Avec le passage au travail à distance, il est de plus en plus urgent pour les entreprises de rendre leurs applications administratives accessibles via l'internet. Nombre de ces applications ont été conçues selon un modèle de sécurité totalement différent et ne disposent pas de protections adéquates. Et même celles qui en disposent nécessitent des investissements importants pour assurer une maintenance continue de leur sécurité. Répondre à ces défis peut être une charge supplémentaire lourde à porter pour les petites entreprises.

L'une des solutions les plus rapides et les plus économiques consiste à ajouter une couche de protection supplémentaire sous la forme d'une restriction d'accès basée sur l'adresse IP, de sorte que les acteurs de la menace ne puissent même pas découvrir l'application ou en rechercher les vulnérabilités. Cependant, dans les environnements modernes où les adresses IP sont dynamiques et où les utilisateurs se déplacent entre les réseaux plusieurs fois par jour, cette solution devient rapidement ingérable.

C'est là qu'intervient ZenVPN. Avec ZenVPN, les employés peuvent se connecter aux systèmes dorsaux via une seule adresse IP dédiée qui peut être facilement mise sur liste blanche une fois pour toutes. Pendant ce temps, ils peuvent voyager, changer de réseau et d'appareil, mais tant qu'ils peuvent s'authentifier avec ZenVPN et tant qu'ils sont autorisés par l'organisation, ils conserveront l'accès aux applications de back-office. L'autorisation est gérée via une interface web pratique, distincte des listes blanches d'IP dans les configurations des systèmes de niveau inférieur qui peuvent rester statiques.

Cette approche contraste avec l'approche traditionnelle qui consiste à maintenir toutes les applications à l'intérieur d'un périmètre sécurisé et à permettre aux utilisateurs distants d'y accéder par l'intermédiaire d'un VPN. Dans ce dernier cas, la violation de l'appareil d'un utilisateur rend l'ensemble du réseau vulnérable, car un attaquant serait libre de se déplacer à l'intérieur du périmètre sans être contrôlé. En utilisant la liste blanche d'IP (+ZenVPN), seul un trafic spécifique vers des applications spécifiques est autorisé à l'intérieur du périmètre sécurisé, de sorte qu'une violation de l'appareil de l'utilisateur final n'ouvre pas d'autres possibilités d'attaque.

Comparaison de la sécurité et des coûts

Comparons les coûts, la sécurité et la commodité des approches susmentionnées. La première consiste à ne laisser l'accès aux applications que sur le réseau de l'entreprise et à permettre aux employés distants d'y accéder via un VPN. Nous l'appellerons "périmètre sécurisé". La seconde (appelée ci-dessous "Plain zero-trust") consiste à exposer les applications individuelles via le réseau public tout en authentifiant chaque requête. Enfin, la même approche, mais avec une restriction d'accès supplémentaire basée sur l'IP et employant ZenVPN, sera appelée "Zero-trust + restriction IP".

Survolez les différents éléments du graphique pour obtenir une explication plus détaillée.

- éléments de coût
- les problèmes de sécurité
- les questions de commodité pour l'utilisateur
Solution VPN
Sécurité des appareils
Étant donné qu'une violation de l'appareil d'un employé peut avoir des conséquences catastrophiques pour l'entreprise, un investissement important dans la protection de la sécurité de l'appareil est nécessaire.
Attaques par mouvements latéraux
Si un pirate compromet l'une de vos applications ou l'un des appareils de vos employés, il accède immédiatement à l'ensemble de votre réseau. C'est ce que l'on appelle une attaque par mouvement latéral et c'est la raison pour laquelle l'industrie s'oriente vers des architectures de sécurité à confiance zéro.
Dégradation de la vitesse du réseau
Comme tout le trafic des employés est acheminé via le réseau de l'entreprise, ils subiront une latence supplémentaire lorsqu'ils accèderont à des services en dehors du réseau de l'employeur.
Déclencher des géo-restrictions dans des services tiers
Dans ce scénario, les employés accèdent à tous les services tiers avec l'adresse IP de l'entreprise au lieu de leur propre adresse, ce qui peut entraîner des restrictions géographiques et des contrôles de sécurité inattendus.
Préoccupations en matière de protection de la vie privée
Dans un lieu de travail à distance, les employés et surtout les sous-traitants peuvent avoir des problèmes de confidentialité en envoyant l'ensemble de leur trafic via le réseau de leur employeur/client.
Révision complète de la sécurité des applications
Une application qui s'ouvre sur l'internet et authentifie chaque requête nécessite une conception de la sécurité radicalement différente de celle qui se trouve à l'intérieur d'un périmètre sécurisé et n'a jamais affaire qu'à des agents préauthentifiés. Bien que la conception d'applications pour une architecture de sécurité à confiance zéro soit définitivement payante à long terme, la conversion d'applications existantes conçues pour un périmètre sécurisé nécessite un audit complet et un investissement important en termes de remaniement.
Maintenance continue de la sécurité des applications
Ces dernières années, la communauté de la sécurité a vu apparaître de nombreuses vulnérabilités majeures de type "zero-day" qui pourraient être exploitées même par des utilisateurs non authentifiés. Par conséquent, pour toute application disponible via le réseau public, il est essentiel de maintenir la plateforme et la dépendance à jour avec les correctifs de sécurité les plus récents. C'est pourquoi il est indispensable d'employer du personnel de sécurité permanent.
Vulnérabilités de la plate-forme
L'écrasante majorité du code soutenant toute application moderne provient de la ou des plateformes sous-jacentes et d'autres dépendances. Une vulnérabilité trouvée dans la plateforme ou la dépendance est une vulnérabilité dans l'application. La récompense potentielle étant élevée, la quantité de travail investie par les acteurs de la menace pour trouver des vulnérabilités dans la plateforme est gigantesque, et vous pouvez donc vous attendre à ce que des vulnérabilités soient continuellement découvertes dans votre pile.
Abonnement ZenVPN
Configuration unique
La mise en place d'une restriction d'accès basée sur l'IP est une tâche assez facile avec la plupart des plateformes, qui nécessite environ une heure de travail de la part de l'administrateur système.
Périmètre sécurisé
Confiance zéro pure et simple
Confiance zéro + restriction IP

Comme le montre la visualisation ci-dessus, l'utilisation d'une restriction d'accès basée sur l'adresse IP avec ZenVPN peut être une solution efficace pour permettre aux employés distants d'accéder à une application dorsale qui offre une sécurité raisonnablement stricte tout en s'intégrant facilement dans les restrictions budgétaires des petites entreprises.

Études de cas

Déployez un contrôle d'accès basé sur IP pour vos applications avec ZenVPN

La mise en place de ce système est simple comme bonjour avec ZenVPN. Et pour les parties plus techniques du processus, notre équipe de support client sera là pour vous.

  • 1. Ouvrir un compte ZenVPN

    Créez un compte et choisissez une formule d'abonnement.

  • 2. Invitez les membres de votre équipe

    Créez une équipe dans votre compte ZenVPN et invitez vos collègues par leurs adresses email.

  • 3. Attribuer un serveur dédié

    Choisissez un centre de données et faites tourner votre serveur VPN dédié. Il sera prêt en moins de 5 minutes.

  • 4. Mettre en place une liste blanche basée sur l'IP dans vos systèmes

    Limitez l'accès à vos applications à l'adresse IP que vous avez obtenue à l'étape précédente. Nous proposons des plugins pour de nombreuses plateformes populaires afin de faciliter cette tâche.

Commencer maintenant

Vous n'êtes pas encore prêt ? Réservez une démonstration !