- Les accès distants ont étendu la surface d'attaque en dehors du périmètre réseau contrôlé par l'organisation — le poste de l'utilisateur, son réseau domestique et ses applications personnelles sont devenus des vecteurs d'attaque directs vers les systèmes internes.
- Uber (2022) : l'attaque a débuté par la compromission d'un compte prestataire accédant aux systèmes via un accès distant. La MFA par notification push — susceptible à la fatigue — était le seul contrôle entre l'accès prestataire distant et les systèmes critiques internes.
- SoftBank (2023) : des employés accédant à des outils d'IA depuis leurs postes de travail professionnels ont exposé des données confidentielles — une forme d'accès nomade à des services externes non gouvernés par la politique de sécurité interne.
- Les VPN traditionnels accordent un accès réseau large une fois authentifiés — sans contrôle granulaire des ressources accessibles. Cette architecture ne correspond plus aux exigences de sécurité des organisations hybrides.
- Le Zero Trust Network Access (ZTNA) remplace le VPN par un accès granulaire par application, avec évaluation continue du contexte (posture du poste, localisation, comportement) à chaque requête d'accès.
Le travail distant et nomade n'est pas une évolution temporaire — c'est un mode de fonctionnement permanent dans la plupart des organisations. Les accès distants représentent désormais une proportion majeure du trafic d'authentification sur les systèmes d'entreprise, avec des profils d'utilisateurs très divers : employés en télétravail, prestataires accédant à distance, managers itinérants, équipes distribuées géographiquement. Cette diversité crée une surface d'attaque étendue et hétérogène, difficile à maîtriser avec les architectures de contrôle d'accès conçues pour un périmètre réseau fixe.
Le risque des accès distants est structurellement différent de celui des accès internes. L'organisation ne maîtrise pas le réseau utilisé (réseau domestique, WiFi public, réseau mobile), ne maîtrise pas la posture de sécurité du poste client (particulièrement pour les configurations BYOD), et ne peut pas s'appuyer sur la localisation physique comme facteur implicite de confiance. Ces incertitudes doivent être compensées par des contrôles d'accès explicites plus stricts que dans un contexte interne.
Les limites du VPN traditionnel
Le VPN (Virtual Private Network) a été la solution dominante d'accès distant pendant deux décennies. Son fonctionnement repose sur un principe simple : une fois authentifié, l'utilisateur distant obtient un accès réseau équivalent à celui d'un utilisateur interne. C'est précisément ce modèle qui crée un risque structurel en contexte de travail hybride : un compte VPN compromis — que ce soit par phishing, credential stuffing ou exploitation d'un poste peu sécurisé — donne accès au réseau interne avec les mêmes droits qu'un employé présent physiquement dans les locaux.
Les VPN traditionnels présentent également des problèmes d'observabilité : ils génèrent peu de logs granulaires sur les ressources effectivement accédées par les utilisateurs distants, ce qui rend difficile la détection des comportements anormaux. Enfin, leur gestion devient complexe dans les architectures multi-cloud et SaaS : le trafic doit transiter par les serveurs VPN de l'organisation avant d'atteindre des services cloud, créant des goulots d'étranglement de performance sans bénéfice sécurité proportionnel.
L'attaque ransomware contre Colonial Pipeline, qui a paralysé la distribution de carburant dans le sud-est des États-Unis pendant six jours, a été initiée via un compte VPN d'un ancien employé protégé par un seul facteur d'authentification (mot de passe uniquement, sans MFA). Ce compte, jamais désactivé après le départ de son titulaire, était accessible depuis l'internet public via l'interface VPN de l'organisation. La combinaison d'un accès distant mal gouverné (compte orphelin) et d'une authentification insuffisante (absence de MFA) a permis à l'attaquant d'accéder au réseau opérationnel de Colonial Pipeline depuis l'extérieur. La rançon de 4,4 millions de dollars versée illustre le coût réel d'une architecture d'accès distant non sécurisée.
Contrôles d'accès conditionnels
Les politiques d'accès conditionnel (Conditional Access) permettent d'évaluer le contexte de chaque demande d'accès avant d'accorder l'autorisation : posture de sécurité du poste client (chiffrement activé, antivirus à jour, version OS supportée), localisation géographique (accès depuis un pays sans activité habituelle), comportement (heure inhabituelle, volume d'accès anormal), niveau de risque de la session calculé par le système IAM. Ces politiques permettent de différencier les conditions d'accès selon le profil de risque de la demande : un accès depuis un poste géré et conforme depuis le lieu habituel de l'utilisateur reçoit un niveau de friction minimal, tandis qu'un accès depuis un poste inconnu depuis un pays non habituel exige une authentification forte renforcée.
ZTNA : architecture de référence pour les accès distants
Le Zero Trust Network Access (ZTNA) remplace la logique réseau du VPN par une logique d'accès applicatif : l'utilisateur distant n'accède pas au réseau de l'organisation — il accède à des applications spécifiques, après évaluation du contexte, et son accès est limité au périmètre applicatif autorisé. Cette granularité est fondamentalement plus sécurisée que l'accès réseau large du VPN. Le ZTNA intègre également la réévaluation continue : l'accès est ré-évalué à intervalles réguliers ou lors de changements de contexte (changement de réseau, comportement anormal), plutôt qu'accordé une seule fois pour toute la durée de la session.
L'attaque Twitter de 2020 a exploité des outils d'administration accessibles à un nombre excessif d'employés, y compris via des accès distants. L'ingénierie sociale ciblant des employés peu vigilants a permis d'obtenir des credentials valides pour ces outils. Un contrôle d'accès conditionnel basé sur la posture du poste et le contexte de connexion aurait pu détecter l'anomalie de la session compromise (connexion depuis un contexte inhabituel) et exiger une re-authentification ou bloquer l'accès avant la prise de contrôle des 130 comptes célébrités.
L'impact de WannaCry sur les usines Renault a été amplifié par la connectivité entre les réseaux industriels et les réseaux bureautiques sur lesquels des accès distants étaient configurés. Des postes connectés en VPN au réseau Renault depuis des environnements distants non contrôlés ont facilité la propagation du malware. La segmentation stricte des accès distants par profil de risque — un opérateur de maintenance industrielle devrait accéder uniquement aux systèmes industriels, pas au réseau bureautique général — aurait réduit significativement le périmètre de propagation.
La violation Samsung par Lapsus$ a impliqué des identifiants obtenus via ingénierie sociale ciblant des employés et sous-traitants. Ces identifiants ont permis des accès distants aux dépôts de code source depuis des environnements non contrôlés par Samsung. L'absence de politiques d'accès conditionnel sur les dépôts de propriété intellectuelle critique — imposant l'utilisation de postes gérés et conformes pour l'accès au code source — a facilité l'exfiltration des 190 gigaoctets de données publiées par le groupe Lapsus$.