Blog Zscaler

Recevez les dernières mises à jour du blog de Zscaler dans votre boîte de réception

S'abonner
Produits et solutions

4 raisons pour lesquelles vos pare-feux et VPN exposent votre entreprise à des violations

image
JACOB SERPA
novembre 02, 2023 - 6 Min de lecture

Même si cela aurait pu être acceptable dans le passé, s’appuyer sur des pare-feu et des VPN pour la sécurité ne fait désormais qu’augmenter les risques pour l’entreprise moderne. En effet, l’utilisation de ces outils implique intrinsèquement l’utilisation de réseaux en étoile et de modèles de sécurité cloisonnés. Ces architectures à l’ancienne visaient à fournir un accès au réseau de l’entreprise dans son ensemble et à le sécuriser : l’objectif était de garder les éléments légitimes et de valeur « à l’intérieur » et les éléments nuisibles et malveillants « à l’extérieur ». Naturellement, cette approche a été conçue pour une époque où les utilisateurs, les applications et les données se trouvaient tous sur site, et où les choses se déplaçaient rarement au-delà du périmètre du réseau. 

Ce n’est plus le cas aujourd’hui. Que les entreprises commencent tout juste à entreprendre leur transformation digitale ou qu’elles disposent déjà d’applications cloud et de personnel hybride, le recours à des outils tels que les pare-feu et les VPN les expose bel et bien à des violations. Vous voulez savoir comment ? Poursuivez votre lecture pour en connaître les quatre raisons principales.

1.  Ils élargissent votre surface d’attaque

À mesure que les entreprises dotées d’architectures du passé se développent, elles étendent invariablement leurs réseaux en étoile à davantage de sites distants, d’usines, de ressources basées sur le cloud, d’utilisateurs distants, etc. Pour sécuriser ce réseau en constante expansion, les pare-feu et les VPN sont généralement considérés comme les outils incontournables pour établir un périmètre « sûr » (c’est-à-dire pour construire un « fossé » autour du « château »). Malheureusement, cette solution crée un problème de taille.

Les pare-feu et les VPN disposent d’adresses IP publiques situées sur l’Internet public. Cela a été conçu afin que les utilisateurs autorisés puissent parcourir le Web et trouver les points d’entrée dans le réseau. Cependant, n’importe qui peut trouver ces portes d’entrée, y compris des cybercriminels désireux de les enfoncer. À mesure que les entreprises se développent et déploient de plus en plus de ces outils, elles procurent inévitablement aux hackers de plus en plus de cibles. En d’autres termes, l’utilisation de pare-feu et de VPN augmente considérablement votre surface d’attaque.

Les pare-feux et les VPN contribuent à élargir la surface d’attaque

2. Ils ne parviennent pas à enrayer les compromissions

Pour empêcher les cybermenaces de compromettre une entreprise, il convient d’inspecter le trafic pour détecter toute activité malveillante et appliquer des politiques en temps réel qui bloquent les tactiques malveillantes des cybercriminels. Cependant, il s’agit d’une tâche qui requiert une puissance de calcul considérable et, par conséquent, exige des solutions de sécurité extrêmement évolutives. Étant donné que plus de 95 % du trafic Web est désormais chiffré et que l’inspection du trafic chiffré est une entreprise particulièrement gourmande en calcul, ces exigences d’évolutivité sont plus critiques que jamais. 

Malheureusement, les appliances de sécurité (qu’elles soient matérielles ou virtuelles) peinent à empêcher les compromissions. En effet, elles disposent de capacités fixes pour gérer des volumes de trafic particuliers et ne peuvent pas évoluer à l’infini pour répondre aux demandes toujours croissantes de bande passante des entreprises pour l’inspection de contenu en temps réel et l’application des politiques, en particulier lorsqu’il s’agit de trafic chiffré. En conséquence, ces outils finissent souvent par constituer une architecture passthrough qui se contente de générer des alertes une fois que les menaces ont déjà réussi à pénétrer dans l’entreprise. L’accumulation d’appliances supplémentaires pour augmenter l’évolutivité est un cycle sans fin qui gaspille de l’argent et ne résout pas les problèmes architecturaux sous-jacents. 

