Skip to content Skip to navigation Skip to footer

C'est quoi le split tunneling VPN ?

C’est quoi le split tunneling VPN ?

Le split tunneling de réseau privé virtuel (Virtual Private Network, VPN) vous permet d’acheminer une partie du trafic de votre application ou périphérique via un VPN chiffré, tandis que d’autres applications ou dispositifs ont un accès direct à Internet. Ceci est particulièrement utile si vous souhaitez bénéficier de services qui fonctionnent mieux lorsque votre emplacement est connu, tout en bénéficiant d’un accès sécurisé à des communications et données potentiellement sensibles. 

Il est important de garder à l’esprit les risques de sécurité (plus d’informations ultérieurement sur ce sujet) lorsque vous envisagez cette option.

Réseau privé virtuel (VPN)

Un VPN fournit aux utilisateurs un tunnel sécurisé à travers lequel toutes les données transitant vers et depuis leur dispositif sont chiffrées. Ils peuvent ainsi bénéficier d’un accès sécurisé à distance et d’un partage de fichiers protégé, tout en ayant également la possibilité de masquer leur emplacement s’ils le souhaitent. 

Cependant, avec un VPN, vous pouvez rencontrer des problèmes de débit réseau et de largeur de bande plus lents en raison du chiffrement qui doit être appliqué à toutes les données qui le traversent.

Choisir quel trafic passe par le VPN

Avec une connexion de tunnel fractionné, les utilisateurs peuvent envoyer une partie de leur trafic Internet via une connexion VPN chiffrée et permettre au reste de transiter à travers un tunnel différent sur Internet ouvert. Le paramètre par défaut d’un VPN consiste à acheminer 100 % du trafic Internet via le VPN, mais si vous souhaitez accéder aux dispositifs locaux ou obtenir des vitesses plus élevées tout en chiffrant des données spécifiques, envisagez d’utiliser le split tunneling.

Avantages du split tunneling

Le split tunneling peut ne pas convenir à toutes les organisations, mais vous avez la possibilité de l’activer lorsque vous configurez votre VPN. De nombreuses organisations équipées de VPN ont des restrictions de largeur de bande, en particulier parce que le VPN doit à la fois chiffrer les données et les envoyer à un serveur situé à un emplacement différent. Cela peut entraîner des problèmes de performances si le split tunneling n’est pas mis en œuvre.

Conserver la largeur de bande

Lorsque le split tunneling est activé, le trafic qui aurait été chiffré par le VPN, dont la transmission risque d’être plus lente, est envoyé via l’autre tunnel. Le routage du trafic à travers un réseau public peut améliorer les performances, car aucun chiffrement n’est nécessaire.

Fournir une connexion sécurisée au travailleur à distance

Les employés distants peuvent bénéficier d’une connexion réseau sécurisée via le VPN qui leur fournit un accès chiffré aux fichiers et e-mails sensibles. En même temps, ils peuvent accéder à d’autres ressources Internet par l’intermédiaire de leur fournisseur de services Internet (FSI) à des vitesses plus élevées.

Travailler sur un réseau local (LAN)

Lorsque vous vous connectez à un VPN, le chiffrement peut bloquer l’accès à votre LAN. Grâce au split tunneling, vous pouvez toujours accéder à des ressources locales, telles que les imprimantes, via votre LAN, tout en bénéficiant de la sécurité du VPN.

Diffuser du contenu sans utiliser d’adresses IP étrangères

Diffusez du contenu lors de vos voyages à l’étranger et profitez des services Web qui nécessitent que vous disposiez d’une adresse IP (Internet Protocol) locale. Vous pouvez utiliser le VPN pour vous connecter au contenu dans votre pays d’origine, et avec la fonctionnalité de split tunneling activée, vous pouvez tirer le meilleur parti des sites Web et des moteurs de recherche qui fonctionnent mieux lorsqu’ils connaissent votre emplacement.

Quels sont les risques de sécurité liés au split tunneling ?

Il existe des risques liés à l’utilisation du split tunneling, et ceux-ci doivent être évalués par rapport aux avantages. Les responsables de la sécurité de l’information dans les environnements d’entreprise utilisent une technologie défensive pour protéger les endpoints et empêcher les utilisateurs d’effectuer certaines tâches, délibérément ou par mégarde.

Traditionnellement, les utilisateurs peuvent contourner les serveurs proxy et autres dispositifs, qui sont mis en place pour réguler et protéger l’utilisation du réseau. Par conséquent, si un utilisateur travaille à partir d’un réseau qui n’est pas sécurisé, il peut mettre le réseau de l’organisation en danger. Si un hacker est capable de compromettre le réseau sur lequel l’utilisateur travaille au moyen d’un split tunneling, le hacker peut également mettre en danger le reste du réseau de l’organisation. Tant qu’un ordinateur de l’entreprise est compromis, le réseau de l’organisation reste lui aussi menacé.

Les utilisateurs peuvent également contourner les systèmes de noms de domaine (Domain Name Systems, DNS), qui aident à identifier et à repousser les intrus, les dispositifs qui empêchent la perte de données, ainsi que d’autres dispositifs et systèmes. Chacun de ces dispositifs ou systèmes joue un rôle important dans la protection des données et de la communication. Par conséquent, il peut s’avérer désavantageux de contourner l’un d’eux simplement pour réduire le trafic ou augmenter les performances.

L’une des fonctions des serveurs proxy est de limiter le trafic aux sites Web de nature ou réputation douteuse. Ils permettent également aux organisations de suivre ce que leurs employés font ou à quoi ils accèdent. De plus, les proxys offrent une protection aux endpoints d’entreprise en empêchant la communication avec des serveurs de commande et contrôle (Command-and-control, C&C) gérés par des hackers. Un autre avantage est la surveillance du trafic et sa régulation. Par exemple, les proxys qui limitent ou empêchent l’accès à des sites, tels que Spotify, YouTube ou Netflix, qui diffusent de la musique, des films et d’autres formes de divertissement.

Si le système d’un employé est infecté, les données qu’il envoie aux systèmes C&C dans une configuration de split tunneling ne seront pas visibles par le service informatique de l’entreprise. Tandis que le dispositif ou le réseau est compromis et en communication avec le système envahisseur, l’utilisateur peut passer son temps à accéder à des sites répréhensibles sur le temps de l’entreprise. Et comme le split tunneling est activé, l’organisation n’est pas consciente du risque de sécurité ou de la perte de productivité des employés.

Protégez votre organisation avec des solutions réseau axées sur la sécurité

Il est important de configurer correctement vos split tunnels VPN et pare-feux, car ils peuvent être exposés à des risques de sécurité en raison du manque de chiffrement de l’autre tunnel. FortiClient améliore la sécurité de vos endpoints, en fournissant un accès sécurisé aux employés à distance. Il inclut également un VPN intégré que vous pouvez configurer pour le split tunneling.

Pour protéger votre réseau des attaques et gérer les vulnérabilités, vous pouvez utiliser le pare-feu nouvelle génération FortiGate (Next-Generation Firewall, NGFW) et le réseau étendu défini par logiciel (Software-Defined Wide-Area Network, SD-WAN) de Fortinet. Avec FortiGate, tout le trafic fait l’objet d’une inspection approfondie et les menaces sont éliminées dès qu’elles sont détectées. La solution Secure SD-WAN de Fortinet vous offre le filtrage Web, le sandboxing, l’inspection Secure Sockets Layer (SSL) et d’autres fonctionnalités de sécurité, tout en offrant une visibilité totale sur votre data center, vos utilisateurs, vos dispositifs et vos applications métier via une interface unifiée.