kras99 - stock.adobe.com
Le VPN résiste face au ZTNA et aux autres alternatives
Le VPN continue d'être utilisé malgré son statut dépassé dans l'industrie des réseaux. Mais l'utilisation a diminué car les entreprises font de la place pour des alternatives d'accès à distance, comme le ZTNA, et SASE, notamment.
Le VPN est-il mort ? C’est une question posée à profusion ces dernières années et qui a fait les gros titres lorsque les experts ont déclaré que les VPN seraient bientôt remplacés par de nouvelles technologies, telles que l’accès au réseau de confiance zéro (ZTNA), le service d’accès sécurisé en périphérie (SASE) et le périmètre à définition logicielle (SDP). Cependant, le VPN reste bien vivant pour l’instant.
L’affirmation selon laquelle les VPN sont morts repose sur le fait qu’à mesure que l’environnement réseau devient plus complexe, les équipes réseau doivent également mettre à niveau les technologies et les outils utilisés pour gérer ces réseaux. Mais, selon les experts, la question n’est pas tant de savoir si le VPN est mort dans les entreprises que de savoir comment les entreprises utilisent les alternatives au VPN pour supporter le travail hybride et à distance.
Le VPN est-il vraiment mort ?
Bien que certaines critiques disent que le VPN est obsolète, les entreprises continuent d’utiliser cette technologie pour permettre l’accès à distance. Des études montrent toutefois que cette utilisation est de moins en moins répandue.
En juin 2023, Zscaler et Cybersecurity Insiders ont publié une étude intitulée « VPN Risk Report ». Sur les 382 professionnels de l’informatique interrogés, 84 % ont déclaré que leur entreprise utilisait les VPN principalement pour permettre l’accès à distance. Plus d’un quart des personnes interrogées ont déclaré qu’elles étaient en train de mettre en œuvre une stratégie zero-trust.
Environ 18 % ont déclaré que leur organisation prévoyait d’adopter des stratégies de confiance zéro, tandis que 24 % ont déclaré que leur organisation les mettrait en œuvre au cours de l’année prochaine. Vingt-trois pour cent ont déclaré que leur organisation envisageait d’adopter une stratégie dite sans confiance, mais sans fixer de calendrier de mise en œuvre. Si ces statistiques semblent indiquer que le ZTNA va supplanter les VPN, d’autres recherches montrent que la situation est plus complexe.
Un rapport de février 2024 de l’Enterprise Strategy Group (ESG) (groupe TechTarget) s’est appuyé sur les réponses de 447 professionnels de l’informatique afin d’examiner comment les entreprises prévoient d’allouer leur budget à des technologies spécifiques en 2024. L’enquête a révélé que, bien que les entreprises s’intéressent de plus en plus à l’accès réseau sans confiance, le ZTNA, elles continuent d’utiliser les VPN. Environ 40 % des personnes interrogées (33 % dans la région EMEA) ont déclaré que leur entreprise prévoyait d’investir dans le ZTNA, qui se classe au premier rang des technologies que les entreprises prévoient d’utiliser pour améliorer la sécurité de leur réseau. Les VPN arrivent en quatrième position avec 28 %.
Les VPN restent utilisés
Selon Bob Laliberte, analyste principal chez theCUBE, même si les ZTNA suscitent de plus en plus d’intérêt, l’utilisation généralisée des VPN persistera probablement dans les entreprises. L’une des raisons est qu’il faudra du temps avant que les entreprises ne passent complètement des VPN à d’autres solutions. L’une des principales raisons pour lesquelles les VPN ne sont pas encore obsolètes est que la technologie a encore des cas d’utilisation.
Lorsque les entreprises ont dû permettre le travail à distance pendant la pandémie de COVID-19, elles se sont empressées de déployer des réseaux privés virtuels, une technologie fiable que les équipes réseau connaissent bien. Cependant, le déploiement à grande échelle a rapidement révélé des lacunes en matière de performances et de sécurité. Selon John Grady, analyste principal en cybersécurité chez ESG, les entreprises qui avaient besoin d’accueillir de nombreux travailleurs dispersés/à distance ont commencé à envisager d’autres solutions d’accès à distance.
« Nous savons depuis des années que les VPN posent des problèmes », constate John Grady. « Ce n’est que lorsque le paradigme de l’accès s’est inversé, avec plus d’utilisateurs à l’extérieur des sites de l’entreprise qu’à l’intérieur, qu’il s’est avéré nécessaire d’y remédier. Avec la disponibilité de technologies alternatives, la nécessité et la possibilité d’explorer d’autres options sont devenues réelles ».
Les entreprises qui ont déjà investi dans leurs VPN peuvent mettre plus de temps à passer à des technologies alternatives parce qu’elles ont déjà intégré ceux-ci dans leurs systèmes. Cette intégration rend donc le processus de transition vers un nouveau produit plus long pour elles.
Toutefois, Bob Laliberte estime que d’autres facteurs pourraient inciter les entreprises à abandonner les VPN plus tôt. Par exemple, si un autre service devient obsolète ou si l’environnement réseau exige de nouvelles dispositions que les VPN ne peuvent pas prendre en charge, les entreprises pourraient passer à une technologie d’accès à distance plus apte à répondre à ces exigences.
Les alternatives répondent à ce que les VPN ne peuvent pas faire
Bien que les entreprises continuent d’utiliser les VPN, les technologies alternatives ont gagné du terrain ces dernières années. L’accès à distance sécurisé est l’une des fonctionnalités les plus essentielles des VPN, en particulier à l’ère du travail à distance et hybride. Mais certains détracteurs affirment que les solutions alternatives aux VPN fournissent aux entreprises un accès à distance sécurisé meilleur que les VPN.
L’une des critiques formulées à l’encontre des VPN est leur sécurité insuffisante : les utilisateurs connectés à un VPN ont accès au réseau et, dans certains cas, à plus d’informations que nécessaire. Les pirates qui compromettent les mécanismes de sécurité du VPN peuvent bloquer l’ensemble des ressources du réseau.
« Les VPN sont visibles sur Internet, ce qui signifie qu’ils sont accessibles aux attaquants », explique John Grady. « Si l’on ajoute à cela le fait que les vulnérabilités sont régulièrement divulguées par les fournisseurs de VPN, cela signifie que les attaquants n’ont pas à travailler particulièrement dur pour trouver un point d’entrée dans le réseau ».
Outre les failles de sécurité, les utilisateurs finaux sont parfois confrontés à des problèmes de connectivité lorsqu’ils sont connectés à un VPN. Selon le rapport de Zscaler, les personnes interrogées ont signalé un certain nombre de problèmes liés à la connectivité VPN, notamment les suivants :
- Vitesse de connexion lente.
- Interruption de connexion.
- Interface utilisateur incohérente entre les différents appareils et plates-formes.
- Processus d’authentification complexe.
- Impossibilité de se connecter au VPN ou d’accéder aux applications.
« Les entreprises s’efforcent de répondre au nombre de travailleurs qui ont besoin d’accéder aux ressources de l’entreprise à distance et reconnaissent les risques de sécurité associés aux VPN, ce qui les amène de plus en plus à explorer d’autres solutions », juge John Grady.
Bob LaliberteAnalyste principal, theCUBE
De nombreuses technologies alternatives aux VPN prennent également en charge de nouvelles exigences en matière de réseau que ne considèrent pas les VPN. Par exemple, nombre d’entreprises ont mis en place dans leurs architectures une gestion de réseau basée sur le cloud. Le ZTNA est une application en mode cloud, ce qui signifie que les entreprises peuvent facilement l’intégrer à d’autres applications, contrairement à un VPN traditionnel situé dans le centre de données.
« Le sujet n’est pas tant que le VPN soit mauvais. Il s’agit simplement du fait que l’endroit depuis lequel nous accédons à nos applications évolue et que l’architecture doit donc changer », a déclaré Bob Laliberte.
ZTNA
Les détracteurs des VPN considèrent en grande partie le ZTNA comme l’héritier présomptif du trône.
Comme les VPN, ZTNA utilise des tunnels chiffrés pour connecter les utilisateurs aux ressources du réseau. Toutefois, à la différence des VPN, ZTNA permet aux utilisateurs d’accéder à des applications spécifiques plutôt qu’à l’ensemble du réseau, et exige des utilisateurs qu’ils s’identifient par le biais de services d’authentification, tels que l’authentification à facteurs multiples (MFA). Les partisans du ZTNA affirment que cette technologie offre une expérience d’accès au réseau à distance sécurisée, qui améliore les capacités de sécurité des anciens VPN.
En septembre 2023, ESG a interrogé 374 professionnels des réseaux sur leurs approches en matière d’accès sécurisé. Le rapport a révélé que 57 % des personnes interrogées avaient des projets complets pour mettre en œuvre le zero-trust dans leur organisation. Par ailleurs, 38 % des personnes interrogées ont déclaré avoir commencé à mettre en œuvre le « sans confiance », tandis que 5 % ont indiqué qu’elles prévoyaient de le faire.
ZTNA est encore une technologie relativement nouvelle, mais il est probable que les organisations commenceront à l’adopter au fur et à mesure de son développement et de sa maturité.
