Академический Документы
Профессиональный Документы
Культура Документы
Introduction................................................................................................... 5
Quels sont les besoins de la plupart des utilisateurs en matière de réseau VPN ? ....... 6
Architecture .................................................................................................. 7
Services ...................................................................................................... 7
Protocoles .................................................................................................... 7
Mécanismes.................................................................................................. 9
Composants.................................................................................................. 9
Défis ..........................................................................................................10
Conclusion .................................................................................................14
-3-
Introduction
Internet/Intranet/Extranet.
Puis d’apporter une réponse aux principaux défis techniques auxquels doivent faire
face les entreprises lorsqu'elles mettent en œuvre ce type de réseau privé virtuel,
confiance qui doit être accordé aux produits de sécurité en fonction des dernières
-5-
Qu’appelle-t-on un VPN ?
Aujourd'hui, les technologies Internet modifient Un réseau VPN peut être considéré comme un
le fonctionnement des entreprises et cette tuyau permettant l'échange des données entre
évolution ne va pas sans affecter les relations un émetteur et un récepteur.
entre citoyens et administrations publiques.
Ce tuyau est virtuel car il est établi de façon
Si on les compare avec des réseaux à ligne logique et dynamique entre l'émetteur et le
spécialisée dédiée ou avec des réseaux X25 récepteur au moment de la connexion (en
traditionnels, les infrastructures de réseau utilisant l'adresse IP Internet unique de
public IP telles qu'Internet constituent un réseau chacun). Il est privé car il utilise une série de
générique à faible coût, largement accessible protocoles spécifiques. Etant donné que ces
et facile à utiliser, qui permet d'échanger protocoles de sécurité fonctionnent au niveau
presque tous les types d'informations entre tous réseau ou transport, ils permettent d'obtenir un
les types d'entreprises ou de particuliers dans chemin totalement sécurisé entre l'émetteur et
le monde entier. le récepteur, quels que soient l'application
utilisée et le type de données échangées.
Le réseau VPN (réseau privé virtuel) est une
solution qui intègre cette nouvelle Il apporte également les garanties suivantes :
infrastructure, en apportant des garanties • personne d'autre sur Internet ne peut utiliser
supplémentaires de sécurité et de ce tuyau virtuel privé pour accéder à vos
confidentialité des connexions pour les informations système personnelles ;
applications qui utilisent Internet comme moyen • personne d'autre sur Internet ne peut écouter
de transport. ou modifier les données échangées.
Pour être efficace, la plupart des utilisateurs se 3. la possibilité d’utiliser une architecture
concentrent sur leur métier et leur savoir-faire, reposant sur des couches réseau
et non sur la technologie qu'ils utilisent. Ils ont physiques hétérogènes (802.3,
besoin d'une infrastructure de réseau Internet 802.11…) ;
sécurisée, fiable et gérable qui permette des 4. une disponibilité fiable et immédiate sans
échanges de type e-business rapides et fiables. dégradation des performances du
On peut alors décrire ainsi les exigences en réseau ;
matière de VPN : 5. une évolutivité vers n'importe quel nombre
1. un nombre minimum de contraintes pour d'utilisateurs, y compris des utilisateurs
l'utilisateur (et même aucune Contrainte, si mobiles ou à distance (employés,
possible !) ; partenaires, clients, …) ;
2. la possibilité de travailler avec toute 6. une gestion centralisée adaptée et des
application Internet standard (Web, possibilités d'intégration des outils de
courrier électronique, transfert de fichiers, gestion réseau de l'entreprise ;
bases de données, …) et sans aucune 7. la garantie du niveau de sécurité
modification ou configuration particulière nécessaire pour chaque type d'activité.
de ces applications ;
-6-
Architectures classiques et composants techniques
Architecture Les architectures VPN classiques sont de 3 qui permet de connecter les utilisateurs
types : Nomades aux bureaux de l'entreprise
• VPN Intranet : réseau VPN entre les différents • VPN Extranet : extension du VPN Intranet qui
services d'une entreprise, les bureaux des permet de connecter les utilisateurs ne faisant
filiales, les bureaux situés à l'étranger, etc. pas partie de l'entreprise (partenaires,
fournisseurs, clients...) aux bureaux de
• VPN Nomades : extension du VPN Intranet l'entreprise.
