Didier Schreiber directeur marketing Europe du Sud de Zscaler
client VPN certifié par l’anssi, l’utilisation d’un VPN est même requise quel que soit le type d’accès distant. « La sécurité apportée par un VPN chiffré est indispensable pour un accès distant dès lors que l’on souhaite garantir que l’on s’adresse bien au serveur souhaité – principe d’authenticité – et que les données qui transitent ne seront ni interceptées – principe de confidentialité –, ni altérées – principe d’intégrité. » Le VPN permet à un collaborateur de se connecter à un réseau distant afin que ce dernier se comporte exactement comme s’il était sur place et de travailler de chez lui dans les mêmes conditions qu’à son bureau : il a accès depuis son terminal distant à toutes les ressources ( Intranet, serveur de fichier, applications d’entreprise…) auxquelles il accède depuis son bureau.
Une technologie désormais mature
La technologie du VPN n’a plus rien de véritablement nouveau. Les technologies Ipsec et SSL existent depuis plusieurs décennies. Si les clients VPN doivent être régulièrement mis à jour pour intégrer les corrections de vulnérabilités qui restent inévitables, on se souvient notamment de la grande vulnérabilité Heartbleed de la librairie OPENSSL découverte en 2014, ces solutions sont considérées comme matures. Ipsec garde la réputation d’être plus sûr que SSL, mais aussi plus contraignante. « La technologie du VPN a vécu ! Les entreprises les utilisent depuis les années 80 mais celles- ci travaillent de plus en plus dans le Cloud. Les collaborateurs sont de plus en plus en situation de mobilité et le télétravail s’est imposé lors du confinement. Or le VPN n’a pas été conçu pour le Cloud et atteint aujourd’hui ses limites. Lorsque l’entreprise a fait le choix d’appliances physiques, il faut aller sur site et éventuellement les remplacer lorsqu’il faut accroître la capacité de manière significative comme ce fut le cas avec le confinement. Une approche cloud élimine ce type de contrainte puisque tous les éléments de sécurité sont dans nos datacenters. Lors de la crise sanitaire, nous avons constaté 400 % d’accroissement de l’activité sur notre offre ZTNA entre février et mai 2020. »
Mathieu Isaia souligne qu’en termes de sécurité pure, le protocole Ipsec est « plus sûr que le protocole SSL ; avec L’IPsec les opérations de sécurité sont réalisées au niveau de la couche réseau du modèle TCP alors que pour le SSL celles- ci sont réalisées au- dessus de la couche transport et donc dans l’espace de l’utilisateur. L’anssi recommande l’utilisation du protocole Ipsec plutôt que SSL. » Le responsable balaie la critique relative à la complexité de mise en oeuvre d’ipsec. « Les griefs portés sur le protocole Ipsec à une époque – difficulté de mise en oeuvre ou impossibilité d’utilisation sur certains réseaux – n’existent plus depuis longtemps, les VPN Ipsec étant désormais utilisables depuis n’importe quelle localisation et les solutions VPN Ipsec étant désormais extrêmement faciles à déployer. » En outre, les ingénieurs précisent que l’implémentation du protocole SSL par les fournisseurs de ce type d’offres aboutit à une dégradation du débit de la communication due à de multiples aller- retour dans les couches de communications, ce qui n’est pas le cas des solutions Ipsec.
Ipsec ne fonctionne pas partout
Pour Benjamin Leroux, chez Advens, le choix des algorithmes n’est plus tellement un point critique. « Les algorithmes sont aujourd’hui bien connus et les cas d’usages documentés. Le protocole Ipsec reste considéré comme plus sécurisé que le SSL car il englobe toutes les couches réseau, mais parfois Ipsec ne fonctionne pas lorsque les accès sont filtrés comme dans certains sites publics, dans certains hôtels. »
Alhan Douville, ingénieur avant- vente chez Barracuda Networks, estime que d’installer un client VPN sur un ordinateur non sécurisé reste cependant problématique. « Il est difficile d’imaginer déployer ce client sur le PC personnel du collaborateur qui est, par nature, un poste non sécurisé. » Le constructeur propose une alternative, c’est le site web SSL VPN, une plate- forme web HTTP classique à partir de laquelle