Introduction


Dans le cadre du renforcement de la sécurité des accès distants au SI du CIPEO, l’utilisation du VPN évolue vers une architecture plus sécurisée intégrant l’authentification multi-facteur (MFA).


Jusqu’à présent, l’accès VPN reposait principalement sur un mécanisme classique de connexion par identifiant et mot de passe. Bien que ce modèle reste largement utilisé, il présente aujourd’hui des limites face à l’évolution des menaces : vol de mots de passe, phishing, réutilisation d’identifiants compromis ou attaques automatisées.


Afin de réduire significativement ces risques, le client VPN Check Point Mobile sera désormais intégré à Microsoft Azure pour bénéficier des mécanismes d’authentification forte via MFA (Multi-Factor Authentication).


Cette évolution apporte plusieurs bénéfices majeurs :

  • Renforcement de la protection des accès distants ;
  • Réduction du risque de compromission des comptes ;
  • Validation de l’identité utilisateur par un second facteur ;
  • Alignement avec les bonnes pratiques de cybersécurité et les standards actuels de protection des accès ;
  • Amélioration de la traçabilité et du contrôle des connexions.


Concrètement, l’utilisateur ne s’authentifiera plus uniquement avec un mot de passe. Une validation supplémentaire sera demandée via un second facteur sécurisé (application mobile, notification, code temporaire, etc.), géré par l’infrastructure Azure.


Le flux d’authentification devient donc :

  1. Connexion via le client VPN Check Point Mobile ;
  2. Redirection de l’authentification vers Azure ;
  3. Validation MFA ;
  4. Autorisation d’accès au réseau CIPEO.


Cette architecture permet d’augmenter considérablement le niveau de sécurité sans modifier profondément l’expérience utilisateur, tout en répondant aux exigences actuelles de sécurisation des accès distants.



Procédure de connexion Azure pour MacOS


Ouvrir l’application ou cliquer sur l’icône de la barre des applications en haut à droite  puis sur « Show Client » ou « VPN Options » pour aller directement dans les options du VPN.


L’interface de l’application s’ouvre. Cliquer sur « VPN Options » pour accéder aux options de connexion liés à votre configuration VPN.


Sélectionner la configuration du VPN du CIPEO et cliquer sur « Properties »


Cliquer sur l’onglet « Authentification » pour choisir la manière de connexion. Vous devriez être sur « Username Passwrod ». Cliquer sur le menu déroulant et choisir « Azure_VPN. Cliquer sur « OK ».


 


Cliquer sur « Save & Close » pour valider la configuration.


Il est à présent possible de se connecter via le bouton « Connect ». On passe par une authentification via un IdP (Identity Provider).  


Votre navigateur, ici Safari, s’ouvre pour vous identifier avec les identifiants de M365.


Une fois authentification faite, la connexion VPN s’établit et la confirmation de connexion s’affiche.


Pour les navigateurs tiers, Chrome par exemple, il est possible que les pop-ups soient bloqués, il est nécessaire de toujours autoriser les pop-ups et les redirections provenant d’atlas-vpn.edu-vd.ch. Cliquer sur « OK ».



Lors de la connexion, le navigateur demande l'accès à des applications et services sur l'appareil. Il est nécessaire d'autoriser l'accès via "Autoriser". 

Si toutefois vous avez loupez le message, il est possible se rendre sur le navigateur dans les paramètres du site et d'autoriser la communication. Nous prenons l'exemple de Chrome ci-dessous. Il faut se rendre sur le site https://atlas-vpn.edu-vd.ch/ et cliquer sur l'icône à côté du nom du site, puis "Paramètres des sites". 



Une fois cette opération faite, il faut se rendre tout en bas sur "Applis sur l'appareil" et sélectionner "Autoriser". 




Procédure de connexion Azure pour Windows


Ouvrir l’application dans la barre de menu en bas à droite en allant sur « Show Client » ou sur « VPN Options » pour aller directement dans les options du VPN. Il est nécessaire d’avoir une version supérieure à E89.00.




L’interface de l’application s’ouvre. Cliquer sur « VPN Options » pour accéder aux options de connexion liés à votre configuration VPN.




Sélectionner la configuration du VPN du CIPEO et cliquer sur « Properties »




Cliquer sur l’onglet « Authentification » pour choisir la manière de connexion. Vous devriez être sur « Username Passwrod ». Cliquer sur le menu déroulant et choisir « Azure_VPN. Cliquer sur « OK ».




Cliquer sur « Save & Close » pour valider la configuration.




Il est à présent possible de se connecter via le bouton « Connect ». On passe par une authentification via un IdP (Identitiy Provider).  




Votre navigateur s’ouvre pour vous identifier avec les identifiants de M365.




Il est possible que les pop-ups soient bloqués, il est nécessaire de toujours autoriser les pop-ups et les redirections provenant d’atlas-vpn.edu-vd.ch. Cliquer sur « Done ».




Une fois authentification faite, la connexion VPN s’établit et la confirmation de connexion s’affiche.




Conclusion


L’intégration de la MFA au sein de l’architecture VPN du CIPEO constitue une évolution essentielle pour renforcer durablement la sécurité des accès distants au système d’information.


En s’appuyant sur les mécanismes d’authentification forte de Microsoft Azure et sur le client VPN Check Point, cette nouvelle architecture permet de limiter efficacement les risques liés à la compromission des identifiants tout en garantissant un niveau de contrôle et de traçabilité accru.


Cette modernisation répond aux exigences actuelles en matière de cybersécurité et s’inscrit dans une démarche proactive de protection des ressources du CIPEO face aux menaces croissantes visant les accès distants. Tout en améliorant la sécurité globale, cette solution conserve une expérience utilisateur fluide et adaptée aux usages quotidiens des collaborateurs.


Le déploiement de la MFA représente ainsi une étape stratégique dans l’évolution des dispositifs de sécurité du CIPEO, en conciliant simplicité d’utilisation, conformité aux bonnes pratiques et renforcement significatif de la protection des accès au SI.