Les réseaux privés virtuels (ITSAP.80.101)

Un réseau privé virtuel (RPV) est une connexion sécurisée entre deux points, comme un ordinateur portable et le réseau d’une organisation. Le RPV sert de tunnel par l’entremise duquel on peut envoyer et recevoir des données sécurisées dans un réseau physique existant. Par exemple, un employé en télétravail pourra utiliser un RPV pour envoyer des données qui seront chiffrées jusqu’à leur destination (comme un serveur dans le lieu de travail, télétravailleur). Nous présentons ici quelques risques et facteurs dont il faut tenir compte avant d’utiliser des services RPV.

Comment fonctionnent les RPV?

L’image ci-dessous illustre comment un utilisateur distant envoie des données chiffrées au serveur de son organisation à l’aide d’un RPV. Les données chiffrées sont transmises par l’entremise d’un « tunnel » qui les protège contre les auteurs de menace. Dans l’image, on suppose que le tunnel de RPV se termine là où les données atteignent le pare-feu ou la passerelle RPV de l’organisation. La plupart des passerelles RPV sont intégrées au pare-feu. Ici, le point terminal du transfert de données est un serveur particulier auquel l’utilisateur peut accéder. L’utilisateur devrait donc être invité à saisir ses justificatifs d’identité pour accéder aux données chiffrées sur le réseau de l’organisation.

Description détaillée - RPV

Diagramme qui démontre qu’un RPV sert de tunnel par l’entremise duquel les données chiffrées peuvent être transmises sur Internet en toute sécurité, à l’abri des auteurs de menace. Pour renforcer la sécurité, il convient d’exiger des justificatifs d’identité tant pour l’envoi que pour la réception des données chiffrées. Le diagramme contient cinq icônes qui sont connectées entre elles par une ligne pointillée verte qui représente l’information chiffrée. Les trois premières icônes sont aussi connectées par deux lignes noires pleines qui représentent un tunnel RPV. Les icônes sont connectées comme suit :

1. La première icône représente un ordinateur portable qui affiche sur son écran l’image d’un cadenas sous lequel est écrit « ENVOYÉ ». L’icône représente l’« accès à distance ».
2. Le deuxième icône représente l’« internet » et est composée d’une planète surmontée d’un nuage.
3. La troisième icône est un mur de briques duquel dépassent des flammes. Elle représente un « pare-feu ».
4. La quatrième icône est composée de trois tours d’ordinateur et représente le « serveur ».
5. La cinquième et dernière icône est un écran d’ordinateur qui affiche un cadenas ouvert. Elle représente l’« accès local ».

Quels sont les types de RPV?

De passerelle à passerelle : connexion de deux réseaux au moyen d’un RPV établi sur un réseau public qui permet de sécuriser tout le trafic transmis de l’un à l’autre. On utilise généralement ce type de RPV pour connecter deux lieux de travail distants.

D’hôte à passerelle : connexion permettant à un utilisateur d’accéder à distance à un réseau d’entreprise (par exemple, à partir d’un portable ou d’un dispositif mobile.

D’hôte à hôte : connexion semblable à l’accès à distance par RPV, mais permettant de connecter un hôte à une ressource particulière se trouvant sur un réseau d’entreprise ou un autre hôte.

RPV tiers : connexion sécurisée entre un point d’accès public (comme le réseau Wi-Fi d’un aéroport ou d’un hôtel) et le RPV d’un fournisseur tiers. Ce dernier redirige alors le trafic de manière à ce qu’il semble provenir de son réseau.

Comment protéger les données que l’on envoie ou auxquelles on accède par l’entremise d’un RPV?

Pour bien comprendre les risques associés à l’utilisation d’un RPV, votre organisation devrait déterminer quelles seront les données transmises ou accessibles par l’entremise d’un RPV et la valeur de ces données. Des politiques claires devraient être imposées aux employés qui utilisent un RPV pour accéder à distance à un serveur dans le lieu de travail.

Dans la mesure du possible, les paramètres de configuration devraient obliger les destinataires des données chiffrées à saisir leurs justificatifs d’authentification avant de pouvoir accéder à l’information. C’est ce qu’on appelle la cryptographie asymétrique : les fonctions de chiffrement et de déchiffrement exigent deux clés ou justificatifs distincts.

Quels sont les risques?

Les RPV peuvent comporter des risques pour la sécurité de votre organisation. Avant d’utiliser un service RPV, il importe de faire des recherches afin de vous assurer qu’il est conforme à vos politiques. Certains facteurs peuvent accroître les risques, notamment :

• Si vous choisissez d’utiliser un réseau non fiable (comme le Wi-Fi gratuit) ou si le réseau de l’organisation est infecté par des maliciels, un RPV ne permettra pas de vous protéger.
• La sécurité de l’information risque d’être compromise si la clé de chiffrement est divulguée ou volée.
• Certains services de RPV visent à masquer votre identité en ligne plutôt qu’à protéger vos données.

Quels facteurs doivent être pris en considération avant d’utiliser un RPV?

Les organisations qui utilisent un RPV devraient suivre les recommandations ci-dessous :

• Utiliser un jeton matériel qui ne peut être copié (p. ex. un jeton RSA) comme mesure de sécurité additionnelle.
• Utiliser l’authentification multifactorielle pour ajouter une couche de sécurité supplémentaire.
• Éviter d’ouvrir une session dans les comptes sensibles à moins d’utiliser un RPV.
• Veiller à ce que les employés utilisent des services de Wi-Fi sécurisés (et non le Wi-Fi gratuit) lorsqu’ils utilisent un RPV.
• Il existe de nombreux services de RPV gratuits et payants. Il convient de choisir celui qui correspond le mieux aux besoins de l’organisation (p. ex., taille, coût).