Nouveau rapport sur les risques liés aux VPN : 56 % des entreprises attaquées via des vulnérabilités VPN

Les réseaux privés virtuels (VPN) fournissent depuis longtemps un accès à distance aux entreprises. Cependant, après une année riche en exploits très médiatisés de vulnérabilités VPN de gravité élevée et de type « zero day », dont certaines ont nécessité des directives CISA d’urgence demandant de déconnecter les services VPN, les entreprises reconsidèrent leur position. Nombre d’entre elles repensent leurs stratégies de connectivité du personnel et adoptent une architecture Zero Trust comme alternative sécurisée aux VPN.

Concrètement, 91 % des entreprises craignent que les VPN compromettent leur sécurité.

Publié aujourd’hui, le rapport Zscaler ThreatLabz 2024 sur les risques liés aux VPN met en lumière les tendances VPN critiques et explore diverses solutions permettant de sécuriser les utilisateurs distants. Cybersecurity Insiders et Zscaler ont interrogé 647 professionnels de l’informatique et experts en cybersécurité sur l’évolution des problèmes de sécurité, de gestion et d’expérience utilisateur liés aux technologies VPN. Il s’agit notamment des risques que les VPN peuvent présenter pour la sécurité d’une entreprise en rapport avec les déplacements latéraux, l’accès de tiers et la vulnérabilité aux attaques telles que les ransomwares.

Dans l’ensemble, les conclusions dressent un tableau clair. Les entreprises expriment de vives inquiétudes relatives aux risques de sécurité des solutions VPN, alors même qu’elles parviennent à un consensus fort autour des stratégies Zero Trust et qu’elles prévoient concrètement d’adopter l’accès réseau Zero Trust (ZTNA). Les entreprises s’accordent également à dire que l’hébergement de l’infrastructure VPN dans le cloud va à l’encontre des principes de Zero Trust et ne fournit pas le même niveau de sécurité ou d’expérience utilisateur que ZTNA.

Téléchargez le rapport Zscaler ThreatLabz 2024 sur les risques liés aux VPN pour découvrir les points de vue des entreprises et les conseils d’experts concernant les risques liés aux VPN.

L'essentiel

• Les attaques contre les VPN sont en hausse. 56 % des entreprises ont subi une ou plusieurs cyberattaques liées aux VPN au cours de l’année écoulée, contre 45 % l’année précédente, ce qui met en évidence la fréquence et la sophistication croissantes des attaques ciblant les VPN.
• La grande majorité des entreprises passent au Zero Trust. 78 % des entreprises prévoient de déployer des stratégies Zero Trust au cours des 12 prochains mois. Parallèlement, 62 % des entreprises reconnaissent que les VPN vont à l’encontre du Zero Trust.
• La plupart des entreprises expriment des doutes concernant la sécurité des VPN. 91 % des personnes interrogées craignent que les VPN compromettent leur environnement de sécurité informatique. Les incidents récents illustrent les risques liés au maintien d’infrastructures VPN obsolètes ou non corrigées.
• Les VPN ne font pas le poids face aux ransomwares, aux malwares et aux attaques DDoS. Les personnes interrogées ont identifié les ransomwares (42 %), les malwares (35 %) et les attaques DDoS (30 %) comme les principales menaces exploitant les vulnérabilités des VPN, ce qui souligne l’ampleur des risques auxquels les entreprises sont confrontées en raison des faiblesses inhérentes aux architectures VPN traditionnelles.
• Le risque de déplacement latéral ne peut être ignoré. 53 % des entreprises victimes d’une violation par le biais de vulnérabilités des VPN affirment que les hackers se sont déplacés latéralement, ce qui démontre des échecs de confinement au niveau du point initial de compromission et souligne les risques des réseaux plats traditionnels.
• Le risque lié aux tiers constitue une préoccupation quasi-globale. Étant donné que les VPN offrent un accès complet au réseau, 92 % des personnes interrogées s’inquiètent du fait que des tiers utilisant un accès VPN puissent servir de portes dérobées dans leurs réseaux.

