VPN : pourquoi il est urgent pour les entreprises d’apprendre à s’en servir


Temps de lecture : 5 minutes
Share Button
VPN - ORSYS

Quand le confinement a été décrété pour pallier la pandémie de COVID-19, de nombreuses entreprises ont dû opérer rapidement un recours massif au VPN pour permettre le télétravail. Problème : elles n’étaient pas forcément prêtes. Retour sur un dispositif essentiel et ses solutions les plus adaptées avec Charlie Le Hoangan*, consultant IT  et formateur chez ORSYS.

Alors que le télétravail était encore une pratique isolée en France, la mesure sanitaire du confinement décrétée par le gouvernement en réponse à la pandémie de COVID-19 a fait prendre un tournant décisif aux entreprises. En quelques jours, une majorité de salariés, cadres pour la plupart, pouvant travailler à distance ont vu leur environnement de travail être déplacé à leur domicile.

Or pour permettre à tous ses collaborateurs de rester chez eux tout en gardant l’accès au réseau interne, une entreprise ne dispose que d’une solution : le VPN. Déjà en place chez certaines, d’autres ont dû réadapter leur dispositif au nombre de télétravailleurs… voire s’y intéresser pour la première fois. « Quand la crise est arrivée », explique Charlie Le Hoangan, consultant et formateur chez ORSYS, « les entreprises n’étaient pas prêtes. Elles ont fait comme elles ont pu pour s’adapter au télétravail quand elles y ont été contraintes et, dans la précipitation, ont connu tout simplement des problèmes de logistique. »

Donner un accès à ses salariés implique en effet de mettre en place un dispositif à la fois dans les locaux de l’entreprise, et sur les ordinateurs portables.

Qu’est-ce qu’un VPN ?

« On a tout à fait, et depuis longtemps, les moyens techniques pour mettre en place le télétravail. Le problème venait davantage d’une résistance au niveau du management », précise Le Hoangan. Le VPN, ou « réseau privé virtuel » (Virtual Private Network), n’a donc rien d’une nouvelle technologie. Mais ce qu’a démontré la crise sanitaire est qu’elle est peut-être encore mal comprise, faute d’une utilisation étendue. « Il sert à fournir une utilisation privative d’un réseau public ou partagé. Dans la pratique, le VPN permet au télétravailleur d’accéder au réseau de son entreprise à travers le réseau public en créant un « tuyau » virtuel. » L’idée est que le télétravailleur puisse accéder aux outils, applications ou serveurs de son entreprise. Et ce, comme s’il y était présent physiquement.

Le premier problème ? Des idées reçues concernant la sécurité… « Un VPN n’est pas obligatoirement sécurisé. Certaines techniques ne font que la séparation de trafic. Utiliser un VPN sécurisé signifie qu’on a mis en œuvre des techniques de cryptologie pour, de manière simplifiée, chiffrer les données de façon à ce qu’elles ne puissent pas être interceptées. »

Pour cela, l’entreprise peut donc avoir comme solution de s’en remettre à un opérateur. Ainsi, pour se connecter au réseau de l’entreprise, les télétravailleurs passeront par les systèmes de l’opérateur. Ce sont eux qui vont séparer les trafics. C’est ce qu’on appelle les VPN « de confiance ». Mais avoir recours à cette technique de façon sécurisée implique pour l’entreprise de s’équiper également sur site. C’est-à-dire, pour commencer, faire installer un logiciel client sur les ordinateurs de ses collaborateurs. Il permettra le dialogue sécurisé avec les serveurs de VPN installés dans les locaux (échange de clé, cryptologie, etc.). Une fois tout mis en place, le télétravailleur n’aura qu’à activer le logiciel installé sur son PC portable.

Une confusion entre VPN « sur site » et VPN « en ligne » ?

Une stratégie de travail à distance fiable et sécurisée requiert donc de déployer des efforts logistiques importants. En l’occurrence, ces efforts ont dû se faire dans l’urgence d’un confinement imminent, et pour une majorité de salariés. Confrontées à des problèmes techniques, des entreprises ont notamment cru nécessaire d’avoir recours en supplément à des services de VPN « en ligne »… qui n’ont en réalité de VPN que le nom.

