60% des attaques par ransomware commencent par un VPN compromis
Votre PME utilise un VPN pour que les collaborateurs accèdent au réseau depuis chez eux. Ce VPN est connecté à votre Active Directory pour l'authentification. Ce modèle date de 2005 — et les hackers le savent.
En 2024, 60% des attaques par ransomware sur les PME ont exploité un accès VPN compromis (rapport Sophos). Le scénario est toujours le même : identifiant volé par phishing → connexion VPN → accès à tout le réseau → déploiement du ransomware.
Le problème : le VPN donne les clés du château
| Ce que le VPN fait | Le risque |
|---|---|
| Connecte au réseau entier | Un compte compromis = accès à tout |
| Authentifie via Active Directory | Mots de passe AD souvent faibles ou fuités |
| Expose un port sur internet | Surface d'attaque permanente (brute force) |
| Pas de vérification de l'appareil | Un PC personnel infecté accède au réseau |
| Pas de segmentation | Mouvement latéral libre pour l'attaquant |
Le scénario d'attaque typique
- Phishing : votre comptable reçoit un faux email Microsoft, saisit son mot de passe AD
- Connexion VPN : l'attaquant se connecte avec les identifiants volés depuis l'étranger
- Reconnaissance : il scanne le réseau, trouve le contrôleur AD et les partages de fichiers
- Élévation de privilèges : il exploite une faille AD pour devenir admin du domaine
- Ransomware : il chiffre tous les postes et serveurs en une nuit
Temps total : 4 à 48 heures. Coût moyen pour la PME : 50 000 à 200 000€.
L'alternative : Zero Trust avec Entra ID
Le modèle Zero Trust part du principe que personne n'est de confiance — ni à l'intérieur ni à l'extérieur du réseau. Chaque accès est vérifié en temps réel.
| Critère | VPN + Active Directory | Zero Trust (Entra ID + ZTNA) |
|---|---|---|
| Accès au réseau | Tout le réseau | Application par application |
| Authentification | Mot de passe AD | MFA + appareil conforme + localisation |
| Surface d'attaque | Port VPN exposé 24/7 | Aucun port ouvert |
| Mouvement latéral | Libre | Impossible par design |
| Vérification de l'appareil | Non | Oui (Intune/MDM) |
| Surveillance | Logs VPN basiques | Détection comportementale SOC |
| Gestion des identités | AD on-premise (complexe) | Cloud Entra ID (simplifié) |
Ce que Dhala met en place pour ses clients PME
Étape 1 : Audit de votre infrastructure actuelle
Analyse de votre VPN, Active Directory, comptes utilisateurs, et identification des failles (comptes admin sans MFA, mots de passe fuités, ports exposés).
Étape 2 : Migration vers Entra ID + accès conditionnel
Déploiement des politiques d'accès conditionnel : MFA obligatoire, blocage des pays à risque, appareil conforme requis.
Étape 3 : Remplacement du VPN par ZTNA/SASE
Migration progressive vers une architecture SD-WAN/SASE qui remplace le VPN par un accès granulaire, avec gestion des identités centralisée.
Étape 4 : Supervision SOC 24/7
Notre SOC surveille les connexions suspectes : connexion depuis un pays inhabituel, tentative de brute force, comportement anormal d'un compte.
Pour aller plus loin : guide technique accès conditionnel Entra ID et sécurité réseau SD-WAN/SASE.
