Les conclusions du « VPN Risk Report » de Zscaler ne prêtent pas à l’optimisme. 88 % des 382 professionnels de l'informatique et de la cybersécurité dans de nombreux secteurs d'activité se disent préoccupées par le fait que les VPN compromettent leur capacité à maintenir un environnement sécurisé.
Principales craintes : des attaques de phishing (49 %) et de ransomwares (40 %) en raison de l'utilisation régulière de VPN. D’ailleurs, près de la moitié déclarent avoir été ciblées par des cyberattaquants ayant réussi à exploiter une vulnérabilité du VPN (protocoles obsolètes ou fuites de données, par exemple) et une sur cinq avoir subi une attaque durant l'année écoulée.
Ils sont aussi nombreux (90 %) à craindre que les attaquants ne les ciblent par le biais de VPN appartenant à des tiers. Enfin, 72 % des utilisateurs se disent frustrés par la lenteur et le manque de fiabilité de leur connexion VPN.
Plus précisément, 25 % sont frustrés par la lenteur des applications et 21 % sont confrontés à des interruptions fréquentes de leur connexion. Ces problèmes de fiabilité de la connectivité Internet entrainent une expérience utilisateur médiocre, ainsi qu’une frustration et un désengagement chez les utilisateurs.
Portes dérobées
Ce rapport, centré sur les principales problématiques rencontrées en matière de sécurité et d'expérience utilisateur, démontre que les entreprises doivent réévaluer leur posture de sécurité et migrer vers une architecture Zero Trust, compte tenu de la menace croissante des cybercriminels exploitant les vulnérabilités des VPN.Malgré des mesures de sécurité diligentes, l’étude montre, en effet, que 90 % des entreprises subissent toujours l'exploitation de fournisseurs tiers par des attaquants pour obtenir un accès indirect à leurs réseaux par des portes dérobées.
Les utilisateurs externes, tels que les sous-traitants et les fournisseurs, représentent des risques pour les entreprises, par la diversité des normes de sécurité, du manque de visibilité sur les pratiques de sécurité de leur réseau et de la complexité de la gestion des accès des tiers externes.
Les VPN non sécurisés, les e-mails et les appareils des utilisateurs finaux sont considérés comme les principaux vecteurs d'attaque, soulignant la nécessité d'une architecture Zero Trust.
Les anciennes architectures réseau et sécurité gèrent l'accès aux applications internes : elles fournissent aux utilisateurs un accès direct au réseau, et font intrinsèquement confiance aux utilisateurs qui peuvent confirmer leurs identifiants au point d'accès, une situation qui pose un problème en cas de vol de ces identifiants.
Applications invisibles
Grâce à une approche Zero Trust, les utilisateurs se connectent directement aux applications et aux ressources dont ils ont besoin, jamais au réseau. Les connexions d'utilisateur à application et d'application à application éliminent ainsi le risque de mouvement latéral et empêchent les appareils compromis d'infecter d'autres ressources.De plus, les utilisateurs et les applications sont invisibles sur Internet, pour qu'ils ne puissent être ni découverts ni attaqués.
Conscientes du rôle joué par les VPN obsolètes dans ces problématiques de sécurité et d'expérience utilisateur, les entreprises s'orientent de plus en plus vers une architecture Zero Trust.
La quasi-totalité des professionnels interrogés reconnait, en effet, l'importance d'adopter une approche Zero Trust pour protéger leurs actifs et leurs données, soit une augmentation de 12 % par rapport à l’année précédente. 69 % planifient actuellement le remplacement de leurs solutions VPN actuelles par un accès réseau Zero Trust.