La confusion surprend d’ailleurs Charlie Le Hoangan : « L’objectif n’est pas du tout le même. Ce que vendent ces services de « VPN en ligne », c’est de l’anonymisation ; ils permettent à l’utilisateur ne voulant pas être repéré ou traçable de se connecter via un serveur faisant office de relai. Le terme « VPN » dans ce cas-là est purement commercial. »

Des VPN sous-dimensionnés ?

Des services qui ne peuvent donc rien changer aux problèmes de performance que même les entreprises équipées ont pu connaître. Après tout, pour beaucoup, il a fallu réadapter une solution VPN qui n’était pas prévue pour donner du jour au lendemain un accès à, par exemple, 200 personnes. Face à ce type d’afflux, la saturation du serveur est inévitable.

Néanmoins, mieux vaut ne pas céder à l’urgence pour autant. Un VPN efficace et adapté sur la durée ne s’improvise pas. « Pour augmenter le nombre d’accès, l’entreprise est obligée de s’équiper plus lourdement, avec du matériel professionnel et notamment des serveurs dimensionnés pour supporter des milliers de connexions. On doit donc passer d’une simple installation de logiciel pour une poignée de personnes à un équipement beaucoup plus coûteux qui n’a plus rien à voir. (…) La puissance de calcul nécessaire au cryptage des communications est bien plus importante et doit se faire avec des machines adaptées. » Dans l’ensemble, et à l’heure actuelle, l’utilisation du VPN n’est donc pas optimale. Surtout si l’on prend en compte le fait que l’on a ouvert une multitude de « tuyaux » pour l’occasion. Et des tuyaux qui ne sont pas forcément sécurisés. Pour Charlie Le Hoangan, « il faut mieux se préparer et former massivement »… à une technologie qui va devenir indispensable, même dans « l’après ».

Le VPN dans la pratique

Au niveau individuel, il est tout aussi important d’avoir quelques bases de bonnes pratiques en termes de VPN. « Il faut se rappeler que c’est un outil pour se connecter à l’entreprise. À partir de là, tout ce que vous faites peut avoir un impact sur l’entreprise. Cela signifie qu’il ne faut ouvrir le VPN que dans le cadre d’une utilisation strictement professionnelle. Il faut le couper pour toute utilisation personnelle, et penser également à le couper à la fin de sa journée de travail. Cloisonner. Une attaque, une intrusion par le biais de votre ordinateur alors que le VPN est en marche impacte les serveurs de l’entreprise. »

En matière de cybersécurité, sensibilisation et formation régulière auprès des collaborateurs sont essentielles. Et la question du VPN ne fait pas exception à la règle. Donner un accès au client VPN à ses collaborateurs signifie après tout que l’on étend l’espace du réseau de l’entreprise. Il n’a pas moins besoin d’être sécurisé dans ces conditions. Un bon outil mal configuré ou mal utilisé n’est plus  un atout mais un risque.

D’autant que, pour Le Hoangan, le VPN est parti pour continuer à se démocratiser avec la pratique du télétravail : « La crise sanitaire et le confinement qui en a découlé nous ont fait comprendre que le télétravail devenait inévitable de nos jours. Or anticiper l’instauration du télétravail signifie s’être donné les moyens de développer correctement, et de la manière la plus sécurisée possible, les outils qui l’accompagnent : une configuration optimale des VPN mais aussi des firewalls, l’installation des antivirus dans les systèmes de communication, etc. » Car, au final, le VPN n’est qu’un outil dans un vaste dispositif à mettre en place. Et il faut bien commencer quelque part.


Pour se former :


Charlie Le Hoangan

Consultant spécialiste télécoms. Après avoir travaillé pendant 10 ans chez de gros constructeurs, il crée sa propre structure en 1989, à travers laquelle il propose ses services de consultant en réseaux informatiques, et en particulier en matière de sécurité. C’est également depuis 1989 qu’il a commencé à donner des formations sur ces mêmes sujets.

Share Button

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *