Discussion :

[Sandra Coret]

90 % des entreprises sont préoccupées par les vulnérabilités des VPN, le phishing étant la plus grande préoccupation de toutes, cité par 49 % des organisations

Les VPN permettent de protéger votre vie privée en ligne et peuvent également aider les utilisateurs à accéder à des contenus qui pourraient autrement être bloqués par les gouvernements dont ils dépendent. Mais le manque relatif de sécurité de certains VPN les rend plus préoccupants pour les organisations.

Selon une étude récente menée par Zscaler, 88 % des organisations se disent préoccupées par les vulnérabilités qui pourraient être créées par les VPN. Le phishing s'est avéré être la plus grande préoccupation de toutes, avec 49% des organisations le citant comme un problème majeur pour l'avenir. 40 % ont également mentionné les ransomwares comme un problème particulier qui pourrait survenir en raison de la compromission des VPN. Cela n'est pas surprenant étant donné que 33 % des organisations ont déjà subi des attaques de ransomware dirigées contre leurs VPN.

Le rapport met également en évidence les nombreux avantages dont bénéficient les organisations lorsqu'elles abandonnent les solutions existantes, incitant toute organisation susceptible de retarder l'adoption de l'accès réseau sans confiance (ZTNA) et de ses avantages évidents en termes de productivité et de sécurité pour l'utilisateur.

Les réseaux privés virtuels (VPN), solution d'accès à distance de facto depuis 30 ans, sont depuis peu les cibles constantes de cyberattaques sophistiquées. Dans le monde du travail hybride, où les utilisateurs et les applications sont distribués, les solutions d'accès à distance traditionnelles qui acheminent le trafic vers un centre de données unique entravent la productivité en raison d'une mauvaise expérience utilisateur, de problèmes de connectivité et d'une expérience d'accès incohérente. En outre, les VPN permettent à tous les utilisateurs, qu'il s'agisse d'employés ou d'utilisateurs tiers, d'accéder à l'ensemble du réseau pour accéder aux applications. Cela a récemment donné lieu à de nombreuses menaces, qui ont même dépassé les mesures de sécurité des informations d'identification de l'utilisateur.

Le rapport 2023 sur les risques liés aux VPN détaille les défis auxquels sont confrontés les utilisateurs et les professionnels de l'informatique dans l'utilisation et la maintenance des VPN, et examine les nouvelles technologies qui peuvent les aider à surmonter ces défis pour soutenir l'efficacité des utilisateurs et la croissance de l'entreprise.

Problèmes de sécurité liés à l'accès VPN par des tiers

Le rapport montre que 90 % des entreprises sont préoccupées par le fait que des attaquants exploitent des fournisseurs tiers pour accéder à leurs réseaux par des portes dérobées. Les utilisateurs externes, tels que les sous-traitants et les fournisseurs, font partie intégrante de la croissance de l'entreprise, mais ils peuvent mettre une organisation en danger en raison de normes de sécurité différentes, d'un manque de visibilité sur leurs pratiques en matière de sécurité du réseau, etc.

Une mauvaise expérience utilisateur entraîne une mauvaise productivité des utilisateurs

Le rapport 2023 (et les rapports 2021 et 2022) montre que l'expérience utilisateur est un grand défi pour les utilisateurs qui se connectent avec le VPN. Les utilisateurs constatent une baisse constante des connexions VPN et la lenteur des applications nuit à la productivité.

Les cyberattaquants exploitent les vulnérabilités des VPN

Selon le rapport, près d'une organisation sur deux a subi des attaques liées aux VPN au cours des 12 derniers mois et est consciente des menaces potentielles que les VPN font peser sur son organisation. Cela souligne la nécessité d'un outil d'accès à distance qui n'expose pas les organisations à des menaces externes et internes.

Le rapport montre également que les responsables de la sécurité et de l'informatique sont de plus en plus préoccupés par les cyberattaquants qui exploitent les vulnérabilités des VPN, soulignant ainsi le besoin urgent d'améliorer la sécurité des architectures VPN actuelles.

Heureusement, comme le phishing, les ransomwares, le vol d'identifiants, les logiciels malveillants et les attaques d'applications augmentent en fréquence et en gravité, les organisations remplacent rapidement leurs VPN par ZTNA.

Source : Zscaler

Et vous ?

Trouvez-vous ce rapport crédible ou pertinent ?
Qu'en est-il au sein de votre organisation ?

Voir aussi :

Les VPN sont la nouvelle porte d'entrée du cyberpiratage, une simple exploitation permet aux pirates de lancer des attaques de ransomwares, de phishing et DDoS, d'après ZScaler

Le besoin du VPN serait injustifié, et la technologie ferait beaucoup plus de mal que de bien, selon un média américain

La lutte contre la criminalisation du VPN devrait être la priorité des grandes entreprises technologique, selon les activistes

[Delias]

Les VPN permettent de protéger votre vie privée en ligne et peuvent également aider les utilisateurs à accéder à des contenus qui pourraient autrement être bloqués par les gouvernements dont ils dépendent.

Est-ce que sur un site d'informaticiens, on pourrait faire la différence entre les VPN "publiques" auxquelles la citation ci-dessus fait référence et les VPN "privés" dont il est question dans l'article et qui concernent l'accès au réseau informatique de son entreprise, son école, etc.? publique / privé c'est les noms que moi je donne, je ne sais pas s'il existe une terminologie officielle.

Il y a quand même une sacrée différence? Ou j'ai loupé un truc?

Après un VPN privé peut être sécurisé par les machines qui y accèdent, c'est ce que j'ai actuellement. Pour que mon accès VPN soit compromis, il faut d'abord compromettre mon laptop pro (ou y avoir accès physiquement). Un simple phishing n'est pas suffisant, il faut accéder à des données dont même moi, en simple utilisateur, n'a pas accès. (Avec le bon virus c'est très probablement faisable, je ne me fais pas d'illusions)

Le point faible reste l'interface chaisse-clavier, d'où le maintien nécessaire de l'(in)formation des employés.

Delias