Depuis plusieurs années, l’ANSSI recommande fortement l’usage de tunnels VPN
IPsec en cas d’interconnexion de systèmes d’information Diffusion Restreinte (SI DR)
ou de connexions distantes à ces SI DR. Cette recommandation s’adresse en premier
lieu aux acteurs de la défense et aux administrations qui doivent s’assurer de la
confidentialité des informations qu’ils gèrent, mais aussi aux Entités Essentielles (EE)
ou Entités Importantes (EI) qui recherchent un niveau de protection renforcé pour leurs
systèmes d’information.

L’Agence privilégie ce protocole standard de communication sécurisée par rapport au
protocole TLS, parce qu’elle le juge plus sûr. En particulier, le protocole IPsec
présente, selon elle, une surface d’attaque plus réduite que le TLS. Les nombreuses
vulnérabilités découvertes récemment sur des VPN SSL/ TLS le confirment.
Pour aider les industriels proposant des produits de cybersécurité implémentant le
protocole IPsec à répondre aux exigences de sécurité d’un SI DR, L’ANSSI a
documenté un « Référentiel IPsec DR ». Ce référentiel a également pour objectif de
faciliter l’interopérabilité des équipements comme les pare-feux et les clients VPN
IPsec. Enfin, dans le cadre d’une demande auprès de l’ANSSI pour une qualification
standard avec une aptitude à protéger des informations DR, la conformité avec ce
référentiel est requise.

Engagée dans un processus de certification CC EAL4+ avec une qualification
renforcée pour une version majeure de son Client VPN Windows, TheGreenBow a
saisi l’occasion pour proposer dès maintenant la comptabilité de ses clients VPN avec
le référentiel IPsec DR. Ainsi, les versions Client VPN Windows 7.4, macOS 2.3 et
Android 6.3, qui seront mises sur le marché dans les prochaines semaines,
bénéficieront de cette fonctionnalité. Ce qui signifie concrètement qu’elles contiennent
déjà un périmètre réduit d’algorithmes cryptographiques et de méthodes
d’authentification utilisables, pour être conformes avec les règles de protection des
réseaux de Diffusion Restreinte.