Services Les architectures VPN fournissent les services • Intégrité et non-rejet des données : service
de sécurité suivants : utilisé pour vérifier que les données reçues
sont exactement celles qui ont été transmises
• Authentification : service utilisé pour vérifier par l'entité émettrice authentifiée. La fonction
que les deux entités (émetteur et récepteur) de non-rejet des données reçues (ou émises)
possèdent des identités valides (c'est-à-dire, peut facultativement être garantie au
prouvent qu'elles sont effectivement la récepteur (ou à l'émetteur).
personne ou le système qu'elles prétendent
être). • Les services de génération et d'échange de
Il faut noter que l'entité peut être un humain, clefs ne sont généralement pas visibles par
mais aussi un système tel qu'une passerelle, l'utilisateur, mais constituent un composant
un pare-feu, un serveur, etc. essentiel de tout système basé sur le
chiffrement car la plupart des autres services
• Contrôle d'accès : service qui contrôle les reposent sur l'utilisation de clefs de
droits d'accès d'une entité donnée à un chiffrement.
système ou à un groupe de systèmes
particulier. • D'autres services peuvent être facultativement
L'authentification mutuelle et le contrôle fournis :
d'accès doivent toujours avoir lieu lors de la • Protection contre la ré-exécution :
phase d'initialisation du VPN et donc avant permet d'éviter la réception de data
tout échange de données. grammes IP en double.
Protocoles Dans un réseau VPN, les services de sécurité pouvant être utilisés sont SSL (Secure Socket
sont mis en œuvre via les composants des Layer) et IPSEC.
protocoles. Les deux principaux protocoles
-7-
SSL/TLS est SSL est un protocole de couche 4 (niveau mécanismes de sécurité à utiliser, algorithmes
généralement bien transport) utilisé par une application pour et clefs de chiffrement, etc.) qui seront utilisés
adapté aux applications établir un canal de communication sécurisé durant le reste de la session (phase 2) pour
de commerce avec une autre application. sécuriser les données échangées.
électronique entre
SSL est généralement utilisé comme une SSL a évolué vers la norme IETF appelée
entreprises et clients sur
fonction standard dans la plupart des Transport Layer Security [TLS] et peut être
le Web et aux échanges navigateurs Internet et des logiciels serveur considéré comme une solution VPN des
électroniques entre Web. applications de Web Extranet très étendues
citoyens et On peut considérer qu'il existe une
administrations SSL est un protocole en deux phases : au cours interopérabilité complète entre les diverses
publiques de la phase 1, le client et le serveur négocient mises en œuvre de SSL effectuées par la
les paramètres de sécurité (services et plupart des fournisseurs.
Le protocole IPSEC IPSEC est un protocole de couche 3 (niveau tous les services de l'en-tête AH L'en-tête ESP
constitue le meilleur réseau) qui étend le protocole IP natif avec les est généralement utilisé en "mode tunnel",
choix pour un réseau services de sécurité nécessaires à la création mode dans lequel la totalité du data gramme
VPN Intranet d'un réseau VPN. Ces extensions se IP est encapsulée (et chiffrée), ce qui permet
composent de deux nouveaux en-têtes ajoutés d'obtenir une certaine forme de protection
d'entreprise (incluant
(soit séparément, soit ensemble) au data de la confidentialité du flux de données.
des utilisateurs mobiles)
gramme IP :
car il est utilisé dans de • En complément, le groupe de travail IETF a
nombreux produits • L'en-tête AH est utilisée pour fournir défini le protocole IKE Internet Key Exchange
logiciels et matériels l'authentification de l'origine, l'intégrité des comme le protocole clef standard associé à
données et facultativement la protection IPSEC.
contre la ré-exécution. Il fournit les mécanismes nécessaires pour
négocier entre les entités les paramètres de
• L'en-tête ESP est utilisée pour fournir la sécu rité et les éléments de chiffrement qui
confidentialité des données et facultativement seront utilisés avec les en-têtes AH et ESP.
Rappel Les réseaux Wi-Fi ou réseaux sans fil longueur (40 bits) et est la même pour tous
composent une grande famille, dans laquelle les éléments accédant au réseau. WEP est
sur les réseaux Wi-Fi on retrouve le « WLAN », les WLAN étant au donc peu fiable.
La plupart des analystes sans fil ce qu’est le 802.3 au réseau filaire.
