Quels protocoles VPN pour votre entreprise ?

Plutôt que de s’appuyer sur du matériel coûteux pour mettre en place des réseaux fermés, une connexion VPN utilise le réseau Internet ouvert pour transférer des données en toute sécurité via un tunnel crypté. Internet étant public par nature, le chiffrement a un effet dissuasif sur les agents malveillants qui se cachent dans le même environnement.

La technologie VPN n’est pas complexe, mais il existe de nombreuses configurations VPN et protocoles de tunnellisation parmi lesquels choisir. Tout cela peut devenir très technique, aussi voici un rapide tour d’horizon des types de VPN et des protocoles de tunneling qui conviennent à votre entreprise.

Les différents types de VPN et le moment de les utiliser

Les solutions d’accès à distance et de VPN site à site résolvent les mêmes problèmes en utilisant des méthodes différentes. L’objectif final est toujours de protéger les ressources de l’entreprise contre les accès non autorisés.

VPN d’accès à distance

Le VPN d’accès à distance est une connexion chiffrée temporaire entre le centre de données de l’entreprise et l’appareil de l’utilisateur. Il ne devient actif que lorsque l’utilisateur l’active. Sinon, il n’y a pas de lien permanent. Les entreprises utilisent principalement ce type de connexion pour accéder en toute sécurité aux applications et aux données d’un centre de données via un tunnel VPN. Vous pouvez vous imaginer qu’il s’agit d’une connexion VPN qui crée un chemin sécurisé depuis votre appareil pour accéder aux documents sensibles ou au matériel de l’entreprise à l’autre bout.

Le principal inconvénient de cette méthode est que les applications que vous utilisez sont hébergées depuis le siège principal, ce qui est désormais très rare. La plupart des entreprises adoptent des solutions SaaS (Software as Services) – universellement hébergées ailleurs, dans d’énormes centres de données. Par conséquent, la mise en place d’un VPN d’accès à distance n’est peut-être pas la solution la plus pratique, car dans ce cas, les données passent de l’appareil de l’utilisateur au hub central, puis au centre de données et inversement. Cela pourrait donc introduire de graves goulots d’étranglement et dégrader les performances du réseau.

Bien que cette solution puisse être bonne lorsque vous en avez besoin pour des applications spécifiques auto-hébergées ou des documents très confidentiels que vous ne voulez pas héberger ailleurs. Cependant, il est bon de noter que vous devez planifier en fonction du nombre d’utilisateurs qui y accèdent. Plus ils seront nombreux, plus vous aurez besoin de matériel performant.

VPN site à site

Le VPN de site à site est une connexion permanente entre plusieurs bureaux pour créer un réseau unifié qui fonctionne en permanence. Il doit être configuré séparément pour les deux réseaux, et il est idéal pour les cas où vous avez plusieurs sites distants. Il peut être configuré sur des routeurs sur site ou sur des pare-feu.

Cette solution ne vous sera pas d’un grand secours si vos utilisateurs veulent se connecter depuis leur domicile. Pour des raisons de sécurité, les administrateurs n’autorisent généralement pas les connexions à partir de réseaux qu’ils ne contrôlent pas. En fait, ils sacrifient l’accessibilité au profit de la sécurité.

D’un autre côté, c’est l’une des méthodes les moins coûteuses pour fusionner des réseaux distincts en un seul intranet. Chaque appareil peut fonctionner comme s’il se trouvait sur le même réseau local, ce qui facilite les échanges de données et le rend inaccessible aux tentatives d’espionnage de l’extérieur.

Protocoles VPN les plus courants

Les VPN utilisent des protocoles de tunneling qui servent de règles pour l’envoi des données. Ils fournissent des instructions détaillées sur le conditionnement des données et sur les contrôles à effectuer lorsqu’elles atteignent leur destination. Ces différentes méthodes affectent directement la vitesse et la sécurité du processus. Voici les plus populaires.

Sécurité du protocole Internet (IPSec)

IPSec est un protocole de tunneling VPN qui sécurise l’échange de données en appliquant l’authentification de session et le cryptage des paquets de données. Il s’agit d’un cryptage double – le message crypté se trouve dans le paquet de données, qui est à nouveau crypté. Le protocole IPSec se combine avec d’autres protocoles pour une sécurité accrue et est fréquemment utilisé dans les configurations VPN site à site en raison de sa grande compatibilité.

