Réseaux privés virtuels (VPN) sont devenus un outil important dans la cyberdéfense des entreprises dans tous les secteurs. Ils chiffrent les données sensibles de l’entreprise, fournissent un accès à distance sécurisé aux travailleurs à domicile, renforcent la sécurité du Wi-Fi public, permettent une navigation Web anonyme, contournent les blocages géographiques et offrent de nombreux autres avantages.
De toute évidence, il existe de nombreuses raisons différentes pourquoi une entreprise pourrait vouloir utiliser un VPN. Mais s’il s’agit d’un nouveau territoire pour une organisation, choisir et mettre en œuvre le bon service peut être difficile. Cependant, poser quelques questions simples peut aider les entreprises à acheter le meilleur VPN disponible.
Les VPN sont des applications nécessaires pour les travailleurs à distance et ne devraient pas être négligés par les entreprises avec une main-d’œuvre à domicile, dit ESET spécialiste de la sécurité Jake Moore. « La sécurité et la confidentialité sont essentielles et doivent être mises en œuvre sur tous les appareils distants dans le réseau de l’organisation », a-t-il déclaré à Computer Weekly.
Lorsqu’elles recherchent un VPN, les entreprises rencontreront une grande variété de fournisseurs sur le marché. Moore exhorte les entreprises à lire les critiques avant de choisir un VPN, car il existe de nombreux fournisseurs inconnus.
« De nombreux nouveaux noms arrivent sur le marché des VPN, dont beaucoup seront inconnus, il est donc essentiel de vérifier les avis disponibles pour obtenir des opinions honnêtes sur leurs produits », dit-il. “Cependant, il est conseillé de rester critique à l’égard des critiques indépendantes, car il existe souvent des critiques payantes pour les produits VPN qui les favorisent. La vitesse et le manque de fiabilité sont des domaines qui peuvent devenir des points de friction pour la plupart et pourraient rebuter les gens. »
En plus de lire des critiques, Moore recommande aux entreprises de prendre le temps de comprendre les risques liés à l’utilisation des services VPN. « Bien que minimes, certains VPN peuvent parfois avoir des trackers tiers intégrés dans leur logiciel ou même être infectés par des logiciels malveillants, donc des recherches supplémentaires sur chaque fournisseur sont essentielles pour trouver la bonne solution », dit-il.
Sean Wright, responsable de la sécurité des applications chez Laboratoires immersifs, convient que les VPN sont des outils essentiels pour les entreprises à l’ère numérique et que les entreprises doivent effectuer de nombreuses recherches avant de sélectionner un fournisseur.
« Il est impératif que vous passiez votre temps et que vous fassiez vos devoirs pour trouver et choisir un fournisseur de services légitime »
Sean Wright, Laboratoires immersifs
« De par leur nature même, les VPN sont des infrastructures critiques et sensibles », dit-il. « Tout votre trafic passera par celui-ci, si vous en utilisez un. Il est donc impératif que vous passiez votre temps et que vous fassiez vos devoirs pour trouver et choisir un fournisseur de services légitime.
« Bien que les VPN puissent offrir une grande sécurité, en particulier lors de l’utilisation d’un réseau public tel qu’un réseau Wi-Fi public, si vous choisissez un service médiocre, ou même un service douteux, vous pouvez même vous mettre davantage en danger. Bien que les canaux cryptés tels que HTTPS puissent aider à réduire quelque peu ce risque, de nombreuses demandes sont toujours effectuées via des moyens de texte en clair, tels que le DNS ordinaire.
Comme Moore, Wright souligne l’importance de prendre en compte les implications de l’utilisation du VPN sur la vie privée. « Étant donné que tout le trafic est acheminé via le fournisseur de services, il est susceptible de voir au moins une partie, sinon la plupart, du trafic que vous utilisez », dit-il. « Ma recommandation personnelle est également de vous assurer que vous payez pour un service VPN. Les gratuits peuvent dépendre des revenus générés par des choses telles que la publicité – et donc le suivi – ou d’autres moyens. »
Wright exhorte également les entreprises à lire les témoignages des clients des fournisseurs de VPN, en particulier ceux publiés sur les magasins d’applications pour smartphones. Ceux-ci détailleront les avantages et les inconvénients des différents systèmes VPN, vous aidant à choisir le bon service pour votre entreprise.
