Two palms hold four pills. In one palm — the blue pill VPN, in another — the yellow SASE, the black ZTNA, and the red PROXY.

La sécurité en ligne est devenue indispensable suite au Covid 19, lorsque l’accès à distance est devenu nécessaire pour le travail et les loisirs. De nombreuses entreprises ont commencé à rechercher des alternatives aux VPN (Virtual Private Network), ainsi, ces dernières années diverses options pour se défendre sur Internet ont vu le jour.

Que vous recherchiez différentes façons de protéger votre entreprise ou que vous soyez préoccupé par la confidentialité, cet article est vous sera utile.

Qu’utiliser à la place d’un VPN ?

Un VPN un tunnel de communication chiffré vers Internet en réacheminant votre trafic de données via ses serveurs. Pour assurer la sécurité à l’échelle du réseau il vous suffit de vous connecter à votre client et d’exécuter l’application. Même si un VPN constitue une excellente solution pour un particulier, vous devriez le prendre en considération si vous cherchez à protéger votre entreprise.

  1. ZTNA (Zero trust network access)

Zero trust (zéro confiance) signifie que même vous n’êtes pas digne de confiance. Il s’agit de l’une des principales mesures de sécurité et celle-ci est utilisée par les entreprises. Il s’agit d’une alternativeparanoïaque à un VPN :

  • Bloque tout le trafic par défaut ;
  • Donne accès à des applications spécifiques ;
  • Utilise l’authentification multifacteur (AMF) ;
  • Surveille toutes les activités sur le réseau ;
  • Nécessite que tous les utilisateurs du réseau soient continuellement validés pour la configuration de la sécurité ;
  • Fonctionne selon le principe du moindre privilège : ne donne aucune gestion des accès privilégiés à quiconque sur le réseau par défaut.

En termes simples, pour accéder davantage au réseau, vous devez vous revalider à presque toutes les autres étapes. Vous êtes une menace du point de vue du programme et votre appareil constitue déjà un problème de sécurité, d’où la réautorisation constante et la partie « zéro confiance ».

Lorsque cette mesure protège le réseau, l’administrateur authentifie les utilisateurs et surveille les appareils sur et hors du réseau. Un autre avantage intéressant est que l’internaute ne peut pas afficher son adresse IP en dehors du périmètre du réseau (même sur Internet).

Consensus : ZTNA est une option de sécurité sûre qui garde les actifs de votre entreprise protégés (même s’il s’agit d’un niveau paranoïaque). Il s’agit d’une avancée par rapport aux VPN matériels. Toutefois, ZTNA n’est pas encore adapté à un usage domestique convivial et n’est pas aussi pratique qu’un VPN logiciel.

  1. SASE (Secure access service edge)

Quelques solutions incluent un niveau de sécurité SASE. L’idée est de combiner plusieurs services en un seul service de sécurité basé sur le cloud.

SDN + SWG + CASB + FWaaS + ZTNA = SASE

Passons en revue chaque programme caché sous ce niveau de sécurité pour comprendre ce que fait SASE.

Réseau défini par logiciel (SDN) : un réseau géré via un logiciel.

SWG (Security web gateway) : empêche le trafic de données non sécurisé (éventuellement malveillant) d’entrer sur un réseau.

CASB (Cloud access security brokers) sont des points « sensibles » entre le prestataire de services et l’utilisateur qui déclenchent différentes politiques de sécurité une fois que les ressources basées sur le cloud sont accédées.

Les politiques incluent : l’authentification des utilisateurs, l’autorisation, l’authentification unique, le mappage des informations d’identification, le profilage des appareils, le chiffrement, la tokenisation, la journalisation, les alertes et la détection/prévention des logiciels malveillants.

FWaaS (Firewall as a service) : un pare-feu sur votre ordinateur inspecte et filtre votre trafic de données. FWaaS est le même concept, mais adapté au cloud pour sécuriser davantage l’informatique en nuage.

ZTNA (Zero trust network access) comme expliqué ci-dessus, il s’agit d’une option de sécurité stricte qui empêche les utilisateurs de voir tout ce à quoi ils ne sont pas autorisés à accéder.

Consensus : SASE est une solution de sécurité basée sur le cloud relativement nouvelle. Il est conçu pour être accessible et constituer une solution de sécurité tout-en-un pour les grandes entreprises.

Cependant, étant donné qu’il est récent, le dépannage peut être plus difficile et la gestion du réseau interne peut s’avérer compliquée. SASE peut parfois chevaucher d’autres mesures de sécurité (comme le SD-WAN récemment implémenté) et entraîner des problèmes de performances.

  1. Serveurs proxy

Lorsque l’on compare un VPN et un proxy, les deux sont similaires sur un point : ils redirigent vos données et changent votre adresse IP (Internet Protocol). Parlons des proxys. Ce service fait en sorte qu’un autre serveur sur Internet représente votre appareil.

Votre fournisseur d’accès à Internet (FAI) vous attribue une adresse IP distincte en fonction de votre emplacement. Votre navigateur utilise votre adresse IP pour envoyer des requêtes à chaque serveur qu’il contacte sur Internet.

