En informatique, tout va très vite, et à l’heure ou la 5G commence à apparaitre et que les solutions de réseaux Cloud gagnent du terrain, les menaces se multiplient. Il n’est plus uniquement question de réseaux internes et des réseaux externes, mais bien de solutions globales mêlant à la fois des systèmes hébergés en privé et des systèmes externes, ce qui complexifie la prise en charge de la sécurité des informations confidentielles.
Face à cela, peut-on penser que les VPN ne sont plus assez safe pour garantir la protection de nos données ? Faut-il miser sur le Zero Trust, comme le préconise de plus en plus d’acteurs de la cyber-sécurité ? C’est une approche qui semble en tout cas avoir de l’avenir.
Sommaire
Le Zero Trust signe-t-il la fin des VPN ?
Lorsque les meilleurs VPN ont fait leur apparition sur le marché, les systèmes d’information consistaient bien souvent en un réseau internet, qui protégeait par exemple les données confidentielles d’une entreprise, et un réseau externe sur lequel les données étaient stockées sur le Cloud ou dans d’immenses Datacenter à l’autre bout du monde. La frontière était bien précise et les logiciels de VPN pouvaient facilement garantir la sécurité de l’un et de l’autre, via des paramètres clairement établis.
Mais désormais, les choses se sont compliquées. Au sein d’un même organisme, les données peuvent être à la fois dématérialisées vers du Cloud et ainsi transiter par des réseaux moins sécurisés que les échanges uniquement en interne, et interne mais avec une possibilité d’exportation hors des limites du bureau. L’exemple du télétravail, de plus en plus fréquent, est très parlant, puisqu’on emporte son entreprise chez soi. Face à ces changements, est-ce que les VPN sont toujours d’actualité ?
Des applications de sécurité face aux changements
Il n’est pas rare que des failles soient trouvées chez les VPN, car certains logiciels ne sont plus à la hauteur des enjeux actuels. La cyber-sécurité évolue à vitesse grand V et la frontière entre réseau interne et réseau externe devient trouble. Il est donc important de revoir le schéma de protection classique avec une solution radicale : le Zero Trust.
Littéralement, ce concept signifie qu’il ne faut faire confiance à personne. Les opérants sont des êtres humains, capable d’erreur, ou des programmes informatiques eux-aussi susceptibles de se tromper. Et puisqu’ils agissent ensemble, le nombre d’erreurs semblent destiné à s’accroître.
L’enjeu du Zero Trust est de proposer une nouvelle forme de protection, dans laquelle la notion de protection par périmètre n’existerait plus. Il ne s’agira plus de protéger uniquement votre réseau privé, votre entreprise, ou le cloud spécifique dans lequel sont stockées vos données, mais bien chaque étape du processus qui mène à l’accès à ces données. Cela passerait par un système ultra pointu, dans lequel chaque utilisateur sera identifié, authentifié et que tous les potentiels risques auront été éliminés.
Ce n’est qu’à ce prix-là que la sécurité pourra être garantie, et c’est ce à quoi tend ce système de Zero trust qui fait parler de lui en ce moment.
Mieux se protéger en interne et en externe avec les solutions Zero trust
Dans les faits, on parlera alors de micro-segmentation. Chaque donnée et chaque ressource informatique sera protégée (par un mot de passe, une vérification d’accès, un contrôle d’ID…) et l’accès à n’importe quel élément ne sera possible que si tous les prérequis de sécurité sont remplis.
C’est une solution totalement transparente, qui va toutefois demander aux entreprises et aux utilisateurs qui choisiront ce système de se préparer à un changement radical dans leurs méthodes de fonctionnement. Les étapes pour accéder à une requête pourraient prendre plus de temps au départ et il va falloir que les utilisateurs (clients ou professionnels) s’habituent à ce Zero Trust qui pourrait bien devenir la norme dans un futur très proche.
Pour le moment, les solutions efficaces et pas cher (commeCyberGhost) pour se protéger des hackers existent, mais seront-elles efficaces encore longtemps ?