La technologie WLAN regroupe elle même • 802.11i : Ce protocole a été développé par
affirment que les
deux normes : La norme HiperLAN, et 802.11, l’IEEE pour pallier aux failles de WEP.
différents protocoles
cette dernière étant pour le moment plus il permet notamment de générer des clefs
utilisés par les répandue. WEP dynamiques. 802.11i ne permet pas
constructeurs sont Les réseaux Wi-Fi présentent de nombreux toutefois de gérer l’authentification aux
suffisants pour assurer avantages que nous ne détaillerons pas, mais différents points d’accès, ce qui constitue une
un bon niveau de présentent de part leur conception de gros faille éventuelle au niveau de l’accès au
sécurité. Cependant la problèmes de sécurité. réseau.
solution la plus sûre Afin de pallier les failles de sécurité des
reste d’utiliser un réseaux Wi-Fi, des protocoles ont été • 802.11x : Cette norme est compatible avec
système VPN. La développés : les réseaux 802.3, 802.5 et 802.11. Elle est
complémentaire à 802.11i car elle permet
technologie VPN
• WEP : Wired Equivalent Privacy est le de gérer l’authentification aux différents
présente surtout premier protocole ayant été développé pour accès du réseau.
l’avantage d’utiliser le sécuriser les réseaux utilisant la norme 802.11x présente cependant l’inconvénient
802.11 sans se lier 802.11. Ce protocole est basé sur d’exister en plusieurs versions différentes,
spécifiquement à un l’algorithme de chiffrement RC4. La clef selon les différents constructeurs, ce qui
constructeur. utilisée pour chiffrer les communications entre oblige l’utilisateur à investir dans du matériel
les différents équipements est hélas de faible mono constructeur.
-8-
Mécanismes Ces services de sécurité sont mis en œuvre à clefs. Comme ils nécessitent des calculs
l'aide de mécanismes techniques de sécurité mathématiques exponentiels très longs, ils
qui sont indépendants des services de sécurité. sont relativement lents (généralement
La plupart de ces mécanismes sont des normes 1Mo/s), ce qui explique qu'ils ne sont
ou des normes "de facto". généralement pas utilisés pour la
A l’exception du service de contrôle d'accès, confidentialité des données.
ils utilisent tous des mécanismes basés sur le
chiffrement. • Les fonctions de hachage sont des fonctions
mathématiques unidirectionnelles utilisées
Les mécanismes de sécurité de base utilisés pour calculer, à partir d'un message d'une
dans un réseau VPN sont les suivants : longueur quelconque, un court message
compressé (généralement 128 ou 160 bits).
• Le chiffrement est une fonction Les fonctions de hachage classiques sont
cryptographique utilisée pour brouiller des MD5 et SHA .
données de texte en clair à l'aide d'une clef
et les transformer en un texte chiffré. Il ne • Les fonctions de hachage à clef sont des
peut être déchiffré par le récepteur que s'il fonctions basées sur des fonctions de
possède la clef de déchiffrement correcte. hachage standard associées avec certaines
Lorsque les clefs de chiffrement et de clefs de chiffrement. Lorsque des clefs
déchiffrement sont identiques, la fonction de secrètes partagées sont utilisées, un code
chiffrement est appelée algorithme MAC (code d'authentification de message)
symétrique. Les algorithmes symétriques est généré. Les codes MAC sont utilisés par
classiques sont DES, RC4, IDEA, etc. Ils sont les services d'authentification et d'intégrité.
relativement rapides (généralement 500 Vous trouverez une description des fonctions
Mo/s pour les applications matérielles) et de hachage à clef dans le document RFC
sont utilisés pour fournir des services de 2104.
confidentialité des données et des flux.
Lorsque les clefs de chiffrement et de • Les signatures sont générées lorsqu'une clef
déchiffrement sont différentes (mais liées privée est utilisée pour générer un code
ensemble par une relation mathématique), la MAC. Comme le récepteur utilise uniquement
fonction de chiffrement est appelée la clef publique correspondante pour vérifier
algorithme asymétrique (ou à clef publique). la signature, cette dernière est utilisée
Les algorithmes asymétriques classiques sont lorsqu'un service de non-rejet est requis en
RSA, DH, etc. Ils sont principalement utilisés plus des services d'authentification et
pour fournir des services de non-rejet des d'intégrité.
données, d'authentification et d'échange de
Composants Le schéma suivant indique les composants de • Les passerelles VPN qui protègent une station
base d'une architecture VPN classique : ou un réseau local d'entreprise.
