Depuis la pandémie, le VPN se retrouve en tête de la liste des services dont l’organisation dépend. Le coeur de tous les dangers. Vraiment ?

Qui dit télétravail dit VPN. Depuis plusieurs années, les entreprises se s’y sont adaptées à différents degrés. Mais peu de grandes organisations ont vu la majorité de leurs collaborateurs accéder aux ressources de l’entreprise entièrement hors de leur bureau et dans de si courts délais. Soudain, pour la majorité des entreprises, le VPN est devenu le point de connexion central.

«Même si les entreprises ont déployé les ressources nécessaires pour s’assurer de leur capacité à résister à l’explosion de la demande, les professionnels de la visibilité réseau s’inquiètent des risques encourus du fait même de cette trop grande dépendance des infrastructures», confirme Christine Hanlet, Sales & Marketing, NET-measure. Pour la plupart des organisations, la question, aujourd’hui, consiste à savoir comment garder le contrôle. C’était -tout naturellement- le thème du webinaire organisé par Markom Event avec NET-measure et NETSCOUT mardi 16 juin 2020.

Bien des dangers

Au coeur du sujet, le VPN. «Aujourd’hui, il ne faut pas grand-chose pour renverser les VPN», constate d’emblée Danny Blondiau, Regional Sales Manager, NETSCOUT Benelux. Le cybercriminel, quel que soit son mobile, cible les services essentiels au fonctionnement de l’entreprise. Avec le télétravail plus répandu ces derniers mois, les concentrateurs VPN se retrouvent en tête de la liste des services dont l’organisation dépend. De là, bien des dangers.

Rien d’étonnant. Alors que le trafic VPN et l’utilisation de la visioconférence a enregistré une hausse de 67 % en région EMEA, pendant le confinement, l’utilisation des plateformes de cloud professionnelles ont augmenté de 84 % par rapport à l’an dernier, a chiffré NETSCOUT

Se préparer aux attaques DDoS

«Les organisations doivent plus que jamais se préparer à ce que leurs services en ligne -à savoir les accès à distance pour les employés, les portails pour les vendeurs et les partenaires, la vente en ligne, les examens scolaires- puissent être affectés par des pannes ou des attaques de type DDoS.» Certes, des outils existent. Mais, comme le note Danny Blondiau, les mesures ne suffisent pas, encore faut-il évaluer l’expérience client. Pour NETSCOUT, c’est cette visibilité qui fera la différence. 

ASI, ATA…

Des métadonnées aux flux de conversation, aux enregistrements de session et finalement aux paquets, NETSCOUT offre une visibilité permettant de réduire les risques dans les environnements de plus en plus complexes. Et de mettre en avant ASI (Adaptive Services Intelligence), qui fournit un contexte riche pour les menaces potentielles, y compris la «propagation de l’infection» et l’impact aux services commerciaux critiques, accélérant l’analyse et l’élimination des menaces potentielles. Egalement ATA (Arbor Threat Analytics). Avec la capacité de détecter les problèmes derrière le pare-feu et sur l’ensemble du réseau, ATA permet aux analystes de sécurité de répondre aux menaces plus rapidement et avec une plus grande précision.

«Pour se prémunir contre les problèmes de dysfonctionnements réseau, les entreprises peuvent commencer par utiliser des services SaaS pour les suites productives, ou encore les outils de collaboration, afin de réduire, dans un premier temps, leur dépendance aux VPN. Et, ainsi, éviter de tout perdre si ceux-ci étaient attaqués. Il est également important que les salariés évitent de jouer via leurs terminaux professionnels, à tout le moins que cela ne passe pas par le VPN de l’entreprise pour ne pas vulnérabiliser davantage les réseaux et augmente les coûts», ajoute Ward Van Laer, Senior Sales Engineer, NETSCOUT Benelux.

