait comme une alternative séduisante à la défense périmétrique. Le dernier baromètre de la Cybersécurité du CESIN nous apprenait que ce modèle est désormais expérimenté par deux entreprises sur cinq.
Cependant l’approche ZTNA qui découle de ce modèle et prônée par le Gartner, est souvent présentée comme une défense impliquant l’abandon du VPN et de la protection des communications. Pourtant le modèle Zéro Trust repose sur deux principes, l’authentification et l’autorisation. Deux principes qu’un client VPN d’entreprise est capable d’appliquer tout en garantissant en plus un chiffrement robuste de la communication. C’est la raison pour laquelle chez TheGreenBow, nous pensons qu’il y a tout intérêt à associer l’approche ZTNA et l’usage du VPN.
Le Cloud pose un problème de confiance
« In Cloud we trust? » tel était le thème phare de l’édition 2023 du FIC. Avec cette question centrale : peut on faire confiance au Cloud que l’on présente depuis plusieurs années comme un moteur incontournable de la transformation numérique ? Largement adopté par les entreprises américaines, l’Europe reste de son côté encore frileuse avec « seulement » 40 % d’adoption du Cloud public. Probablement parce que les entreprises européennes sont conscientes des risques. Notamment celui de « lock-in » ; c’est-à-dire une dépendance très forte aux hyperscalers américains ou encore du risque de perte de confidentialité du fait de lois extraterritoriales. Rappelons que 70 % des données européennes sont déjà stockées et traitées en dehors du continent, principalement par ces hyperscalers.
En France, le baromètre annuel du CESIN révèle que le cloud représente 50 % du SI des entreprises sondées. Les deux principaux facteurs de risque qui ressortent du sondage, sont la non maîtrise de la chaîne de sous-traitance de l’hébergeur et la difficulté de contrôle des accès par les administrateurs de l’hébergeur. Ce qui revient à se contenter d’une confiance « par défaut ».
Enfin, la sécurité physique n’est pas à écarter totalement dans la liste des risques liés au Cloud. L’incendie du datacenter d’OVH à Strasbourg, ou bien celui survenu il y a quelques jours chez Global Switch à Clichy et qui a perturbé des services Google Cloud, sont là pour nous le rappeler.
La décision de migrer vers le Cloud de toutes ou grande partie des ressources informatiques comme nous le prédisent avec insistance les analystes américains, n’est pas si certain ni inéluctable. Les OIV et les futurs EE (Entités Essentielles) et EI (Entités Importantes) ne peuvent pas faire ce choix par exemple.
Le faux procès fait au VPN
Les fournisseurs de solutions ZTNA ont pour habitude d’expliquer que l’usage de VPN n’est pas compatible avec l’approche Zero Trust et que le déploiement d’une solution ZTNA implique naturellement l’abandon du VPN. Pour le justifier, ils font un faux procès au VPN en lui attribuant des maux qui n’appliquent pas à tous les VPN. L’un des reproches les plus courants porte sur la sécurité. Les vulnérabilités régulièrement découvertes des logiciels VPN sont pointées du doigt. L’existence de vulnérabilités est indéniable en revanche, il convient de préciser qu’elles portent systématiquement sur des VPN utilisant le protocole SSL et TLS (cf. notre article de blog). Les VPN IPsec sont beaucoup plus robustes et très rarement pris à défaut.
Autre argument fallacieux souvent employé : les VPN sont une porte d’entrée qui donne accès à tout le réseau de l’entreprise et les applications qui s’y trouvent. Ceci n’est pas exact. Le VPN peut être configuré de telle sorte que l’accès se limite à une partie du réseau ou bien proposer à l’utilisateur plusieurs tunnels en fonction de son profil et de la partie du réseau à laquelle il est autorisé à accéder. Le client VPN TheGreenBow répond ainsi à différents cas d’usage : l’administrateur réseau qui a besoin de protéger ses flux d’administration montera un tunnel spécifique, un ingénieur commercial en télétravail qui doit accéder à des ressources stockées sur un SI Diffusion Restreinte montera un tunnel IPsec DR, un collaborateur nomade qui se connecte au Wi-Fi d’un des sites de l’entreprise …
Autre reproche fait au VPN : la performance des connexions. Il est vrai que pendant la pandémie, beaucoup d’entreprises ont été contraintes d’augmenter très rapidement le nombre de télétravailleurs sans avoir le temps d’ajuster en conséquence la capacité de leurs passerelles. Celles-ci se sont alors retrouvées saturées. Les entreprises ont maintenant rectifié le tir et revu le dimensionnement de leurs équipements. Il est également possible de configurer les VPN pour éviter qu’une connexion vers une application hébergée dans le cloud comme Teams ou Salesforce, ne passe obligatoirement par un tunnel VPN.
L’administration d’un parc de clients VPN (installation, activation de la licence et déploiement d’une configuration respectant la politique de sécurité de l’entreprise) fait également partie des inconvénients mis en avant par les fournisseurs de solutions ZTNA. C’est méconnaitre les outils d’administration comme le Connection Management Center de TheGreenBow, une console qui permet d’activer facilement des licences, créer les configurations et les déployer rapidement.
Pour résumer, si le ZTNA est parfaitement adapté au SaaS, le VPN « Zero Trust » est la solution pour les réseaux d’entreprise modernisés.
ZTNA et VPN : marions-les !
Toutes les entreprises ne mettront pas leur SI dans le Cloud. Le cas hybride ou majoritairement « on-premise » va perdurer. D’autre part la menace de type « Man-In-The-Middle » est toujours d’actualité. Alors pourquoi abandonner la partie chiffrement d’une connexion ? Ou tout au moins, pourquoi se reposer sur une connexion chiffrée en TLS générée par le navigateur dont nous savons qu’elle est beaucoup moins robuste qu’un tunnel IPsec ?
L’approche ZTNA est clairement intéressante pour renforcer le niveau de sécurité. Et nous pensons que le VPN a un rôle à jouer dans cette approche et que son usage associé à des principes ZTNA permet d’élever le niveau de protection, notamment pour se conformer aux nouvelles réglementations européennes comme NIS 2 et DORA.
Dans cet esprit, TheGreenBow a développé plusieurs fonctionnalités de type ZTNA pour ses clients VPN. L’idée directrice étant d’ajouter des points de contrôle supplémentaire sur l’identité du demandeur de la connexion chiffrée mais aussi de vérifier la pertinence de la demande d’ouverture d’un tunnel avant de l’exécuter.
Premier exemple de fonctionnalité répondant à cette nouvelle stratégie produit : le mode GINA. Une fois activée, cette fonctionnalité consiste à monter un tunnel VPN avant l’ouverture de la session Windows permettant ainsi d’authentifier l’utilisateur qui souhaite ouvrir un tunnel.
Deuxième exemple : l’authentification multi-facteurs, l’un des principes phares du ZTNA. Avec un client VPN Windows de TheGreenBow, il est possible de mettre en place une double authentification avec un mot de passe et un certificat stocké sur un token comme une carte à puce.
Dernier exemple en date : la vérification de la santé du poste avant ouverture d’un tunnel pour commencer et à venir avec le Connection Management Center, la mise en place de règles incluant la conformité du poste permettant de conditionner l’ouverture d’un tunnel spécifique.
Renforcer l’autorisation et l’authentification avant l’ouverture d’un tunnel est un driver fort du développement des produits TheGreenBow suivant en cela les préceptes du ZTNA. N’hésitez pas à solliciter les équipes TheGreenBow pour leur demander des démos d’ouverture de tunnels ZTNA !