Les pare-feux et les VPN ne parviennent pas à enrayer les compromissions

3. Ils permettent le déplacement latéral des menaces

Lorsqu’une menace réussit à franchir les défenses d’une entreprise, les lacunes des pare-feu et des VPN deviennent encore plus évidentes. Comme nous l’avons déjà mentionné, l’utilisation de ces outils révèle que l’entreprise s’appuie sur un système de sécurité cloisonné pour tenter de protéger un réseau en étoile hautement interconnecté. En d’autres termes, les défenses se concentrent sur l’établissement d’un périmètre sécurisé autour du réseau, et il n’y a que peu ou pas de protection au sein du réseau lui-même. Par conséquent, une fois qu’une menace parvient à pénétrer dans le réseau, elle est libre de se déplacer latéralement entre les ressources connectées, d’accéder à ce qu’elle veut et d’amplifier les effets de la violation. Tenter de déployer toujours plus d’outils tels que des pare-feu pour la microsegmentation est, une fois de plus, une quête sans fin qui augmente les coûts, la complexité et la charge administrative, sans toutefois parvenir à résoudre les faiblesses fondamentales de l’architecture.

Les pare-feux et les VPN permettent le déplacement latéral des menaces

4. Ils ne parviennent pas à empêcher la perte de données

En fin de compte, un cybercriminel ne cherche pas à s’infiltrer dans une entreprise pour le plaisir. En règle générale, il a un objectif plus spécifique en tête, et cet objectif concerne les données. Les données volées peuvent être vendues pour un profit considérable sur le Dark Web ou, dans le cas des ransomwares, utilisées pour extorquer directement de l’argent à une entreprise (ou à des individus). Malheureusement (et pour les mêmes raisons expliquées dans la section « compromission » ci-dessus), les architectures de pare-feu et VPN standard peinent à inspecter le trafic chiffré, ce qui facilite le vol des données sensibles. Cela s’explique par le fait que l’inspection SSL/TLS est très gourmande en ressources, tant pour le matériel que pour les appliances virtuelles, qui peuvent ne pas disposer des niveaux de performances et d’évolutivité nécessaires. En plus du problème mentionné ci-dessus, les outils existants conçus pour fonctionner uniquement sur site ne sont pas capables de sécuriser les chemins modernes de fuite de données. Prenons l’exemple d’une application SaaS comme Google Drive qui permet de partager des données avec des acteurs à risque, ou d’une instance AWS dont un compartiment S3 mal configuré expose publiquement des informations sensibles. 

Les pare-feux et les VPN ne parviennent pas à endiguer la perte de données

4 raisons d’adopter une architecture Zero Trust

Zero Trust est une architecture fondamentalement différente de celles basées sur des pare-feu et des VPN. Elle fournit une sécurité en tant que service à partir du cloud et à la périphérie, au lieu de vous obliger à effectuer le backhauling du trafic vers des piles complexes d’appliances (qu’elles soient matérielles ou virtuelles). Elle fournit une connectivité sécurisée Any-to-Any de manière individuelle ; par exemple, en connectant n’importe quel utilisateur directement à n’importe quelle application. Elle ne place aucune entité sur le réseau dans son ensemble et adhère au principe de l’accès sur la base du moindre privilège. En d’autres termes, avec Zero Trust, la sécurité et la connectivité sont dissociées du réseau, ce qui permet de contourner les difficultés susmentionnées des approches basées sur le périmètre. Le modèle Zero Trust offre les avantages suivants :

  • Il minimise la surface d’attaque en éliminant les pare-feu, les VPN et les adresses IP publiques, en n’autorisant aucune connexion entrante et en dissimulant les applications derrière un cloud Zero Trust. 
  • Il empêche les compromissions en exploitant la puissance du cloud pour inspecter l’ensemble du trafic, y compris le trafic chiffré à grande échelle, afin d’appliquer les politiques et de bloquer les menaces en temps réel. 
  • Il empêche le déplacement latéral des menaces en connectant les entités aux ressources informatiques individuelles au lieu d’étendre l’accès au réseau dans son ensemble. 
  • Il empêche la perte de données en appliquant des politiques sur tous les chemins de fuite potentiels (y compris le trafic chiffré), protégeant ainsi les données en mouvement, au repos et en cours d’utilisation. 

Et si cela ne suffisait pas, l’architecture Zero Trust résout d’innombrables autres problèmes liés aux pare-feu, aux VPN et aux architectures basées sur le périmètre en améliorant l’expérience utilisateur, en réduisant la complexité opérationnelle, en permettant à votre entreprise d’économiser de l’argent, en favorisant le dynamisme organisationnel, et bien plus encore. 

Si vous souhaitez en savoir plus, regardez notre webinaire qui sert d’introduction au Zero Trust et fournit des informations de base sur le sujet. 

Ou, si vous souhaitez aller plus loin, vous pouvez vous inscrire gratuitement à l’un de nos ateliers de brainstorming interactif

form submtited
Merci d'avoir lu l'article

Cet article a-t-il été utile ?

Recevez les dernières mises à jour du blog de Zscaler dans votre boîte de réception

En envoyant le formulaire, vous acceptez notre politique de confidentialité.