Les VPN permettent aux entreprises d’accéder à distance aux réseaux, mais l’ampleur et la complexité croissante des cybermenaces ciblant ces réseaux continuent d’inquiéter les équipes sécurité.
Les mouvements latéraux constituent en effet un grand sujet de préoccupation, comme le signalent une majorité d’entreprises victimes de violations par VPN, preuve de défaillances significatives.
La sécurité des VPN suscite de plus en plus d’inquiétudes comme le confirme le « VPN Risk Report » de Zscaler : 91 % des 600 professionnels de la sécurité, de l’informatique et des réseaux interrogés craignent qu’ils ne compromettent la sécurité de leur entreprise.
Graves vulnérabilités
Parmi les principales menaces exploitant les vulnérabilités des VPN : les ransomwares (42 %), les attaques DDoS (30 %), ainsi que d’autres types de malwares (35 %). D’où la nécessité de migrer vers le Zero Trust.Ce passage au Zero Trust a notamment pris de l’ampleur suite aux récentes violations largement médiatisées et les graves vulnérabilités des VPN de deux importants fournisseurs :
- Ivanti (CVE-2023-46805 et CVE-2024-21887) : des attaquants ont pu réaliser des contournements d’authentification et des injections de commandes à distance.
Ces vulnérabilités Zero Day d’Ivanti ont même conduit l’Agence pour la Cybersécurité et la Sécurité des Infrastructures (CISA) à publier une injonction d’urgence pour que les agences fédérales interrompent immédiatement les connexions avec les dispositifs VPN compromis. - Palo Alto Networks (CVE-2024-3400) : des utilisateurs non authentifiés ont exploité le système d’exploitation du fournisseur de sécurité pour infiltrer le réseau. Résultat, la vulnérabilité s’est vu attribuer un degré de gravité maximal de 10,0.
Faiblesses inhérentes aux architectures
Ce rapport indique aussi que les attaques par ransomware (42 %), les infections par malware (35 %), et les attaques DDoS (30 %), constituent les menaces principales exploitant les vulnérabilités des VPN.Ces statistiques révèlent à quel point les entreprises sont menacées par les faiblesses inhérentes aux architectures VPN traditionnelles, confirmant ainsi la nécessité de s’orienter vers une architecture Zero Trust.
« L’année dernière, plusieurs graves vulnérabilités de VPN ont servi de points d’entrée et permis des attaques contre de grandes entreprises et des institutions fédérales », rappelle Deepen Desai.
Pour le CSO de Zscaler, « face à ces événements récurrents, les entreprises doivent prendre conscience que les acteurs de la menace vont intensivement exploiter ce type d’actifs classiques exposés en ligne, qu’ils soient physiques ou virtuels. Il leur sera donc facile de naviguer latéralement à travers les réseaux plats classiques. C’est pourquoi le passage à une architecture Zero Trust est indispensable ».
Elle réduit considérablement la surface d’attaque en éliminant les technologies existantes telles que les VPN et les pares-feux, applique des contrôles de sécurité cohérents via l’inspection TLS et limite le rayon d’action de l’explosion grâce à la segmentation et à la tromperie, pour éviter les violations compromettantes.
Résultat, 78 % des entreprises interrogées prévoient notamment de déployer rapidement une stratégie Zero Trust au cours des 12 prochains mois. 62 % des entreprises reconnaissent en effet que les VPN sont en contradiction avec les principes du Zero Trust et que même la fourniture de VPN via le cloud ne permet pas de mettre en place une architecture Zero Trust.