Il souligne que les entreprises peuvent même créer leur propre service VPN, mais cela pourrait présenter des risques si une entreprise n’en a jamais développé un auparavant. Wright dit des outils tels que PiVPN facilitent la création et la configuration d’un service VPN, même si des connaissances préalables sont toujours importantes. Il ajoute : « Vous devez toujours savoir ce que vous faites, par exemple configurer correctement votre réseau pour autoriser les connexions VPN, tout en n’autorisant pas d’autres connexions involontaires. »
Une série de facteurs à considérer
Il existe une série de facteurs importants à prendre en compte lors de la recherche d’un VPN de niveau entreprise, selon Malwarebytes Jean-Philippe Taggart, chercheur senior en sécurité. Tout d’abord, les organisations doivent s’assurer que le service VPN qu’elles ont choisi offre une politique stricte de non-enregistrement, car cela contribuera à améliorer la confidentialité dans son ensemble.
« Dans le meilleur des cas, il devrait y avoir le moins de journalisation possible », dit-il. « Moins de journalisation signifie plus de confidentialité. S’il n’y a pas de journaux, il n’y a rien à retourner. L’un des principaux points de l’utilisation d’un VPN est une plus grande confidentialité pour l’utilisateur final, ce devrait donc être l’une des premières choses que les utilisateurs évaluent.
« De nombreux fournisseurs de VPN annonceront qu’il n’y a pas de connexion sur leur plate-forme, mais cela n’a pas été le cas lorsque le caoutchouc rencontre la route. Cela vaut la peine de faire des recherches sur Internet pour voir ce qui se dit sur les fournisseurs de VPN potentiels en ce qui concerne les pratiques de journalisation réelles par rapport à celles annoncées.
Les entreprises qui cherchent à mettre en œuvre un VPN doivent également savoir où se trouve le siège géographique du fournisseur. Taggart indique l’emplacement d’une société VPN affectera les lois qui peuvent lui être appliquées.
« Dans un scénario où vous utilisez un VPN pour contourner la censure nationale, par exemple, si votre fournisseur VPN est basé dans le pays d’origine de la censure, alors rien n’empêche le gouvernement d’obliger le fournisseur VPN à remettre les journaux, permettant la journalisation ou la modification de leur système pour suivre les utilisateurs », dit-il.
« Cela vaut la peine de faire des recherches sur Internet pour voir ce qui se dit sur les fournisseurs de VPN potentiels »
Jean-Philippe Taggart, Malwarebytes
Avant d’acheter un VPN pour votre entreprise, il est également important de mener des recherches en ligne sur un système potentiel, car cela donnera un aperçu de l’histoire de son entreprise, explique Taggart. “Y a-t-il eu des incidents dans le passé ? Étaient-ils ouverts à leur sujet ? La façon dont une entreprise gère une crise en dit long. Les incidents passés ne sont pas en soi une rupture d’accord, mais la façon dont ils les ont gérés peut l’être. »
Une autre question à se poser est de savoir combien de nœuds de sortie un VPN offre, dit Taggart. « Les nœuds sont des serveurs VPN qui deviendront l’emplacement que vous utilisez, vous souhaitez donc sélectionner un fournisseur qui a des nœuds dans les emplacements à partir desquels vous souhaitez vous connecter. Cependant, vous devez considérer que le nombre de nœuds aura un impact sur la vitesse et les performances globales. Un autre avantage de l’utilisation d’un VPN est que vous pouvez faire l’expérience d’Internet tel qu’il est dans le pays que vous sélectionnez comme nœud de sortie.
Il est également important de déterminer si des protocoles spécifiques sont interdits, dit Taggart. « Cela peut impliquer une inspection du trafic, ce qui n’est pas souhaitable. Cela suggère également que l’infrastructure ne peut pas gérer d’égal à égal [P2P] circulation. Interdire le trafic P2P pourrait signifier que le réseau VPN pourrait ne pas bien fonctionner sous des charges élevées. »
Les VPN offrent de nombreuses fonctionnalités différentes, mais une à surveiller en particulier est un antidémarreur. Taggart déclare : « Certains VPN ont une application pour faciliter la configuration et l’utilisation du VPN. Les utilisateurs doivent comprendre quand ils sont et ne sont pas protégés en toutes circonstances. Dans le pire des cas, l’application rencontre un problème et l’utilisateur surfe sans protection sans en être averti. Le kill switch arrête tout Internet et empêche cela – une fonctionnalité très utile, en particulier pour les utilisateurs moins avertis techniquement.