Lorsque vous utilisez un proxy, votre trafic de données est acheminé par leurs serveurs et obtient une nouvelle adresse IP. Il s’agit d’un bon moyen de contourner les géoblocages et d’échapper au suivi IP (et à tout ce qui en dépend).

Il existe un grand nombre de proxys utilisés à des fins différentes avec des protocoles différents, mais nous ne mentionnerons que les proxys d’actualité, plus loin dans cet article.

Consensus : l’utilisation d’un serveur proxy vous donnera une nouvelle adresse IP, ce qui constitue un excellent moyen de trouver des marchés avec des prix plus avantageux et de contourner les restrictions géographiques sur Internet.

CEPENDANT, hormis le changement d’adresse IP, un proxy n’assure aucune sécurité sur Internet ou sur votre réseau.

  1. Smart DNS (domain name server)

Smart DNS présente certaines similitudes avec un VPN : il s’agit d’un service qui utilise à la fois des serveurs DNS et des serveurs proxy pour changer votre adresse DNS. Certains l’appellent un proxy DNS.

Le système DNS est un langage permettant aux ordinateurs de communiquer. Le DNS est utilisé pour traduire le nom du site Internet (par exemple www.surfshark.com) en adresse IP.

Un service smart DNS achemine le trafic via ses serveurs et vous donne une adresse DNS différente sans changer l’IP. Cela oblige également les sites que vous consultez à examiner d’abord votre nouvelle adresse DNS, ce qui est généralement suffisant pour contourner les blocages géographiques émis par les FAI.

Cependant, du point de vue de la sécurité, il n’offre rien. Votre IP est toujours la même et peut être vue par des prestataires de services plus tenaces.

Consensus : Smart DNS est une excellente option pour contourner une restriction géographique lorsque votre appareil ne prend pas en charge un VPN. Toutefois, il n’offre aucune protection.

  1. Shadowsocks

Il s’agit d’un service semi-proxy dont le but principal est de creuser sous certaines restrictions et censures (indice : cela a quelque chose à voir avec une muraille asiatique). Fondé par un programmeur chinois, l’histoire de la création de ce service est passionnante.

Shadowsocks n’est pas réellement un proxy, mais une application qui se connecte à un serveur proxy SOCKS5. Cependant, le proxy en lui-même se distingue des autres en proposant une combinaison de trois méthodes d’authentification :

  • Null authentication : aucune authentification n’est nécessaire lors de la connexion à un proxy. Votre mot de passe est accepté sans vérification.
  • Authentification par nom d’utilisateur/mot de passe : le mot de passe est accepté à condition qu’il corresponde au nom d’utilisateur que vous avez indiqué.
  • Authentification GSS-API : il s’agit d’un processus lors duquel deux ordinateurs ou plus (votre appareil et le serveur que vous essayez d’atteindre) utilisent les mêmes méthodes d’authentification pour vérifier votre identité.

Shadowsocks, associé à SOCKS5, achemine votre trafic vers un serveur distant et change votre adresse IP avant que vos données n’atteignent les services auxquels vous souhaitez accéder.

Consensus : Shadowsocks change votre adresse IP et vous aide à masquer votre emplacement, mais cela ne sécurisera pas votre trafic. Son mince voile de sécurité s’effondre facilement avec l’utilisation d’outils d’inspection approfondie des paquets (IPP) (si quelqu’un les utilisait).

Cela peut être idéal pour une utilisation par les particuliers afin de surmonter les restrictions sur Internet, mais Shadowsocks n’est pas une bonne option de sécurité pour la gestion de votre réseau d’entreprise.

  1. Tunnel SSH

La tunnelisation SSH, ou redirection de port SSH, signifie transférer des données (appelées données arbitraires) sur un canal SSH chiffré.

Qu’est-ce que l’SSH ? 

Protocole shell sécurisé utilisant la cryptographie. Un shell est un programme au sein duquel les commandes sont émises avec du texte plutôt qu’avec une souris, un clavier ou un écran tactile. Vous pouvez vous connecter à votre shell à partir d’un appareil qui n’est pas le vôtre, ce qui constitue la base d’un travail à distance sécurisé avec SSH.

Remarque : SSH vous connecte à un appareil spécifique. SSH ressemble à un VPN, mais SSH se connecte à un appareil particulier, alors qu’un VPN se connecte à un réseau.

Qu’est-ce que la redirection de port ?

La redirection de port permet aux serveurs sur Internet d’accéder à des appareils sur un réseau privé. Une fois que les données provenant d’Internet atteignent un appareil, la redirection de port les redirige via un point d’entrée spécifique sur l’appareil : un port.

Qu’est-ce que la redirection de port SSH / tunnelisation SSH ?

Cela vous permet de transférer des données via un tunnel chiffré à partir d’une autre application client exécutée sur le même ordinateur qu’un client shell sécurisé. Grâce à sa cryptographie et sa capacité à se connecter directement, ce protocole de sécurité peut également être utilisé pour contourner les pare-feu.