Augmentation des attaques liées aux VPN, des vulnérabilités CVE et des préoccupations des entreprises

Dans l’ensemble, 56 % des entreprises ont signalé des cyberattaques exploitant les vulnérabilités des VPN au cours de l’année écoulée, ce qui représente une augmentation significative (45 %) par rapport à l’année précédente. Plus inquiétant encore, 41 % des entreprises ont déclaré avoir subi au moins deux attaques liées au VPN, ce qui souligne l’existence de graves failles de sécurité qui exigent une attention immédiate.

Illustration 1 : Entreprises qui ont subi une attaque ciblant les vulnérabilités VPN au cours de l’année écoulée

Cette augmentation des attaques liées aux VPN n’est pas sans contexte. Au cours de la dernière année, nous avons vu apparaître une série de vulnérabilités VPN de type « zero day » et de gravité élevée. Cette tendance a révélé que, d’un point de vue architectural, les réseaux basés sur VPN sont vulnérables à un point de défaillance unique qui permet aux acteurs malveillants de se déplacer latéralement sur le réseau, de découvrir les applications phares et de voler des données sensibles.

En effet, la plupart des personnes interrogées qui ont subi des violations liées au VPN ont signalé que les hackers se déplaçaient latéralement sur leurs réseaux.

Illustration 2 : Série de vulnérabilités CVE très médiatisées ayant eu un impact sur les VPN au cours de la dernière année

La confiance des entreprises dans la sécurité des VPN est au plus bas. Dans l’ensemble, 91 % des entreprises craignent que les VPN compromettent la sécurité de leur environnement.

Illustration 3 : Préoccupations des entreprises face à la compromission de la sécurité de leur environnement par les VPN

Croissance de l’adoption du Zero Trust

Parallèlement, ou en raison des problèmes de sécurité liés aux VPN, les entreprises affichent un fort consensus autour de l’adoption de stratégies Zero Trust pour une connectivité sécurisée. Concrètement, 62 % des entreprises considèrent que la technologie VPN est incompatible avec les stratégies Zero Trust.

Illustration 4 : Points de vue des entreprises sur la compatibilité des VPN avec les stratégies Zero Trust

Parallèlement, les entreprises adoptent activement des stratégies Zero Trust alors que l’enthousiasme pour le VPN s’amenuise. Dans l’ensemble, 78 % des entreprises prévoient de déployer des stratégies Zero Trust au cours des 12 prochains mois, tandis que 31 % déploient déjà activement des stratégies Zero Trust. 

Illustration 5 : Adoption par les entreprises des stratégies Zero Trust

Alors que le nombre de vulnérabilités de sécurité très médiatisées associées aux VPN ne cesse d’augmenter, les entreprises doivent s’attendre à une augmentation parallèle des incidents de sécurité liés aux VPN. En conséquence, les entreprises se tourneront de plus en plus vers ZTNA pour remplacer les VPN et améliorer fondamentalement leur posture de sécurité.

Notre solution ZTNA, Zscaler Private Access (ZPA), offre une sécurité complète aux utilisateurs qui se connectent à des applications privées, quel que soit leur emplacement, depuis n’importe quel appareil. Avec ZPA, les applications ne sont pas exposées à Internet, ce qui limite les capacités des hackers à les trouver et à les cibler. Notre inspection du trafic inline détecte les activités malveillantes afin d’empêcher toute compromission et exfiltration de données. ZPA peut limiter le rayon d’impact grâce à une segmentation utilisateur-application optimisée par l’IA et à la tromperie intégrée. 

Pour des informations complètes du rapport, notamment des conseils concernant les bonnes pratiques d’atténuation des risques liés aux VPN et des prévisions pour 2024 et au-delà, téléchargez dès aujourd’hui votre copie du rapport Zscaler ThreatLabz 2024 sur les risques liés aux VPN avec Cybersecurity Insiders.