Protocole de tunnellisation de la couche 2 (L2TP)

Le protocole L2TP fonctionne en générant un tunnel sécurisé entre deux points de connexion L2TP. Une fois établi, il utilise un protocole de tunneling supplémentaire pour crypter les données envoyées, à savoir IPSec. L’architecture complexe de L2TP permet de garantir une sécurité élevée des données échangées. Il s’agit d’un autre choix populaire pour les configurations de site à site, en particulier lorsqu’une sécurité accrue est nécessaire.

Protocole de tunnellisation point à point (PPTP)

Le PPTP est un autre protocole de tunneling qui crée un tunnel avec un chiffre PPTP. Cependant, depuis la création du chiffrement dans les années 90, la puissance de calcul a augmenté de façon exponentielle. Il ne faudrait pas beaucoup de temps pour forcer le chiffrement et révéler les données échangées. C’est pourquoi la technologie n’utilise que rarement ce cryptage. Il est préférable de le remplacer par des protocoles de tunneling plus sûrs et dotés d’un cryptage plus avancé.

SSL et TLS

Les protocoles Secure Socket Layer et Transport Layer Security sont la même norme qui permet de crypter les pages web HTTPS. Ainsi, le navigateur web fait office de client, et l’accès des utilisateurs est limité à des applications spécifiques plutôt qu’à l’ensemble du réseau. Comme presque tous les navigateurs sont équipés de connexions SSL et TLS, aucun logiciel supplémentaire n’est généralement nécessaire. En général, les VPN d’accès à distance utilisent SSL/TLS.

OpenVPN

OpenVPN est une amélioration open-source du cadre SSL/TLS avec des algorithmes cryptographiques supplémentaires pour rendre votre tunnel crypté encore plus sûr. C’est le protocole de tunneling par excellence pour sa haute sécurité et son efficacité. Cependant, la compatibilité et la configuration peuvent être un peu aléatoires car vous ne pourrez pas l’installer de manière native sur de nombreux appareils pour former des réseaux VPN de routeur à routeur. Les performances peuvent donc varier.

Il existe en version User Datagram Protocol (UDP) ou Transmission Control Protocol (TCP). L’UDP est plus rapide car il utilise moins de contrôles de données, tandis que le TCP est plus lent mais protège mieux l’intégrité des données. Dans l’ensemble, OpenVPN est un protocole de tunneling complet et sécurisé et est populaire pour l’accès à distance et les réseaux privés virtuels de site à site.
Secure Shell (SSH)

Comme l’autre option, SSH génère une connexion cryptée et permet le transfert de port vers des machines distantes via un canal sécurisé. Il est utile pour accéder à votre bureau via votre ordinateur portable à la maison. Bien qu’il apporte une flexibilité supplémentaire, les canaux SSH doivent toujours être surveillés de près pour ne pas constituer un point d’entrée direct en cas de violation. C’est pourquoi il est préférable de l’utiliser uniquement dans les configurations d’accès à distance.

WireGuard

Le plus récent protocole de tunneling largement disponible est moins complexe mais beaucoup plus efficace et plus sûr que IPSec et OpenVPN. Il s’appuie sur un code hautement rationalisé pour obtenir les meilleures performances possibles avec une marge d’erreur minimale. Bien qu’il soit encore au stade de l’adoption précoce, vous pourriez trouver des bureaux utilisant des connexions site à site basées sur Wireguard. Il existe même des implémentations propriétaires de Wireguard comme NordLynx.

Quel protocole VPN est le meilleur pour votre entreprise ?

Un protocole VPN devrait être la dernière chose sur la liste que vous devriez choisir. Vous devez d’abord choisir le type de configuration à utiliser : accès à distance ou site à site. Cela devrait réduire votre liste d’options. Toutefois, il convient de noter que ni l’accès à distance ni le site à site ne sont les seules possibilités de configuration d’un VPN basé sur Internet.

Après avoir examiné attentivement les besoins de votre entreprise et la méthode de configuration, vous pouvez commencer à étudier les besoins de votre réseau. Examinez votre modèle de risque, la charge de trafic à laquelle vous vous attendez, les données que vous souhaitez rendre accessibles et les personnes concernées. Plus l’image est claire, plus il sera facile de réduire les coûts de mise en place et de choisir le protocole de tunneling adapté à votre cas spécifique.

En règle générale, Wireguard, L2TP, SSL/TLS et OpenVPN sont les options les plus sûres pour les configurations d’accès à distance. Les meilleurs protocoles VPN peuvent dépendre entièrement de votre matériel d’un point de vue site à site. Par exemple, si vous utilisez déjà des routeurs qui supportent nativement OpenVPN, il peut être plus logique de les utiliser plutôt que de les jeter pour obtenir ceux qui peuvent gérer Wireguard.