{ "uuid": "5fb5b2042db6f3a7dd200906ee574817", "slug": "vpn-gateway-equipment", "lang": "fr", "audience": null, "count": 7, "conseils": [ { "uuid": "cbb0beeb4ba24769ad3bf916b9520660", "category": "regulatory", "audience": [ "technician", "manager" ], "severity": "critical", "title": "Imposer l'authentification multi-facteurs", "content": "Le VPN est la porte d'entree privilegiee des attaquants : un mot de passe vole ouvre tout le réseau interne. Le guide d'hygiene ANSSI mesure 21 et la directive NIS2 imposent le MFA pour toute connexion VPN. Privilégier les facteurs forts (FIDO2, application avec notification push, OTP materiel). Le SMS comme second facteur est deconseille." }, { "uuid": "9266606ea4e94596863f57568f0ccd7b", "category": "maintenance", "audience": [ "technician" ], "severity": "critical", "title": "Patcher les CVE des concentrateurs VPN en priorite absolue", "content": "Les concentrateurs Fortinet, Pulse Secure, Citrix et autres ont subi des vagues massives d'exploitation en 2019, 2021, 2023 et 2024. Une CVE critique sur le VPN est exploitee dans les heures qui suivent. Souscrire aux alertes editeur, et appliquer les correctifs critiques sous 24 a 48 heures, meme en dehors des fenêtres de maintenance habituelles." }, { "uuid": "579ab2359e1342bb8df1c158dcca1cf5", "category": "operational", "audience": [ "technician", "manager" ], "severity": "mandatory", "title": "Reposer sur des protocoles modernes : IPsec IKEv2 ou WireGuard", "content": "Les anciens protocoles (PPTP, L2TP/IPsec mal configuré, SSL-VPN sans certificat valide) presentent des faiblesses cryptographiques connues. Privilégier IPsec IKEv2 avec algorithmes AES-256-GCM et SHA-2, ou WireGuard. Pour SSL-VPN, exiger TLS 1.2 minimum (1.3 recommande) et des suites de chiffrement modernes." }, { "uuid": "832875a63ae342a7a836e3f1900841ce", "category": "operational", "audience": [ "technician", "auditor" ], "severity": "mandatory", "title": "Centraliser les logs de connexion et les revoir", "content": "Chaque connexion VPN doit etre tracée : date, utilisateur, IP source, durée, IP attribuee. Envoyer ces logs vers le SIEM avec retention minimale 12 mois. Une revue mensuelle des connexions inhabituelles (pays étrangers, horaires atypiques, comptes inactifs réactivés) detecte les compromissions tôt. Conformite RGPD art. 32 et ISO 27001 A.12.4." }, { "uuid": "0e5bb1aa19da45ed9727851fe871f0de", "category": "safety", "audience": [ "technician" ], "severity": "recommended", "title": "Vérifier les certificats serveur tous les trimestres", "content": "Un certificat serveur expiré bloque toute connexion. Un certificat auto-signe ou faible expose au man-in-the-middle. Vérifier chaque trimestre la validite, la durée restante (renouveler 30 jours avant), la solidite (RSA 2048 minimum, ECDSA P-256 recommande) et la chaine de confiance. Automatiser via ACME / Let's Encrypt si possible." }, { "uuid": "42a96643ff964479923e32c370ea1531", "category": "training", "audience": [ "end_user" ], "severity": "recommended", "title": "Ne jamais partager votre identifiant VPN", "content": "Votre identifiant VPN est strictement personnel. Le prêter a un collegue ou a un prestataire revient a leur donner les clés de l'entreprise. En cas de besoin d'acces ponctuel, demandez la creation d'un compte temporaire au service informatique. Toute connexion sera attribuee a vous en cas d'incident." }, { "uuid": "de7416fbd125475ea3ef3ebfc7a894a7", "category": "operational", "audience": [ "end_user" ], "severity": "recommended", "title": "Deconnecter le VPN apres usage", "content": "Laisser le VPN connecte en permanence sur un poste personnel partage avec d'autres membres du foyer expose le réseau professionnel. Pensez a déconnecter le VPN a la fin de votre session de travail et a verrouiller votre poste si vous vous absentez." } ] }