Gestionnaire
• Le logiciel client VPN (éventuellement associé
VPN
Site de avec des jetons matériels tels qu'une carte à
l'entreprise puce ou mieux une clef RCI : ressource
Partenaire/
Fournisseur cryptographie individuelle) qui étend le
Client
VPN réseau VPN aux employés nomades ou aux
utilisateurs de l'Extranet.
Passerelle
VPN
• Le système d’administration VPN
(gestionnaire VPN) qui fournit des fonctions
Réseau IP d'administration hautement sécurisées pour
la configuration, le contrôle d'accès, les clefs
Passerelle
VPN
privées, les alarmes, les audits, etc.
Client
VPN
Client
VPN
Site
éloigné Utilisateurs mobiles
Clef RCI
-9-
Défis
Comme on peut le constater à la lecture du prennent en charge presque tous les
premier chapitre, la technologie n'est pas le algorithmes, protocoles et normes existants (et
souci majeur des utilisateurs qui souhaitent parfois même à venir !), en particulier DH,
acheter ou choisir un réseau VPN et, comme DSA, RSA, DES, 3DES, SSL, TLS, RC4,
l'indique le compte-rendu du symposium de SHA, MD5, IDEA, HMAC, PKCS#11,
technologie européen qui s'est tenu à Bruxelles X509, SKIP, IPSEC, ISAKMP, PPTP, L2TP,
en 1999 [ETS99], la plupart des concepts et SocksV5, IKE, … !!!
composants techniques nécessaires ont déjà
été développés par les chercheurs et par En fait, les expériences des utilisateurs ont
l'industrie. démontré que de nombreuses "solutions"
proposées mettent plus l'accent sur la
Pour en être encore plus convaincu, il suffit de technologie que sur les exigences
surfer sur le Web et de rechercher le mot VPN professionnelles et pratiques. Elles n'offrent pas
avec votre moteur de recherche préféré : la de réponse aux principaux besoins et défis
plupart des brochures techniques que vous auxquels sont confrontés les utilisateurs du
trouverez sont impressionnantes car elles réseau VPN dans la réalité imposée par la
soulignent toutes que les offres proposées concurrence mondiale.
Nous vous Un réseau VPN utilise largement les techniques possibilité de traiter les data grammes IPSEC
recommandons d'utiliser de chiffrement. Or, l'expérience montre que ou SSL à la vitesse requise.
du matériel dédié VPN cela peut avoir un impact important sur les
et de lui faire subir des performances globales du système • L'utilisation de calculs algorithmiques
tests de performances informatique : les utilisateurs doivent faire face asymétriques (RSA) lors de l'établissement
avec un trafic réseau à des délais de réponse en augmentation, au d'une session sécurisée entre deux entités
ralentissement des téléchargements et au refus implique une utilisation intensive du
d'accès à certaines applications. processeur.
Bien que cela ne constitue généralement pas
Cette dégradation des performances affecte un problème pour les réseaux VPN basés sur
les équipements serveur et réseau et est IPSEC, cela devient problématique pour les
essentiellement due aux facteurs suivants : serveurs Web compatibles SSL car la plupart
de la puissance du processeur du serveur est
• Les applications Internet actuelles manipulent "gaspillée" dans l'exécution de calculs de
de grandes quantités de données et des clef privée RSA très consommateurs de
largeurs de bande sans cesse croissantes, temps.
cela signifiant que de plus en plus de data
grammes IP devront être traités par les
composants VPN. Les équipements non Les schémas suivants indiquent les
dédiés VPN (tels que les routeurs, les performances et les temps de réponse
serveurs d'application, les pare-feu…) utilisés correspondants d'un serveur Web sécurisé
lors de la création du réseau VPN des classique avec et sans installation d'un
sociétés de grande envergure n'ont pas la accélérateur de chiffrement.