Intégrer la protection DDoS dans les plans dès le départ

Même la plus petite attaque DDoS constitue désormais une menace importante pour les passerelles saturées en bande passante. Pour construire une stratégie de support VPN vraiment robuste, les équipes informatiques doivent protéger ce point d’accès vulnérable contre les cyber-attaquants. Cela signifie intégrer la protection DDoS dans les plans dès le départ.

Et NETSCOUT de multiplier les conseils. Tout d’abord, profiter de la protection intégrée. Les principaux fournisseurs SaaS disposent souvent déjà d’une protection DDoS pour maintenir la disponibilité de leurs services. Par conséquent, dans la mesure du possible, il convient d’utiliser les services SaaS pour les applications professionnelles quotidiennes, le partage de contenu, la collaboration et les communications.

Revoir, ensuite, le BCP (Business Continuity Plan) pour l’infrastructure réseau, les serveurs et les services tels que DNS. C’est la clé du renforcement de la résilience aux attaques. Pour commencer, s’assurer d’avoir déployé des systèmes d’atténuation DDoS intelligents pour protéger tous les serveurs, services, applications, données et infrastructures de support publics. 

Privilégier les technologies d’accès MFA

Utiliser des liens de transit Internet dédiés pour les VPN. L’utilisation de liens non associés à des composants tels que les serveurs DNS et les sites Web accessibles au public peut réduire la probabilité que des événements tels que les attaques DDoS empêchent le service informatique de sécurité à distance de répondre lorsque leurs compétences sont le plus nécessaires.

De même, utiliser l’intégration d’accès à distance. S’assurer que les mécanismes d’accès à distance sont intégrés aux systèmes d’authentification, d’autorisation et de comptabilité de l’organisation et nécessitent l’utilisation de technologies MFA (Multi-Factor Authentification) pour l’accès des utilisateurs.

Faire preuve d’intelligence sur la dénomination DNS. De nombreux attaquants font leurs devoirs avant de lancer des attaques DDoS ciblées. Ne pas simplifier leur travail en utilisant la chaîne «vpn» dans les enregistrements de ressources DNS pour les concentrateurs VPN. Choisir, plutôt, une convention de dénomination DNS qui fournit des informations utiles au personnel opérationnel tout en gardant les attaquants dans le noir sur les domaines fonctionnels clés.

Trois types d’attaques DDoS

NETSCOUT rappelle les trois types d’attaques DDoS multivecteurs qui constituent une menace pour un VPN et, par conséquent, la productivité d’une entreprise. Ce sont, d’abord, les attaques volumétriques. En utilisant simplement autant de votre bande passante disponible que possible, l’acteur malveillant derrière une attaque volumétrique semble créer une congestion -un embouteillage- qui ralentit le mouvement de l’activité réseau légitime, si cela ne l’arrête pas complètement.

Autre danger, les attaques d’épuisement de l’état TCP. Il existe de nombreux appareils dans nos réseaux, comme les pare-feu, les équilibreurs de charge et les passerelles VPN qui sont des appareils avec état, ce qui signifie qu’ils ont une table d’états finis à l’intérieur. Cela en fait malheureusement des vecteurs d’attaque. En effet, une attaque TCP par épuisement de l’état vise à remplir cette table d’états avec de fausses connexions…

La productivité dépend d’une solide cyberdéfense

Relevons enfin les attaques de couche application. L’objectif, ici, est d’épuiser les ressources au sein de l’application elle-même. Donc le chargement de certaines pages, la demande de certaines lectures, certains droits, certaines bases de données majeures. Bref, tout ce qui va charger le serveur d’applications lui-même et potentiellement épuiser ses ressources.

«La pandémie de COVID-19 a eu un impact considérable sur le fonctionnement des organisations en général, leur façon de mener leurs activités, conclut Danny Blondiau. Le mouvement vers le travail à distance n’a pas seulement affecté notre capacité à être ensemble et à collaborer face à face, il a ouvert de nouvelles voies dans lesquelles les acteurs malveillants peuvent interrompre les opérations. Dans cet environnement, la productivité dépend d’une solide cyberdéfense.»