Tourner définitivement la page du VPN en six étapes

Pendant des années, les réseaux privés virtuels (VPN) ont été la solution de référence pour un accès à distance sécurisé.

Pourtant, à mesure que le paysage numérique évolue, ils ne représentent plus une infrastructure solide, mais une vulnérabilité majeure. En effet, les VPN d’accès à distance traditionnels dits « hérités », soulèvent par leur nature même un risque croissant pour la sécurité, attirant les cyberattaquants et autorisant des mouvements latéraux non-autorisés au sein des réseaux. Dans son Panorama de la menace 2024, l’ANSSI précise d’ailleurs que de nombreux cybercriminels se servent de VPN compromis pour infiltrer les organisations qu’ils ciblent.

La pratique courante du backhauling, qui consiste à acheminer le trafic non local via un VPN pour accéder à Internet, est à l’origine de mauvaises expériences pour les utilisateurs, de coûts élevés et d’un routage complexe. Les entreprises qui souhaitent moderniser leur connectivité au bénéfice d’une main-d’œuvre de plus en plus hybride considèrent généralement l’accès ZTNA (Zero Trust Network Access) comme la solution optimale.

Cependant, toutes les solutions ZTNA ne permettent pas, par leur conception, de remplacer entièrement un VPN. Pour bénéficier de performances réellement supérieures à celles des réseaux privés virtuels traditionnels, les entreprises doivent se concentrer sur leurs cas d’usage au lieu d’essayer de s’adapter à une seule technologie. Ce faisant, il devient évident qu’une approche de plus grande envergure de type SASE (Secure Access Services Edge), qui associe le ZTNA à la technologie d’isolation de routeur à distance (RBI) ou à des navigateurs d’entreprise, convient idéalement pour se débarrasser une fois pour toutes d’un VPN.

Dans ce contexte, les entreprises doivent tout mettre en œuvre pour être en capacité de remplacer la technologie existante par une solution de nouvelle génération et procéder à une mise à niveau efficace sans fragmenter leur infrastructure technologique, en suivant six grandes étapes.

Accompagner le travail hybride

L’essor du travail hybride a mis en évidence les lacunes des VPN traditionnels qui, outre une visibilité limitée sur l’activité des applications, souffrent de la latence inhérente à l’emploi du backhauling, et accordent un accès étendu au réseau — ce qui élargit la surface d’attaque au travers de mouvements latéraux illimités. De plus, les vulnérabilités non corrigées dans certains concentrateurs VPN constituent des vecteurs d’attaque potentiels majeurs.

Pour que la technologie d’accès à distance alternative prenne effectivement en charge la main-d’œuvre hybride, la solution ZTNA choisie doit permettre d’accorder aux applications privées un accès de moindre privilège qui tienne compte de l’identité et du contexte afin de réduire de manière significative les mouvements latéraux non autorisés. La visibilité détaillée en temps réel du trafic applicatif et de l’activité garantira la mise en œuvre homogène des règles de connectivité, indépendamment de l’endroit où se trouve l’utilisateur. De plus, cette approche permet d’établir en toute sécurité une connectivité en amont de la connexion, ce qui facilite l’intégration sécurisée de nouveaux appareils et autorise la réinitialisation des mots de passe à distance, de sorte que seuls les appareils dûment autorisés pourront accéder aux ressources internes critiques.

Accélérer la migration vers le cloud

La transformation numérique a conduit à un point de bascule où plus de workloads résident dans les environnements de cloud publics que dans les datacenters privés. En d’autres termes, une connectivité efficace avec les IaaS (Infrastructure-as-a-Service) constitue une priorité absolue pour les utilisateurs, que ce soit sur site ou à distance. Dans le cas des infrastructures VPN traditionnelles, des datacenters privés acheminent le trafic utilisateur avant d’atteindre les environnements cloud IaaS en utilisant souvent la technique de commutation MPLS ou des tunnels directs. Ce processus se traduit par une expérience médiocre, une hausse des dépenses d’infrastructure et un routage réseau complexe. Les équipes IT soulignent la possibilité d’améliorer ces expériences grâce aux programmes ZTNA.

Tous les modèles ZTNA ne permettent néanmoins pas systématiquement de résoudre des décisions de routage aussi illogiques que fastidieuses. Il convient par conséquent de rechercher une solution ZTNA qui accorde autant d’importance à l’architecture réseau qu’à la sécurité. Tout trafic de type « hairpinning » ou tout schéma architectural qui oblige les données à parcourir une distance plus longue que nécessaire, ajoute de la latence et, à terme, nuit à l’expérience des utilisateurs.

Faciliter l’accès aux appareils non managés

Les entreprises doivent souvent permettre aux sous-traitants, prestataires de services et autres partenaires externes d’accéder de façon sécurisée à leurs ressources. Les sous-traitants apportent leurs propres terminaux et les collaborateurs espèrent accéder au réseau en toute transparence à partir de leurs appareils personnels. Autoriser l’accès aux appareils non managés sans exposer leurs ressources à l’Internet public ou à une zone démilitarisée (DMZ) soulève un défi de taille pour les entreprises. Dans ce contexte, exiger un logiciel client particulier pour ce seul cas d’utilisation peut s’avérer peu pratique dans la mesure où les utilisateurs hésiteront à l’installer sur leurs appareils ; à l’inverse, accorder un accès VPN aux appareils non managés peut donner lieu à des droits d’accès excessifs.