- 10 -
Performances classiques d'un serveur Web Temps de réponse classique d'un serveur Web
Pour optimiser les avec protocole SSL avec protocole SSL
performances des
serveurs Web utilisant Nb de
transactions Secondes
SSL pour sécuriser les par seconde
sans accélérateur de
échanges électroniques, 40 37
chiffrement 5
avec un accélérateur
de chiffrement de 100
nous considérons 30 avec un accélérateur 4
4,7 transactions/s
avec un accélérateur
comme obligatoire de chiffrement de 25
transactions/s
3 de chiffrement de 25
d'utiliser des 20 18
avec un accélérateur
2 1,7
transactions/s
sans accélérateur de
accélérateurs de 10
de chiffrement de 100
transactions/s
1 chiffrement
0,9
chiffrement matériels 7 0
0 Temps de réponse
Transfert de pages Web 50 ko, 32 fils Transfert de pages Web 50 ko, 32 fils
sur un serveur Pentium Pro sur un serveur Pentium Pro
- 11 -
Nous vous • La configuration d'un réseau VPN requiert à • Au niveau physique, il est construit à
recommandons la fois une vue topologique "physique" du partir d'un réseau statique avec des
d'analyser et de tester réseau (adresses IP des systèmes) et une vue adresses IP fixes (et parfois certaines
les performances des logique spécifique des règles de sécurité adresses à allocation dynamique pour
(systèmes, utilisateurs ou applications les utilisateurs mobiles).
outils de gestion vendus
partageant un sous-réseau privé virtuel avec
par les fournisseurs de
leurs propres attributs de sécurité). Cette dualité ne peut être prise en
VPN en prêtant une En fait, un réseau VPN possède les compte avec les systèmes de gestion
attention toute caractéristiques suivantes : VPN très simples que l’on peut
particulière à la • Au niveau logique, il est construit à actuellement trouver sur le marché, qui
politique et à partir de nombreux sous-réseaux VPN sont basés sur l'adresse IP existante.
l'organisation indépendants faits d'entités partageant
d'entreprise en termes les mêmes privilèges de sécurité.
de gestion du réseau et
de sécurité.
Le défi le plus important pour les réseaux VPN • La fiabilité des algorithmes de chiffrement.
est le défi de la sécurité. Les fonctions de Pour atteindre au plus près cet objectif, une
sécurité sont extrêmement difficiles à évaluer solution VPN doit utiliser exclusivement les
et, à l'heure actuelle, il n'existe pas de algorithmes publics qui ont passé avec
méthodes formalisées disponibles pour prouver succès les tests effectués depuis de longues
l'efficacité d'un système de sécurité basé années par la communauté scientifique. Il
totalement sur la technique de chiffrement. faut à tout prix éviter les algorithmes privés,
Mais il y a pire : les attaques des systèmes les algorithmes standards "améliorés" ou les
informatiques constituent pour les entreprises et nouveaux algorithmes.
les états les meilleurs moyens actuels et futurs
d'obtenir d'énormes avantages économiques • La fiabilité des protocoles de sécurité. Cet
et financiers. Un rapport du Parlement objectif est plus difficile à atteindre car les
européen préparé en décembre 1997 et protocoles publics ne couvrent pas encore
publié en juillet 2001 [EPR] a démontré la tous les besoins et ne sont pas encore
réalité et l'efficacité de cette "Cyber-guerre" à stables.
l'intelligence économique et son impact En outre, même s'ils le sont, ils ne sont pas
dramatique sur la compétitivité des entreprises exempts de faiblesses pouvant être utilisées
et sur la vie privée des citoyens. par des intrus. Par exemple, le protocole
IPSEC utilisé en "mode tunnel" chiffre du
Un réseau VPN est fondé principalement sur texte en clair dans les en-têtes IP et TCP qui
les techniques de chiffrement pour atteindre peut être utilisé dans le cadre d'attaques
des objectifs en matière de sécurité, mais ces cryptoanalytique.