« Au début, les outils comme le ZTNA ne pouvaient prendre en charge que les applications Web », explique John Grady. « Aujourd’hui, certains d’entre eux peuvent également prendre en charge des applications non web, ce qui leur permet de mieux accompagner une stratégie d’accès à plus grande distance ».
Les entreprises pourraient également adopter le ZTNA pour améliorer les performances, car il réduit la latence du réseau, estime Bob Laliberte. Le ZTNA aide en optimisant le parcours réseau des données.
SASE
Le SASE est une architecture cloud qui combine diverses fonctions de mise en réseau et de sécurité en un seul service. La partie réseau du SASE comprend une architecture WAN définie par logiciel (SD-WAN), qui permet aux travailleurs éparpillés/à distance de se connecter à un réseau sécurisé que les professionnels gèrent à l’aide d’un contrôleur de gestion centralisé. En plus d’une connectivité sécurisée, le SD-WAN évite également les problèmes traditionnels des VPN.
Le ZTNA est aussi généralement inclus dans la composante sécurité d’un cadre SASE. Les entreprises utilisent souvent ZTNA comme un tremplin vers SASE pour établir une stratégie d’accès à distance sécurisé, relève John Grady. Le SASE peut être un point de départ pour le zero-trust (le ZTNA fait partie de ce que recouvre le SASE) et vice-versa.
SASE pourrait constituer une alternative au VPN plus avantageuse pour les entreprises qui ont besoin d’une architecture unique capable de surveiller et de gérer les fonctions du réseau avec une sécurité renforcée à moindre coût. Le SASE est également un outil viable pour l’accès à distance sécurisé : plutôt que de permettre aux utilisateurs de se connecter directement au centre de calcul de l’entreprise par le biais d’un VPN, le SASE les connecte aux applications et ressources de l’entreprise via une architecture cloud.
Le SASE prend en charge l’accès à distance, car il achemine le trafic vers des points de présence, l’inspecte et le renvoie ensuite vers les utilisateurs. Lorsque le SASE inclut des politiques ZTNA basées sur l’identité, il peut aider à sécuriser la périphérie du réseau, tout en fournissant un accès aux utilisateurs et aux appareils autorisés.
SDP
Le SDP est une approche de la sécurité qui utilise une frontière logicielle pour cacher l’infrastructure dans le périmètre du réseau. Cela rend l’infrastructure inaccessible aux utilisateurs non autorisés en dehors du réseau. Comme le ZTNA, SDP sécurise l’accès aux ressources en fonction de l’identité de l’utilisateur ou de l’appareil. Les entreprises combinent généralement SDP et ZTNA pour ajouter une couche de sécurité supplémentaire et se protéger contre les attaques potentielles du réseau.
Comme la plupart des solutions VPN, SDP ne repose pas sur une confiance implicite. Au lieu de cela, le SDP crée une segmentation du réseau pour un utilisateur autorisé. Cette segmentation ne comprend que les ressources auxquelles les administrateurs du réseau permettent à l’utilisateur autorisé d’accéder, et seul ce dernier peut se connecter au segment.
Les alternatives au VPN ont-elles tué le VPN ?
La réponse à la question de savoir si les VPN sont obsolètes varie en fonction de la personne qui répond. Les partisans des alternatives d’accès à distance affirment que le VPN est mort, remplacé par des alternatives telles que ZTNA et SASE. Mais d’autres affirment que le VPN est là pour rester, même si les alternatives au VPN commencent à prendre de l’ampleur.
« Je suis toujours très prudent quand il s’agit de dire que quelque chose est mort », indique Bob Laliberte. D’autres technologies « ont été déclarées mortes, alors qu’elles existent toujours et qu’elles ont des cas d’utilisation spécifiques ».
Le principal cas d’utilisation du VPN est qu’il permet aux utilisateurs d’accéder à distance, ce qui s’est avéré utile lors de la pandémie de COVID-19. Maintenant que le travail à distance et le travail hybride sont devenus des éléments essentiels des environnements de bureau, les entreprises cherchent d’autres moyens de permettre l’accès à distance.
« Il est possible que davantage d’organisations utilisent des VPN aujourd’hui, mais à l’avenir, davantage d’organisations prévoient d’utiliser ZTNA », observe Bob Laliberte.
Si les VPN ne vont probablement pas disparaître, d’autres solutions peuvent cependant offrir aux équipes réseau une approche de sécurité plus complète. Et, « pour défendre une organisation, il faut plusieurs niveaux de profondeur », relève Bob Laliberté. « Il n’existe pas de solution miracle. Il s’agit d’examiner chaque environnement et de trouver le moyen de protéger pleinement tous les employés, les accès et les applications ».