La pandémie de Covid-19 a contraint de nombreuses entreprises à recourir à un VPN pour permettre le télétravail. Problème : elles n’étaient pas forcément prêtes. En cause : le sous-dimensionnement des serveurs, le manque de formation et de mauvaises pratiques. Expert télécoms et formateur ORSYS, Charlie Le Hoangan* revient sur le VPN, un dispositif essentiel à la stratégie de cybersécurité des entreprises.
Alors que le télétravail était encore une pratique isolée en France, le Covid-19 a fait prendre un tournant décisif aux entreprises. En quelques jours, une majorité de salariés, cadres pour la plupart, pouvant travailler à distance ont vu leur environnement de travail être déplacé à leur domicile.
Or, pour permettre à tous ses collaborateurs de rester chez eux tout en gardant l’accès au réseau interne, une entreprise ne dispose que d’une solution : le VPN. Déjà en place chez certaines, d’autres ont dû réadapter leur dispositif au nombre de télétravailleurs… voire s’y intéresser pour la première fois. « Quand la crise est arrivée », explique Charlie Le Hoangan, consultant et formateur chez ORSYS, « les entreprises n’étaient pas prêtes. Elles ont fait comme elles ont pu pour s’adapter au télétravail quand elles y ont été contraintes et, dans la précipitation, ont connu tout simplement des problèmes de logistique. »
Donner un accès à ses salariés implique en effet de mettre en place un dispositif à la fois dans les locaux de l’entreprise et sur les ordinateurs portables.
Qu’est-ce qu’un VPN ?
Le VPN, ou « réseau privé virtuel » (Virtual Private Network), n’a rien d’une nouvelle technologie. « On a depuis longtemps les moyens techniques pour mettre en place le télétravail. Le problème vient davantage d’une résistance au niveau du management », précise Le Hoangan.
Un VPN « sert à fournir une utilisation privative d’un réseau public ou partagé. Dans la pratique, le VPN permet au télétravailleur d’accéder au réseau de son entreprise à travers le réseau public en créant un tuyau virtuel sécurisé. » L’idée est que le télétravailleur puisse accéder aux outils, applications ou serveurs de son entreprise comme s’il y était présent physiquement.
Une confusion entre VPN « sur site » et VPN « en ligne » ?
On assimile souvent les VPN aux outils en ligne permettant de se rendre anonyme sur Internet. La confusion surprend d’ailleurs Charlie Le Hoangan : « L’objectif n’est pas du tout le même. Ce que vendent ces services de « VPN en ligne », c’est de l’anonymisation ; ils permettent à l’utilisateur ne voulant pas être repéré ou traçable de se connecter via un serveur faisant office de relais. Le terme « VPN » dans ce cas-là est purement commercial. »
Des VPN sous-dimensionnés ?
Le recours massif au télétravail a souvent engendré des problèmes de dimensionnement des VPN. Face à ce type d’afflux, la saturation des serveurs est inévitable.
Un VPN efficace et adapté sur la durée ne s’improvise pas. « Pour augmenter le nombre d’accès, l’entreprise est obligée de s’équiper plus lourdement, avec du matériel professionnel et des serveurs dimensionnés pour supporter des milliers de connexions. On doit donc passer d’une simple installation de logiciel pour une poignée de personnes à un équipement beaucoup plus coûteux qui n’a plus rien à voir. (…) La puissance de calcul nécessaire au cryptage des communications est bien plus importante et doit se faire avec des machines adaptées. »
Le VPN dans la pratique
Au niveau de l’entreprise
Le premier problème ? Des idées reçues concernant la sécurité… « Un VPN n’est pas obligatoirement sécurisé. Certaines techniques ne font que la séparation de trafic. Utiliser un VPN sécurisé signifie qu’on a mis en œuvre des techniques de cryptologie pour, de manière simplifiée, chiffrer les données de façon à ce qu’elles ne puissent pas être interceptées. »
Pour cela, l’entreprise peut avoir comme solution de s’en remettre à un opérateur. Ainsi, pour se connecter au réseau de l’entreprise, les télétravailleurs passeront par les systèmes de l’opérateur. Ce sont eux qui vont séparer les trafics. C’est ce qu’on appelle les VPN « de confiance ». Mais avoir recours à cette technique de façon sécurisée implique pour l’entreprise de s’équiper également sur site. C’est-à-dire, pour commencer, faire installer un logiciel client sur les ordinateurs de ses collaborateurs. Il permettra le dialogue sécurisé avec les serveurs de VPN installés dans les locaux (échange de clé, cryptologie, etc.). Une fois tout mis en place, le télétravailleur n’aura qu’à activer le logiciel installé sur son PC portable.
Au niveau individuel
Individuellement, il est tout aussi important d’avoir quelques bases de bonnes pratiques en termes de VPN. « Il faut se rappeler que c’est un outil pour se connecter à l’entreprise. À partir de là, tout ce que vous faites peut avoir un impact sur l’entreprise. Cela signifie qu’il ne faut ouvrir le VPN que dans le cadre d’une utilisation strictement professionnelle. Il faut le couper pour toute utilisation personnelle, et penser également à le couper à la fin de sa journée de travail. Cloisonner. Une attaque, une intrusion par le biais de votre ordinateur alors que le VPN est en marche impacte les serveurs de l’entreprise. »
En matière de cybersécurité, sensibilisation et formation régulière auprès des collaborateurs sont essentielles. Et la question du VPN ne fait pas exception à la règle. Donner un accès au client VPN à ses collaborateurs signifie après tout que l’on étend l’espace du réseau de l’entreprise. Il n’a pas moins besoin d’être sécurisé dans ces conditions. Un bon outil mal configuré ou mal utilisé n’est plus un atout mais un risque.
D’autant que, pour Le Hoangan, le VPN est parti pour continuer à se démocratiser avec la pratique du télétravail : « La crise sanitaire et le confinement qui en a découlé nous ont fait comprendre que le télétravail devenait inévitable de nos jours. Or, anticiper l’instauration du télétravail signifie s’être donné les moyens de développer correctement, et de la manière la plus sécurisée possible, les outils qui l’accompagnent : une configuration optimale des VPN, mais aussi des firewalls, l’installation des antivirus dans les systèmes de communication, etc. » Car, au final, le VPN n’est qu’un outil dans un vaste dispositif à mettre en place. Et il faut bien commencer quelque part.
*Charlie le Hoagan
Consultant spécialiste télécoms. Après avoir travaillé pendant 10 ans chez de gros constructeurs, il crée sa propre structure en 1989, à travers laquelle il propose ses services de consultant en réseaux informatiques, et en particulier en matière de sécurité. C’est également depuis 1989 qu’il a commencé à donner des formations sur ces mêmes sujets.
Nos meilleures formations
- Sécurité VPN, sans-fil et mobilité, synthèse
- Cisco, mise en œuvre de solutions MPLS
- Fortinet, sécurité réseaux