VPN : une brique de sécurité à ne pas négliger

Les VPN constituent un élément clé dans la continuité d’activité des entreprises. Si l’accès est chiffré et donc protégé, une récente étude du CERT-FR sur la vulnérabilité des équipements de sécurité montre que ces dispositifs sont désormais la cible privilégiée des attaquants. Leurs failles de sécurité sont activement exploitées par les hackers pour accéder aux systèmes internes des entreprises. Les mettre à jour est donc primordial pour éviter des intrusions. L’autre enjeu est de faire cohabiter ces briques de sécurité avec les services d’accès distants cloud de type ZTNA. Si les grandes organisations souhaitent conserver leurs propres moyens de chiffrement pour les données les plus sensibles, le trafic moins sensible est de plus en plus amené à être traité dans le cloud.

Fortinet : la maîtrise du hardware et du software

Fortinet FG-90G : destiné aux PME, l’équipement met en œuvre le circuit ASIC de toute dernière génération FortiSP5. Celui-ci lui permet de supporter un débit VPN IPSec jusqu’à 25 Gbit/s.

Fortinet FG-900G : doté de 4 ports SFP28 de 25 Gbit/s Ethernet, de 4 ports SFP+ de 10 Gbit/s et de 17 ports RJ45 Gbit/s, ce boîtier peut traiter jusqu’à 16 millions de sessions simultanées.

Acteur majeur de la sécurité, Fortinet dispose d’un catalogue de solutions très large, avec une offre de boîtiers qui couvre les besoins de l’ensemble du marché, depuis les professions libérales jusqu’aux opérateurs de télécommunications. Le cœur de cible de Fortinet reste le midmarket. La stratégie historique du fournisseur est de mener une convergence entre les équipements réseaux et de sécurité. Il dispose d’une maîtrise complète du hardware et du logiciel de ses équipements, avec ses propres circuits ASIC et son propre système d’exploitation FortiOS. Cette maîtrise du hardware lui permet de décliner ses boîtiers en trois gammes pour couvrir l’intégralité du marché. La fonction VPN est livrée nativement avec tous ses firewalls. Fortinet pousse aujourd’hui ses clients vers son offre ZTNA (Zero Trust), beaucoup plus transparente à utiliser pour l’utilisateur. Une fois authentifié, celui-ci n’a plus besoin de lancer son client VPN ; chaque fois qu’il lance une application, un tunnel VPN est créé automatiquement, de manière transparente pour lui.

Cisco : le couteau suisse de l’accès sécurisé

Cisco Meraki MX85 : destiné aux sites comptant jusqu’à 250 personnes, le MX85 offre un débit VPN maximal de 2,5 Gbit/s pour 200 tunnels maximum.

Cisco Firepower 6000 : capable de supporter jusqu’à 400 Gbit/s de trafic, l’équipement peut être déployé en cluster afin d’assurer de très hauts débits et une haute disponibilité chez un opérateur, par exemple.

Bien connu pour ses équipements réseau, le fournisseur américain propose des solutions VPN à la fois via sa gamme Firepower, les Secure Firewall, et sous la marque Meraki. De type Next-Gen Firewall (NGFW), la gamme Firepower embarque un système de détection d’intrusion (IPS) qui met en oeuvre le moteur d’inspection Snort ML utilisant des algorithmes d’IA. Il est en outre doté de la capacité de détecter les malwares dans le trafic chiffré via son module Encrypted Visibility Engine (EVE). Ces briques de sécurité sont disponibles sur l’ensemble de la gamme Firepower qui va des modèles 200 pour les petits sites et jusqu’au 6000 pour les opérateurs.

En parallèle à ces gammes, Cisco possède une forte base installée d’utilisateurs de boîtiers Meraki MX, des UTM (Unified Threat Management) entièrement gérés dans le cloud, une option bien adaptée à la gestion d’une flotte interconnectant un réseau de points de vente ou de locaux en régions. Cette approche peut aussi être retenue pour gérer une flotte de firewalls Firepower mais, à la différence des Meraki MX, ces derniers gardent la possibilité d’être administrés en local pour les entreprises qui ne souhaitent pas ouvrir l’administration de leurs équipements vers l’extérieur.

Ého Link : l’alternative du Mesh VPN

Ého.Box : le boîtier se place entre le routeur Internet et le commutateur réseau. Il est disponible en trois versions : 1, 10 et 50 Gbit/s.

Start-up créée par des vétérans des télécoms, Ého Link propose une offre VPN conçue pour le marché des TPE. Celle-ci s’appuie sur l’approche technique originale appelée Mesh. La connexion n’est pas assurée en point à point, comme sur un VPN traditionnel : les postes clients se connectent directement entre eux en passant par un registre maintenu par l’éditeur ou l’entreprise. L’approche est de type peer-to-peer, sans nœud central, une architecture nommée Mesh VPN.