Dans un tel cas, il est logique de choisir une solution ZTNA intégrée à une architecture SASE ou SSE (Security Service Edge) consolidée. Les navigateurs d’entreprise disposent de précieuses options d’accès à distance destinées aux appareils non managés ; lorsqu’ils sont utilisés à partir d’une plateforme plus importante, ils peuvent être associés à ce type de scénario sans qu’il soit nécessaire de dupliquer les tâches opérationnelles liées à la gestion des règles.

Assurer la prise en charge des centres d’appel à distance

Aux quatre coins du monde, les employés des centres d’appel à distance sont confrontés à des défis de connectivité sans équivalent. Si de nombreux centres ont adopté une solution de communications unifiées en tant que service (UCaaS) basée sur le cloud, ils sont encore nombreux à s’appuyer sur des systèmes VoIP hébergés sur site pour acheminer les appels via des VPN d’accès à distance. Or, cette configuration peut se traduire par une qualité VoIP aléatoire marquée par des fluctuations et des latences qui représentent une source de frustration pour les agents comme pour les clients. La plupart des solutions ZTNA déployées dans le cloud ne prennent actuellement pas en charge le protocole VoIP hébergé sur site, obligeant les entreprises à gérer de concert une infrastructure ZTNA et une infrastructure VPN.

Pour ce scénario, les organisations ont tout intérêt à opter pour une solution qui fusionne les fonctionnalités ZTNA et SD-WAN au sein d’un seul et unique outil, voire d’un seul et unique client. Une fonction d’orientation dynamique du trafic et d’une qualité de service (QoS) contextuelle sera alors nécessaire pour bénéficier d’une expérience homogène entre les applications voix et vidéo.

Intégrer les applications héritées

Tester la compatibilité est une étape cruciale de tout processus de mise à niveau technologique. Lors du déploiement du ZTNA, les entreprises découvrent que certaines applications héritées sont incompatibles avec la plupart des solutions ZTNA actuellement disponibles. Par exemple, les applications héritées qui nécessitent un trafic initié par le serveur fonctionnent mal avec la « connectivité inside-out » d’une solution ZTNA moderne où le trafic est initié par le terminal. La refonte et la modernisation de ces systèmes propriétaires consomment généralement beaucoup de temps et de ressources, et nécessitent une planification minutieuse.

Dans ce cas, il est primordial d’étudier la manière dont le ZTNA gère l’accès aux applications privées, ainsi que l’accès au cloud et à d’autres ressources plus récentes. Il convient de bien comprendre que si les applications héritées ne vont pas évoluer à brève échéance, les besoins en matière d’accès sécurisé ne peuvent attendre. Les entreprises doivent prolonger la durée de vie des applications héritées, mais sans compromis quant aux objectifs de consolidation des technologies d’accès. Un accès rapide et fiable aux applications, quel que soit l’endroit où elles sont hébergées, est un pilier de toute stratégie ZTNA.

Faciliter l’intégration des fusions et acquisitions

Les fusions et acquisitions constituent des évènements à enjeux élevés qui se déroulent à un rythme soutenu et soulèvent des défis uniques pour les équipes IT, réseau et sécurité. Le succès d’une fusion-acquisition dépend dans une large mesure de la rapidité avec laquelle l’intégration des deux entreprises est réalisée. À la fois complexes, fastidieuses et onéreuses, les méthodes traditionnelles de fusion des réseaux entraînent souvent des conflits d’adresses IP et nécessitent une nouvelle numérotation des adresses. Pour beaucoup d’entreprises, l’accès de tiers et l’intégration des fusions-acquisitions à l’aide d’un VPN représentent des opérations particulièrement complexes. Dans les organisations très actives en la matière, plusieurs technologies d’accès à distance cohabitent sans pour autant qu’elles envisagent de gérer la situation avec davantage de facilité lors d’acquisitions ultérieures.

Dans ce contexte, la technologie ZTNA prend tout son sens. Elle permet en effet aux entreprises d’accroître rapidement leur valeur métier en connectant sans attendre les employés, les sous-traitants et les conseillers aux ressources essentielles. En outre, il évite de configurer le VPN et de gérer la fusion des réseaux, avec à la clé une intégration immédiate et sécurisée. L’accord d’accès se fait en fonction de critères de confiance flexibles capables de tenir compte de l’identité des utilisateurs, de la sécurité des appareils et d’autres facteurs contextuels pour minimiser les risques de mouvement latéral et d’exposition d’informations sensibles grâce à un accès sélectif aux applications et aux données.

Évaluées dans un contexte concret, de nombreuses solutions ZTNA ne parviennent toutefois pas à éviter les problèmes évoqués ci-dessus, précisément parce qu’elles ne couvrent pas tous les cas d’usage des entités absorbées. Les entreprises ne peuvent désactiver aucun VPN hérité tant qu’il ne couvre pas la totalité des utilisateurs et des applications (même de certains logiciels hérités dont l’utilisation peut poser question). Les entreprises envisageant une fusion-acquisition se doivent d’examiner autant de cas d’usage que possible. En effet, même si elles ne sont pas toutes utilisées aujourd’hui, certaines solutions peuvent être requises auprès d’une entité par une société qui envisage de l’acquérir.

Longtemps à la pointe de la technologie, les VPN d’accès à distance affichent aujourd’hui d’importantes failles de sécurité, affaiblissent les performances réseau et pénalisent l’expérience des utilisateurs. De nombreuses solutions ZTNA sur le marché se contentent de remplacer partiellement cette technologie, ce qui crée une infrastructure parfois plus complexe que la configuration d’origine. Au moment d’évaluer des alternatives de nouvelle génération, ces compromis deviennent superflus en identifiant les scénarios opérationnels les plus élaborés dès le départ et en les prenant en compte dans le choix de l’architecture.