Faut-il (enfin) enterrer les VPN en entreprise ?

Publié le par Poster un commentaire

Malgré leur longévité dans l’arsenal IT des entreprises, les VPN traditionnels montrent aujourd’hui des limites de sécurité préoccupantes. Ces solutions souffrent d’un péché originel : l’authentification faible. Encore trop d’organisations autorisent l’accès réseau via de simples identifiants et mots de passe, souvent sans authentification multifacteur (MFA) d’une part, mais plus grave, ces derniers, nous l’avons vu encore récemment avec l’affaire Ivanti, constituent souvent le maillon faible régulièrement attaqué et dont les failles mettent souvent pas mal de temps à être corrigées. En clair, une aubaine pour les attaquants. Enfin ils cultivent l’illusion d’une protection aux frontière de l’entreprise qui est ont le sait depuis des lustres, illusoire…

Je profite de ce petit post pour revenir sur une question que l’on nous pose souvent : que faire et comment se positionne les offres Microsoft dans la galaxie des « Entra »… Pas toujours simple de savoir quelle composante est impliquée et pourquoi faire… Ceci ne sera pas une découverte pour pas mal d’entre vous j’imagine…

Vous le savez sans doute dans le cadre de la mise en oeuvre d’une stratégie Zéro Trust, Microsoft met en avant Entra Private Access, un composant clé de la suite Microsoft Entra Global Secure Access, qui adopte une approche radicalement différente : l’accès réseau basé sur l’identité et le modèle Zero Trust. Chaque accès est défini de manière granulaire, application par application, utilisateur par utilisateur. L’idée ? Ne jamais faire confiance par défaut. On ne donne plus les clés du château à tous les visiteurs, même pas ceux avec un badge 🙂

Iil est ntégré nativement à Entra Conditional Access et permet de définir des politiques d’accès adaptatives, selon le contexte : identité de l’utilisateur, type de terminal, localisation réseau, etc. Une démarche qui réduit la surface d’attaque.

Passer d’un VPN « full access » à une architecture Zero Trust peut faire peur. Néanmoins on peut débuter avec Quick Access, un mode qui réplique le comportement classique d’un VPN, avant d’évoluer progressivement. De plus avec la fonction Application Discovery, il est possible d’observer le trafic réseau, identifier les applications utilisées, puis de migrer chaque service vers des accès restreints, application par application. Une transition par étapes. On passe d’un modèle implicite à un modèle explicite de la confiance. Fini le terminal considéré comme fiable une fois connecté. Désormais, chaque accès est mérité, jamais présumé légitime. C’est un changement culturel autant que technologique, et Entra Private Access en est l’un des leviers majeurs.

La sécurité périmétrique basée sur des VPN classiques ne répond plus aux exigences de l’ère cloud, du travail hybride et des menaces modernes. Entra Private Access est non seulement une alternative interessante à mon avis avec d’autres solutions du même type chez d’autres éditeurs mais c’est aussi pour ceux qui viennent des architectures VPN une refondation de la gestion des accès réseau, bien plus fine, plus sûre, et plus conforme aux bonnes pratiques actuelles.

Pour tout dire, nous avions hésité de faire un sujet complet sur Entra pour le prochain Briefing Calipia de juin. Cela ne sera pas le cas, pour cette fois, mais dites nous si ce sujet vous intéresse pour une prochaine édition ?

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.