techniques ne sont pas magiques : ce n'est pas
parce qu'un système utilise des algorithmes • La fiabilité du matériel utilisé pour générer
connus et des longueurs de clef de 128 bits les clefs. La plupart des algorithmes de
(ou plus) que ce système est sécurisé et fiable. chiffrement et des protocoles se fondent sur
La fiabilité de la sécurisation d'une solution du matériel tel que les clefs secrètes et les
VPN (ou de tout autre produit basé sur la valeurs aléatoires. De nombreux systèmes ont
technique de chiffrement) requiert les été attaqués par des cryptoanalystes qui ont
conditions suivantes : cassé le générateur aléatoire utilisé pour
- 12 -
Le seul moyen fournir des clefs de chiffrement ou qui ont Les mises en œuvre intentionnellement
d'atteindre cet objectif découvert les relations existant entre erronées sont assez courantes :
est d'utiliser des produits différentes clefs ou valeurs aléatoires utilisées • produits de sécurité qui sont fondés sur des
qui peuvent dans les protocoles. Les algorithmes et éléments logiciels non sécurisés
protocoles sécurisés, même s'ils sont (généralement, un système d'exploitation
raisonnablement
correctement mis en œuvre, ne fournissent qui n'a pas été conçu comme un système
prouver la
presque aucune sécurité ; s'ils utilisent du sécurisé et dont le code source ne peut être
caractéristique aléatoire matériel de génération de clef de faible contrôlé). Les systèmes d'exploitation non
des clefs et du niveau, de par sa mauvaise conception ou sécurisés (et en particulier Windows) ne
générateur aléatoire et les restrictions techniques sur la longueur de peuvent fournir de stockage des clefs
qui ne sont pas soumis à clef imposées par les réglementations à sécurisé et sont extrêmement vulnérables
des restrictions l'export, à l'import ou à l'utilisation (en aux attaques perpétrées par des intrus (de
d'utilisation ou à d'autres termes, le nombre de bits annoncés l'extérieur ou de l'intérieur). La découverte
l'exportation qui des clefs doit effectivement être le même que récente [FERN] sous Windows
peuvent conduire à une celui des bits aléatoires vrais utilisés dans 95/98/NT/2000 d'une clef suspectée
toutes les opérations de chiffrement). d'être une clef d'accès NSA détournée
réduction déclarée ou
dans la couche de sécurité CAPI Microsoft
cachée de l'entropie des • La fiabilité de la mise en œuvre. Les CAPI est une preuve supplémentaire du fait
clefs. algorithmes, protocoles et générateurs que les solutions VPN et les autres solutions
aléatoires les meilleurs, ne fournissent pas de pare-feu construites sur un système
encore un niveau réel de sécurité, s'ils ne d'exploitation non sécurisé doivent être
sont pas mis en œuvre en respectant des considérées comme des produits auxquels
règles techniques et des procédures de on ne peut faire confiance ;
développement pouvant donner à l'utilisateur • conception tronquée (allant de choix de
un niveau de confiance suffisant dans le conception meilleur marché/plus rapides à
produit. appliquer à des tests insuffisants) créée par
des objectifs de coût de revient et de délai
La mauvaise mise en œuvre d'un produit de de mise sur le marché trop difficiles à
sécurité peut être intentionnelle ou atteindre ;
involontaire. Voici quelques exemples de • mise en œuvre de restrictions de la taille
mauvaises mises en œuvre involontaires : des clefs, de mécanismes de récupération
• erreurs de fonctionnement du matériel ou de clefs et d'autres défauts volontairement
du logiciel qui ne font pas l'objet impliqués.
d'interruptions et qui génèrent un
fonctionnement erroné pouvant être utilisé La restriction de la taille des clefs (KSL) et la
pour effectuer une cryptoanalyse du récupération des clefs (KR) sont probablement
système ; les pratiques les plus controversées. Leur but
• défauts de conception provoqués par des théorique est de fournir un accès aux données
développeurs insuffisamment chiffrées dans le cadre du respect des
expérimentés ; réglementations en vigueur mais l'une de leurs
• procédures de fonctionnement et utilisations pratiques est sans aucun doute le
conditions d'installation qui ne sont pas COMINT (Communication Intelligence –
adaptées à l'environnement utilisateur. écoute de communications).
- 13 -
Conclusion
Dans la plupart de nos pays, ces infrastructures dépendent de plus en plus des systèmes
d'informations en réseau. Nous pensons que l'attention portée sur ce problème et les efforts
de leur vulnérabilité doivent devenir une priorité et doivent être fortement soutenus par les
Dans ce document, nous avons identifié les performances et l'administration comme des
Pour relever ces défis, nous faisons les recommandations suivantes aux utilisateurs de
réseaux VPN :
• Utilisez des éléments séparés pour construire des réseaux sécurisés (un produit pour le
transport et le routage des paquets IP, un autre pour le pare-feu, un autre pour le VPN)
des éléments.
• Préférez les produits qui ont été certifiés ou labellisés par un organisme d'évaluation
essentielles, utilisez exclusivement des produits évalués et certifiés voir cautionnés par la
DCSSI.
• Insérez des clauses de fiabilité dans les contrats d'acquisition en cas de dommages
Souvenez-vous que le VPN IPSEC couvre uniquement la protection des accès et le transport
des informations. Il convient de compléter un projet VPN, par un projet de sécurisations des
- 14 -
W-ReseauxPrivesVirtuels_vf1