Le VPN devient la "nouvelle" norme à la mode en matière de sécurité pour le travail à distance, mais si on regarde sous la couverture, on peut avoir des surprises...
J'ai passé la dernière décennie à construire une expertise assez unique en cyber-Enquêtes et sécurité informatique en général. Ajoutez à cela plus de 25 ans de gestion département technologique et de collaboration avec de multiples équipes et industries spécialisées ainsi que de gérance de crises informatiques de tout acabit. Vous pouvez facilement imaginer que j'ai traversé plus que ma part de problème technologique (grands et petits).
Le talon d'Achille est que le simple fait d'ajouter "VPN" à une conversation sur l'accès à distance semble procurer un sentiment instantané de confort et de sécurité qui se révèle être assez souvent exagérée.
Beaucoup de gens ont tendance à supposer qu'un VPN est plus que ce qu'il est vraiment. Et lorsque l'on assume quelque chose, on laisse le dernier mot au hasard.
Voici les 4 principales choses que j'entends maintes et maintes fois des utilisateurs et lors de réunions d'entreprise sur le sujet :
1 - Pas besoin d'un ordinateur ou portable dédié pour travailler à domicile, l'ordinateur familial est tout aussi fiable.
FAUX! Un ordinateur dédié (le vôtre ou celui fourni par le bureau) éliminera les problèmes liés à l'utilisation de votre ordinateur par d'autres personnes de la maison tout en s'assurant que votre travail et votre vie personnelle ne se mélange pas.
FAUX! Les appareils «non Windows» pourraient facilement devenir des vecteurs d'infections sans aucun symptôme.
FAUX! Un VPN n'est qu'un tunnel crypté entre vous et le bureau qui cache ce qui le traverse au monde extérieur. Les virus et autres logiciels malveillants sont libres de le parcourir de long en large l'infrastructure de l'entreprise en même temps que vous.
FAUX! L'utilisation de solution de VPN de première génération, jamais mise à jour ou encore pire, une de ses solutions utilisées pour le "streaming" de vidéos resortent encore beaucoup trop souvent des rapports d'audit en entreprise. Avoir une solution VPN qui fournit au minimum à votre équipe informatique la capacité de voir si quelque chose essaie de s'introduire ou d'être averti automatiquement qu'une faille dans la solution nécessite une mise à jour devrait être la norme en entreprise. Cela pourrait être la différence entre gérer votre travail quotidien et gérer des semaines de reconstruction après une attaque de base de donnée et / ou de rançongiciel.
Quelques minutes, c'est tout ce qu'il vous faut pour contacter les responsables de votre solution VPN, discuter avec eux et obtenir un rapport vous indiquant :
À quand remonte la dernière mise à jour de votre solution VPN (ne devrait pas être plus d'un an)
À quelle date la licence est à renouvelée (si on vous dit qu'elle n'a pas besoin d'être renouvelée car elle est gratuite, inquiétez-vous).
Si votre solution VPN fait parti d'un produit de parfeu professionnel (comme un Fortinet), est-ce qu'il possède la dernière génération de UTM (s'ils ne savent pas de quoi vous parlez, encore ici, inquiétez-vous).
Et si la réponse à toutes ces questions est quelque chose comme : Pas besoin de VPN, vous vous connectez directement à votre ordi au bureau et l'antivirus est à date... Je vous recommande fortement de demander un audit de votre environnement informatique à un tierce parti car je n'aime pas dutout ce qu'implique ce genre de réponse... Vraiment pas.
Parlez-en avec votre expert en sécurité de l'équipe informatique ou de votre MSP.