Le rôle du registre se limite à la mise en relation des postes : il ne voit pas les données transiter et il n’y a aucune possibilité pour le fournisseur d’annuaire d’accéder aux données échangées. Pour se connecter, les utilisateurs disposent du client VPN open source WireGuard. Celui-ci est disponible sous Windows, divers Linux, Android, MacOs et iOS.

Côté entreprise, celle-ci a la possibilité d’installer un petit équipement, l’Ého.Box, en coupure entre son routeur Internet ou la box de l’opérateur et le switch sur lequel sont connectés les postes et les serveurs. Depuis l’interface Web, l’administrateur – qui peut être le responsable informatique ou le gérant de la TPE – va envoyer des invitations par e-mail à tous ceux qui doivent se connecter au VPN d’entreprise.

Palo Alto joue la complémentarité avec le cloud

PA-3000 : modèle le plus vendu de Palo Alto, le PA-3000 est positionné sur le midmarket. Il offre 500 Mbit/s de débit pour les VPN IPSec.

PA-400R : outre ses modèles entreprise, Palo Alto commercialise des équipements pour l’embarqué, que l’on retrouve notamment sur les navires ou les chars.

Le fournisseur américain est très présent sur le marché des équipements VPN via ses firewalls de type Next-Generation (NGFW) qui embarquent cette capacité de chiffrement des communications ainsi que des fonctions de blocage des menaces (IPS/IDS), de filtrage des fichiers, des URL, etc. Sa gamme de boîtiers « PA » couvre tous les besoins jusqu’à plusieurs centaines de milliers d’utilisateurs. Palo Alto propose aussi une gamme durcie pour les applications embarquées.

Outre l’établissement du VPN, l’agent logiciel Global Protect installé sur chaque poste assure aussi un contrôle de la posture de sécurité du poste. Avant d’établir la communication, il doit vérifier que l’antivirus est bien en fonctionnement et que le poste est à jour dans les patchs de sécurité. Outre cette fonction de HIP (Host Information Profile), celui-ci fournit des métriques de performance pour éventuellement faciliter le dépannage si l’utilisateur éprouve des problèmes de connexion.

Les équipements VPN de Palo Alto sont aujourd’hui complétés de fonctionnalités hébergées dans le cloud dans le cadre de l’offre SSE du fournisseur nommée Prisma Access. L’entreprise a la capacité d’aller vers une approche hybride, grâce à une administration centralisée des infrastructures d’accès on premise et cloud.

Thales : une offre qualifiée « Diffusion restreinte »

Mistral IP9001 : le boîtier de chiffrement d’entrée de gamme de Thales implémentera des algorithmes post-quantiques au deuxième semestre 2026.

Mistral IP9010 : correspond à la version 10 Gbit/s de l’équipement. Une version
9100 à 100 Gbit/s est en cours d’étude.

Le géant français de la défense est présent sur le marché VPN sous sa marque mais aussi via sa filiale Ercom Cyber Solutions. Connue pour sa solution de sécurité pour les mobiles, cette dernière propose Cryptosmart, une solution de protection des mobiles et un client VPN pour PC qui présentent, l’un comme l’autre, l’atout d’être certifiés « Diffusion restreinte » par l’ANSSI.

De ce fait, la solution est mise en œuvre dans les ministères, les OIV (opérateurs d’importance vitale) et toutes les organisations soumises aux contraintes liées au partage de données classifiées, mais pas seulement. Les entreprises de hautes technologies peuvent mettre en œuvre ces équipements pour protéger leurs secrets industriels et leur propriété intellectuelle.

Ercom propose aujourd’hui un équipement concentrateur des flux VPN issus des clients logiciels mais il sera prochainement remplacé par la nouvelle offre Mistral de Thales. Ces boîtiers de chiffrement peuvent aussi interagir avec le client VPN édité par l’éditeur français TheGreenBow. Disponible en version logiciel (VM) ou en version hardware, le Mistral dispose des agréments « Diffusion restreinte » de l’ANSSI, ainsi que « Restreint UE » et « NATO Restricted », des arguments de poids pour l’offre Thales sur le marché régalien. Ces agréments ne portent toutefois que sur la version matérielle. Le fournisseur estime délivrer des performances très supérieures aux autres équipements du marché disposant de tels niveaux de certification.

Eviden : une infrastructure de chiffrement souveraine complète

Trustway IP Protect : les chiffreurs sont disponibles sous forme d’équipements rackables au format 1U, avec des versions qui vont de 100 Mbit/s à 10 Gbit/s et un nombre de ports réseaux qui va de 4 à 16.

