De nombreuses organisations utilisent des réseaux privés virtuels (VPN) pour étendre un accès sécurisé aux employés distants. Un VPN crée une connexion sécurisée entre deux réseaux sur l'Internet public, créant ainsi un niveau de confidentialité en ligne pour les travailleurs à distance. Une connexion Internet VPN acheminera votre trafic Web via un tunnel crypté (même lorsque vous utilisez un Wi-Fi public), protégeant ainsi les données sensibles de l'entreprise contre toute interception. Les VPN nécessitent une authentification, ce qui peut contribuer à sécuriser votre réseau.
Problèmes de VPN et de cybersécurité
Lorsque vous utilisez un VPN, le trafic Web et les requêtes des utilisateurs sont protégés par cryptage. Votre fournisseur d'accès Internet (FAI) ne peut pas lire le trafic, et un adversaire au milieu (également appelé homme du milieu) ne peut pas l'intercepter. Il existe une variété de protocoles VPN sécurisés qui assurent l'authentification, le tunneling et le cryptage.
Lors du déploiement d'un fournisseur de services VPN tiers, vous devez être conscient des risques de sécurité associés à la solution VPN. Les VPN constituent le principal vecteur d'attaque des cybercriminels, car ils peuvent généralement exploiter l'accès à l'ensemble de votre réseau via le tunnel VPN.
Lorsque vous sélectionnez un fournisseur VPN, faites preuve de diligence raisonnable pour vous assurer que vous utilisez un fournisseur tiers de confiance. Certains services VPN gratuits présentent un risque plus élevé. Si nécessaire, effectuez une analyse de risque pour évaluer votre exposition potentielle avec ce fournisseur. Évaluez votre cadence de mise à jour et si le client VPN a récemment rencontré des vulnérabilités VPN Zero Day.
Votre fournisseur VPN peut enregistrer certaines informations, telles que votre adresse IP, vous devez donc être conscient de ses politiques de journalisation et de collecte de données. Si le fournisseur VPN est victime d'une attaque ou d'une violation de données, les informations confidentielles de votre organisation et les données personnelles des employés pourraient être compromises ou révélées.
Même si une connexion VPN garantit que le trafic Internet est crypté et donc protégé contre votre FAI, le VPN ne protège pas contre les attaques d'ingénierie sociale que les pirates utilisent pour compromettre les informations d'identification des utilisateurs. Si les employés utilisant le VPN de l'organisation sont victimes d'attaques de phishing, l'attaquant pourrait alors exploiter les informations d'identification de l'utilisateur pour une utilisation non autorisée du VPN de l'organisation. De même, un VPN ne peut pas protéger contre un mot de passe faible, les utilisateurs doivent donc créer des mots de passe forts et mettre en œuvre une authentification multifacteur pour tous les appareils ou comptes pouvant accéder aux données sensibles.
Les VPN ne protègent pas contre les virus ou les logiciels malveillants. Les données transitant par le VPN seront cryptées, mais les données malveillantes peuvent toujours compromettre le compte. Les virus tels que les chevaux de Troie d'accès à distance peuvent toujours être transmis via un serveur VPN crypté. Les utilisateurs doivent donc faire preuve de prudence lors du téléchargement de fichiers. Avoir un solide état d’esprit en matière de sécurité au sein de l’entreprise peut aider à empêcher les travailleurs d’introduire par inadvertance une infection par un ransomware ou un malware.
Restez vigilant avec votre fournisseur de services VPN grâce à une surveillance continue et à des évaluations des risques. Les fonctionnalités et protocoles de sécurité doivent être au cœur de votre évaluation des risques de sécurité VPN.
Comment UpGuard peut vous aider
Avec UpGuard, vous pouvez surveiller en permanence votre surface d'attaque externe avec Breach Risk et votre écosystème de fournisseurs tiers avec notre logiciel de gestion des risques des fournisseurs. L'analyse UpGuard inclut des techniques qui utilisent des protocoles réseau standardisés et accessibles au public pour interroger les hôtes dans diverses catégories. Le processus d'analyse UpGuard identifie les ports VPN suivants qui doivent être vérifiés :
- Port 'IKE VPN' ouvert
- Port 'OpenVPN' ouvert
- Port 'NetMobility' ouvert
- Ouvrir le port 'PPTP'
De plus, la fonctionnalité Produits détectés identifie les produits logiciels utilisés parmi vos actifs, y compris les services VPN :
- Interface VPN SSL FortiOS détectée
- VPN sécurisé Ivanti Connect détecté
Ces capacités de détection sont particulièrement utiles pour les logiciels présentant des vulnérabilités critiques, telles que Fortigate CVE-2023-27997 et Ivanti Connect Secure CVE-2024-21887. L'identification du logiciel utilisé vous permet de corriger rapidement les vulnérabilités pour éviter les fuites de données.
Recommandations pour gérer l'utilisation du VPN
L'utilisation d'un VPN pour le trafic réseau crypté est une excellente mesure de sécurité. Pour augmenter cela, vous pouvez également utiliser les recommandations suivantes pour améliorer la sécurité autour de l'utilisation du VPN dans votre organisation :
- Adoptez une politique de confiance zéro pour tous les accès en dehors de votre réseau.
- Mettez en œuvre le contrôle d’accès en utilisant le principe du moindre privilège pour les autorisations des utilisateurs et exigez une authentification individuelle incluant une confirmation multifacteur.
- Recommandez l'utilisation d'un VPN pour toutes les activités de travail à distance afin de garantir une activité en ligne protégée.
- Enregistrez les informations de session de haut niveau qui peuvent être utilisées à des fins d’audit pour garantir un accès sécurisé et approuvé au réseau. La journalisation des informations est risquée, alors considérez les coûts associés même aux informations de session de haut niveau auxquelles un attaquant pourrait accéder.
- Effectuez régulièrement des audits et des évaluations des risques pour confirmer que le fournisseur de services tiers répond à vos besoins en matière de conformité en matière de sécurité.
- Exigez un protocole de cryptage fort et testez la protection contre les fuites IP et DNS du VPN.
- Envisagez d'utiliser un logiciel VPN basé sur un pare-feu qui combine la restriction du trafic des points finaux d'un pare-feu avec la fonctionnalité de cryptage d'un VPN.