Consensus : La tunnelisation SSH est une excellente mesure de sécurité si l’on recherche des alternatives à un logiciel VPN pour une entreprise. Il chiffre vos données acheminées via les canaux SSH. De plus, l’utilisation de la tunnelisation SSH par les particuliers est possible, mais elle nécessite des connaissances.

Il n’y a pas beaucoup d’inconvénients : la tunnelisation SSH protège uniquement la partie des données qui transitent par son client, et l’implémentation à l’échelle du serveur nécessite un personnel expérimenté.

  1. TOR

The onion router (TOR) est une bonne solution pour les utilisateurs particuliers. Si votre entreprise dépend de la vitesse et envisage de choisir TOR plutôt qu’un VPN, vous devriez probablement reconsidérer cette décision.

Qu’est-ce que TOR en termes simples ?

The onion router (le routeur oignon) désigne le logiciel TOR et son réseau de serveurs TOR. Le service dépend en partie du bénévolat.

Comment fonctionne TOR ?

Tor utilise un groupe de serveurs privés en couches (des bénévoles offrant leurs ordinateurs) pour acheminer et chiffrer votre trafic Internet via Internet :

  1. Il se connecte à une liste de nœuds disponibles sur le réseau à travers le monde.
  2. Les données sont acheminées via une série de trois nœuds TOR aléatoires. Chacun de ceux-ci est différent des autres et dispose d’une clé de chiffrement unique :

Le nœud d’entrée connaît l’utilisateur et le nœud relais.

Le nœud relais connaît les nœuds d’entrée et de sortie.

Le nœud de sortie connaît le nœud relais et la destination.

En raison de l’architecture du réseau, aucun ordinateur ne sait où se trouve le point d’origine du flux de données et son point de destination finale : votre identité et votre adresse IP sont protégées.

Toutefois, TOR présente quelques inconvénients. Les principaux incluent : des vitesses Internet lentes et le fait que le service n’utilise pas d’obsfuscation. Cela signifie que même si votre fournisseur d’accès à Internet ne peut pas voir ce que vous consultez, il peut tout de même voir que vous utilisez TOR, ce qui est illégal dans certains pays.

Consensus : grâce à son infrastructure unique, TOR est un formidable outil de confidentialité pour un usage par les particuliers. Toutefois, son plus grand atout présente également un inconvénient. Bien que nous soyons d’accord pour qu’Internet soit gratuit et accessible à tous, nous pensons également qu’il existe un moyen plus simple et plus rapide de sécuriser votre présence en ligne, surtout si vous dirigez une entreprise.

Réflexion finales

Si vous souhaitez développer votre entreprise et assurer sa sécurité, les VPN matériels représentent un problème de plus en plus complexe. Le service SASE constitue un excellent remplacement à un VPN existant pour une entreprise. Si votre réseau est déjà sécurisé et ne nécessite qu’un ajustement, essayez ZTNA.

Tout dépend des goûts de votre administrateur de sécurité : préfère-t-il une gestion de réseau détaillée ? Peut-être que ses compétences ne sont pas encore aussi raffinée et qu’il vous faut une solution plus simple.

Gardez également à l’esprit que de nombreux problèmes matériels liés aux VPN ont été résolus par leur successeur, le VPN logiciel. Une connexion VPN est une excellente option à la fois pour un usage domestique ET professionnel. Facile à faire évoluer, simple à implémenter et sécurisé grâce à l’utilisation de serveurs RAM, au chiffrement et à l’obfuscation.

Le travail (et les loisirs) à distance sécurisé rendu possible grâce à un logiciel VPN

Activez Surfshark

Questions fréquentes

Qu’y a-t-il de plus sûr qu’un VPN ?

TOR est censé offrir plus de confidentialité pour un usage par les particuliers grâce à son infrastructure de services. Celui-ci vous aide à accéder au dark web et est souvent utilisé pour des communications sécurisées. Néanmoins, le service est parfois perturbateur et n’utilise pas d’obsfuscation : il ne cache pas le fait que vous utilisez TOR.

Pour les propriétaires d’entreprise, il n’est pas recommandé de passer d’un VPN à TOR, simplement en raison de vitesses de service peu fiables et du manque de gestion du réseau.

Tor est-il mieux qu’un VPN ?

Cela dépend de qui l’utilise et de la la raison pour laquelle il en a besoin. Un aperçu de TOR et des VPN : TOR est excellent si vous n’êtes pas préoccupé par la vitesse et que vous avez besoin de relayer quelque chose de sensible ; un VPN est fiable si vous avez besoin de confidentialité lors de la navigation Internet ordinaire : il offre un équilibre entre vitesse et commodité.

Un VPN est-il plus sûr qu’un proxy ?

Oui, car un VPN vous donne non seulement une nouvelle adresse IP, mais chiffre également votre trafic de données et le masque. Un proxy redirigera uniquement votre trafic et changera votre adresse IP, ce qui le rend idéal pour contourner les géoblocages.