« Le rapport indique que 92 % des personnes interrogées reconnaissent l’importance d’adopter une architecture Zero Trust. Cependant, il est préoccupant de constater que de nombreuses entreprises utilisent encore un VPN pour permettre l’accès à distance des salariés et des tiers, ce qui offre involontairement une surface d’attaque attrayante aux acteurs malveillants », explique Deepen Desai, Global CISO et responsable de la recherche en sécurité chez Zscaler. « Pour se prémunir contre ces attaques de ransomwares en constante évolution, il est essentiel que les entreprises cessent d’utiliser les VPN, privilégient la segmentation utilisateur-application et déploient un moteur de prévention de la perte de données contextuel en ligne avec une inspection TLS (Transport Layer Security) complète. »

Les vulnérabilités des VPN rappellent l’importance de recourir à une architecture Zero Trust
88 % des entreprises se disent très concernées par les brèches potentielles dues aux vulnérabilités des VPN. Elles craignent plus particulièrement d’éventuelles attaques de phishing (49 %) et de ransomwares (40 %) en raison de l’utilisation régulière de VPN.

Près de la moitié déclarent avoir été ciblées par des cyberattaquants ayant réussi à exploiter une vulnérabilité du VPN (protocoles obsolètes ou fuites de données, par exemple) et une sur cinq avoir subi une attaque au cours de l’année écoulée, les ransomwares étant notamment devenus des adversaires de taille.

Utilisation par des tiers : une préoccupation majeure
Malgré des mesures de sécurité diligentes, l’étude montre que 90 % des entreprises subissent toujours l’exploitation de fournisseurs tiers par des attaquants pour obtenir un accès indirect à leurs réseaux par des portes dérobées. Les utilisateurs externes, tels que les sous-traitants et les fournisseurs, représentent des risques potentiels pour les entreprises, du fait de la diversité des normes de sécurité, du manque de visibilité sur les pratiques de sécurité de leur réseau et de la complexité de la gestion des accès des tiers externes.

Les anciennes architectures réseau et sécurité gèrent l’accès aux applications internes : elles fournissent aux utilisateurs un accès direct au réseau, et font intrinsèquement confiance aux utilisateurs qui peuvent confirmer leurs identifiants au point d’accès, une situation qui pose problème en cas de vol de ces identifiants. Grâce à une approche Zero Trust, les utilisateurs se connectent directement aux applications et aux ressources dont ils ont besoin, jamais au réseau. Les connexions d’utilisateur à application et d’application à application éliminent ainsi le risque de mouvement latéral et empêchent les appareils compromis d’infecter d’autres ressources. De plus, les utilisateurs et les applications sont invisibles sur Internet, de sorte qu’ils ne peuvent être ni découverts ni attaqués.

Une mauvaise expérience utilisateur peut engendrer des problèmes de sécurité
Outre les problèmes de sécurité, 72 % des utilisateurs se disent insatisfaits de leur expérience VPN actuelle, du fait de la lenteur et du manque de fiabilité des connexions. Plus précisément, 25 % sont frustrés par la lenteur des applications et 21 % sont confrontés à des interruptions fréquentes de leur connexion.

Les problèmes de fiabilité de la connectivité Internet entrainent une expérience utilisateur médiocre, ainsi qu’une frustration et un désengagement chez les utilisateurs. La complexité de l’authentification et les frictions peuvent également entraîner une perte de productivité, une diminution des revenus et un risque accru de pertes de données, les utilisateurs cherchant les moyens de contourner les services VPN inefficaces.

Passer au Zero Trust
Conscientes du rôle joué par les VPN obsolètes dans ces problématiques de sécurité et d’expérience utilisateur, les entreprises s’orientent de plus en plus vers une architecture Zero Trust. 92 % d’entre elles reconnaissent en effet l’importance d’adopter une approche Zero Trust pour protéger leurs actifs et leurs données, soit une augmentation de 12 % par rapport à l’année précédente. 69 % planifient actuellement le remplacement de leurs solutions VPN actuelles par un accès réseau Zero Trust.

Atténuer le risque VPN grâce à l’approche Zero Trust
Le rapport insiste fortement sur l’importance pour les entreprises de mettre en place une architecture basée sur le Zero Trust afin de réduire efficacement les risques liés aux vulnérabilités des VPN et de protéger leurs données et leurs applications sensibles contre les cyberattaques.
• Pour plus d’informations sur les meilleures pratiques pour abandonner les VPN, consultez le blog post Zscaler : Third-Party Access Identified as a Huge Risk to Organizations
• Pour télécharger le rapport Zscaler 2023 sur les risques liés aux VPN : Zscaler 2023 VPN Risk Report
• Si vous envisagez de remplacer votre VPN et êtes à la recherche de conseils sur le sujet, téléchargez l’eBook Zscaler : Sécurisez vos collaborateurs hybrides avec ZTNA

Méthode
Reposant sur une enquête menée auprès de 382 professionnels de l’informatique et experts en cybersécurité, le rapport VPN 2023 de Zscaler explore les multiples facettes des défis en matière de sécurité et d’expérience utilisateur. Il révèle la complexité de la gestion des VPN d’aujourd’hui, les problèmes liés à l’expérience utilisateur, les vulnérabilités à diverses cyberattaques et leur capacité à nuire à la posture de sécurité des entreprises.