Enfin, Taggart recommande aux entreprises de demander aux sociétés VPN quelles méthodes de paiement et quelles crypto-monnaies elles acceptent. « Peut-être que votre modèle de menace nécessite un plus grand anonymat ? » il dit. « Certains fournisseurs de VPN acceptent le paiement sous forme de crypto-monnaie, ce qui rend le paiement du service plus anonyme. Gardez à l’esprit que l’utilisation de la crypto ne garantit pas une transaction complètement anonyme. Cela empêche simplement les sociétés de cartes de crédit facilement contraintes de retourner votre historique d’achat.
Autres considérations importantes
Comprendre les différentes fonctionnalités offertes par les fournisseurs de VPN permettra également aux entreprises d’acheter et de mettre en œuvre un service adapté à tous leurs besoins. Lisa Ventura, PDG et fondatrice de la Association britannique de cybersécurité, déclare : « Comme toute autre chose, les organisations doivent évaluer les fonctionnalités que chacune possède et celles qu’elles sont le plus susceptibles d’utiliser par rapport au coût de la solution. Les VPN ont souvent de nombreuses caractéristiques différenciantes, les organisations doivent donc savoir ce qu’il faut rechercher et considérer.
« Les principales choses que les organisations doivent rechercher incluent le nombre de serveurs entre l’utilisateur et le serveur du fournisseur, l’emplacement des serveurs, le nombre d’appareils connectés que la solution permet, la prise en charge disponible pour les appareils supplémentaires, les considérations de confidentialité et de journalisation et, de cours, prix.
Ventura exhorte également les entreprises à vérifier si les sociétés VPN imposent des limites à la quantité de données qu’elles peuvent transmettre et recevoir. “Certains VPN offrent un niveau gratuit et un niveau payant, et ceux qui offrent un niveau gratuit n’autorisent souvent qu’une certaine quantité d’utilisation de données chaque mois”, dit-elle.
La chose la plus importante lors de l’achat d’un VPN est de se rappeler que ce n’est pas comme aller dans un magasin automobile et choisir une galerie de toit pour votre voiture, dit Sophos chercheur principal Paul Ducklin. « Pourtant, c’est ainsi que de nombreuses entreprises voient un VPN – comme un composant ‘add-on’ qui convient tant qu’il s’adapte assez bien », dit-il.
« Assurez-vous d’opter pour un VPN qui est un citoyen égal dans votre solution globale de cybersécurité et qui peut fonctionner automatiquement et activement avec elle, y compris en adaptant son comportement en fonction de ce que le reste de votre système de cybersécurité sait ce qui se passe. »
« Assurez-vous d’opter pour un VPN qui est un citoyen égal dans votre solution globale de cybersécurité »
Paul Ducklin, Sophos
Dan Conrad, stratège de terrain chez Une Identité, affirme que l’efficacité d’un VPN dépend de trois questions clés qui doivent être prises en compte avant d’en mettre un en œuvre. « Tout d’abord, la mise en œuvre adhérera-t-elle aux meilleures pratiques de confiance zéro ? » il dit. « La meilleure façon de garantir les principes de confiance zéro est de valider que le VPN ne se termine pas dans un centre de données, car cela place trop de confiance à l’origine. »
La deuxième question est de savoir si l’authentification est suffisamment forte, dit Conrad. « Une authentification forte doit également être appliquée aux côtés du VPN sélectionné pour renforcer les sessions. »
Troisièmement, Conrad dit que les entreprises doivent se demander si elles peuvent surveiller ces sessions. Il souligne que l’authentification forte n’avertit pas les entreprises si les informations d’identification sont mal utilisées ou si elles subissent des menaces internes. « C’est là que la surveillance du comportement aidera les entreprises à détecter les actions suspectes et à réagir de manière proactive pour minimiser les dommages », ajoute-t-il.
Avec les menaces en ligne qui continuent d’augmenter et la grande majorité des personnes travaillant à distance pendant la pandémie de coronavirus, l’utilisation de VPN peut aider les entreprises à améliorer la cybersécurité et à protéger les travailleurs à distance. Mais ce qui est clair, c’est qu’ils ne devraient pas se précipiter pour choisir et mettre en place un service VPN. Au lieu de cela, les entreprises doivent faire de nombreuses recherches et sélectionner un VPN en fonction de leurs propres besoins.