La gamme Trustway IP Protect bénéficie des 30 ans d’expérience d’Eviden (groupe Atos) dans le chiffrement. Bénéficiant d’une certification critères communs EAL4+ et ANSSI QS, ces boîtiers se destinent à interconnecter des sites en point à point. L’équipementier français propose une large gamme couvrant de multiples cas d’usage, avec un nombre de ports et une bande passante plus ou moins élevés en IPSec. Les boîtiers ont obtenu la qualification « Diffusion restreinte » de l’ANSSI. Pour un usage de type accès distant à destination des utilisateurs nomades ou des télétravailleurs, Eviden propose le recours au client VPN logiciel de TheGreenBow, partenaire du constructeur.

Outre ses boîtiers de chiffrement, le fournisseur propose une architecture de sécurité complète avec son dispositif Trustway Proteccio NetHSM, un HSM (Hardware Security Module) qui a pour rôle d’héberger les clés de chiffrement sur un composant matériel et qui bénéficie d’une qualification renforcée de l’ANSSI. L’architecture de chiffrement est gérée depuis la solution Trustway Domain Manager (TDM) et supervisée avec la solution Trustway Audit Manager (TAM). Ces solutions de gestion centralisées permettent de gérer des parcs de plusieurs centaines voire milliers de chiffreurs de manière centralisée.

Le ZTNA redéfinit le rôle du VPN

La technologie a su montrer sa pertinence lors de la pandémie de Covid-19. Alors que les boîtiers VPN se retrouvaient souvent engorgés face au nombre de collaborateurs à connecter, les services cloud de type ZTNA (Zero Trust Network Access) ont apporté une solution immédiate et performante. Ces services ont su s’inscrire durablement dans le paysage numérique, notamment via les nombreuses fonctions de sécurité SSE (Security Service Edge) intégrées, pour le filtrage des menaces ou l’analyse comportementale du trafic notamment.

Face à cette migration vers le cloud, les constructeurs d’équipement proposent une approche hybride, avec des flux de données sensibles qui restent chiffrés et sécurisés par les équipements détenus et maîtrisés par l’entreprise, tandis que les flux moins sensibles sont confiés à l’architecture cloud ZTNA. Ces approches hybrides sont amenées à se généraliser auprès des entreprises soumises à des contraintes réglementaires sévères mais qui veulent aussi profiter des atouts du cloud. Olivier Besson, directeur du département cyberprotection chez Thales : « Même si nos clients vont dans le cloud et peuvent opter pour des solutions Zero Trust, ils veulent aussi s’assurer que les flux réseau repassent dans leur organisation. Cette approche leur permet d’appliquer toutes les mesures de contrôle qu’ils jugent utiles avant de renvoyer ce trafic dans le cloud. Pour eux, le ZTNA est un complément en rebond des infrastructures de sécurité qu’ils maîtrisent en interne. »

Est-il urgent de remplacer les VPN SSL ?

En 2025, Fortinet annonçait l’arrêt du support des VPN SSL à partir de 2027, une posture forte pour répondre aux multiples vulnérabilités qui affligent ce protocole. IPSec, le protocole alternatif, est bien connu et largement mis en œuvre dans  les grandes entreprises. Néanmoins, le basculement de SSL vers IPSec va demander un accompagnement, notamment pour les TPE/PME qui n’ont pas de compétences informatiques et réseaux en interne. IPSec s’appuie en effet sur le protocole réseau UDP et exploite d’autres ports que SSL, ce qui peut poser des problèmes d’accès auprès de certains fournisseurs grand public, particulièrement sur les points d’accès des gares et aéroports qui peuvent bloquer ces ports par défaut. Fortinet propose une fonction AutoVPN qui bascule sur le protocole réseau TCP sur le port 443 en cas de blocage par le fournisseur d’accès.

Le post-quantique devient une réalité

C’est en phase d’établissement du VPN, lors de l’échange de clés de chiffrement, que les futurs ordinateurs quantiques représenteront une menace pour les communications chiffrées. Pour contrer ce risque, il faut remplacer l’algorithme de chiffrement asymétrique RSA actuellement mis en œuvre par un algorithme résistant à ce type d’attaque, soit un algorithme post-quantique.

Plusieurs algorithmes de type PQC (Post-Quantum Cryptography) ont d’ores et déjà été standardisés par le NIST (National Institute of Standards and Technology) américain et les entreprises peuvent commencer à les tester. L’idée est d’aller vers des déploiements progressifs : plusieurs algorithmes, traditionnels et PQC seront mis en œuvre en parallèle sur le boîtier de chiffrement, dans une approche appelée la « crypto-agilité ». Antoine Schweitzer-Chaput, directeur de la gamme Trustway chez Eviden, souligne : « L’arrivée du post-quantique suppose un réel enjeu en termes d’ingénierie car les algorithmes PQC ont des caractéristiques différentes, avec des longueurs de clé et des caractéristiques d’utilisation différentes. » Eviden et Thales ont fait le choix de s’appuyer sur les librairies de chiffrement post-quantique développées par l’éditeur français CryptoNext Security afin de proposer ces algorithmes PQC en parallèle des algorithmes classiques.

Alain Clapaud