Par Paolo Passeri, Cyber Intelligence Principal chez Netskope
Depuis plusieurs jours, une attaque informatique massive par force brute est en cours, utilisant près de 2,8 millions d’adresses IP par jour pour tenter de deviner les identifiants de divers équipements de sécurité réseau d’entreprises, y compris les VPN. Avec la montée en puissance du télétravail ces dernières années, l’usage des technologies d’accès à distance s’est intensifié, mais leur popularité croissante attire aussi les cybercriminels, qui cherchent à exploiter leurs vulnérabilités pour accéder aux réseaux des entreprises ou intercepter des données.
Pour Paolo Passeri, Cyber Intelligence Principal chez Netskope, l’exploitation continue des technologies traditionnelles d’accès à distance, telles que les VPN, a été une caractéristique récurrente de l’année écoulée dans le domaine de la cybersécurité, et cela se confirme en ce début 2025 :
« Aujourd’hui, on peut se demander comment les technologies d’accès à distance sont devenues aussi vulnérables alors qu’elles ont à l’origine été déployées par les entreprises pour renforcer leur sécurité. Il est important de rappeler l’urgence de la mise en place de l’accès à distance en 2020 lors de la pandémie. Les organisations étaient confrontées au choix difficile de donner la priorité à la productivité plutôt qu’à la sécurité. Dans de trop nombreux cas, les nouvelles technologies ont été déployées avec des paramètres par défaut non sécurisés ou sans un processus opérationnel solide en place, avec des erreurs de configuration et des failles logicielles. De plus, les entreprises modernes ne se limitent plus à un centre de données ou à un emplacement géographique uniques. En effet, leurs employés accèdent aux applications et aux données à partir de multiples appareils et depuis des lieux divers, créant ainsi un réseau de connectivité que les technologies d’accès à distance traditionnelles peinent à gérer.
Dans ce contexte, les cybercriminels ont compris le potentiel de ce nouveau paradigme et exploitent régulièrement les vulnérabilités et les faibles paramètres de sécurité par défaut des anciennes technologies d’accès à distance, en particulier les concentrateurs VPN. En conséquence, l’année 2024 a connu un nombre inédit de campagnes malveillantes menées en tirant parti des failles logicielles dans les dispositifs mêmes qui étaient censés fournir un accès sécurisé aux ressources internes. C’est pourquoi il faut atténuer le risque lié aux technologies d’accès à distance exposées et exploitées par les attaquants.
Pour relever ce défi, une approche de sécurité zero trust partant du principe qu’aucun utilisateur ou appareil ne doit être approuvé par défaut, combinée à une technologie d’accès réseau Zero Trust (ZTNA), se présentent comme une alternative plus sécurisée aux solutions d’accès à distance traditionnelles. Cela permet en effet de publier et de segmenter les ressources situées dans un datacenter local ou dans le cloud d’une manière simple et sans exposition à internet. Le ZTNA fournit un accès contrôlé aux ressources en fonction de l’identité et du contexte, réduisant ainsi la surface d’attaque, en appliquant une posture de refus par défaut. Il accorde ensuite de manière adaptative la confiance appropriée requise à ce moment-là, quel que soit le lieu où l’utilisateur se connecte, et vérifie également n’importe quel service externe entrant dans le réseau de l’organisation, qui pourrait être sondé par des cybercriminels pour rechercher des vulnérabilités et les exploiter. Ainsi, les organisations restent protégées en limitant leur exposition et en ne nécessitant qu’un trafic sortant, ce qui réduit l’impact des mauvaises configurations ou des vulnérabilités « zero day », même en l’absence d’une politique de correctifs solide.
Dans de nombreux cas observés, l’exploitation des vulnérabilités a été possible plusieurs mois, voire plusieurs années, après la divulgation initiale et la disponibilité d’une mise à jour de sécurité, simplement parce que les entreprises concernées n’ont pas installé les correctifs de sécurité en temps voulu. De nombreuses organisations sont aujourd’hui dotées d’outils de sécurité disparates peu adaptés à la complexité et aux vulnérabilités de réseaux à distance qui datent d’une époque où l’accès distant était loin de ressembler à ce qu’il est devenu. Une approche zero trust et la mise en œuvre du ZTNA sont donc nécessaires pour aider les entreprises à évoluer et à se développer tout en réduisant leur surface d’exposition aux attaques afin de protéger leurs données. »
