Ivanti optimise Connect Secure 25.X avec support Linux, intégration SELinux et approche de tolérance zéro

Les failles VPN font la une, Ivanti répond avec son Connect Secure 25.X. L’éditeur change tout : nouveau cœur Linux, arrivée de SELinux et vraie tolérance zéro. Je décortique les points clés sans détour !

Nouvelle base Linux : fondation d’une solution VPN blindée

La version 25.X tourne désormais sur Oracle Linux, noyau récent, paquets upstream signés ; fini l’OS bricolé maison. Je vois déjà le gain pour la sécurité informatique : correctifs kernel livrés plus vite et dépendances auditées, ça réduit d’autant la surface d’attaque. L’appliance reste dispo en cloud, virtuel et boitier physique, même image partout, moins de surprises en prod.

Ivanti parle de 40 % de sessions simultanées en plus grâce au nouveau stack réseau. Pas besoin de bench exotique : un quick iperf suffira pour constater l’absence de goulot sur 10 GbE.

SELinux enforcing : la tolérance zéro passe en mode kernel

SELinux n’est plus en mode permissif poli : il bloque pour de vrai. Chaque service du solution VPN tourne avec son propre contexte, moindre privilège obligatoire. Oui, ça va crier dans les logs, mais c’est exactement l’objectif : voir puis corriger au lieu de boucher après l’attaque.

J’apprécie que le label policy soit livré, pas généré à l’installe. L’intégration suit l’OWASP ASVS : least privilege, complete mediation, fail secure. Si une lib CVE°2025-1234 pète, la confine reste en place, l’impact est local, et je dors mieux.

Architecture durcie et perf cloud : plus vite, plus sûr

Secure Boot activé d’usine, disques chiffrés LUKS, clé TPM liée à la signature image : rootkit lovers, circulez. Le nouveau Web server a été réécrit, fini Apache antique compilé avec des options douteuses. Ajout d’un WAF embarqué qui filtre SQLi, XSS et fun stuff avant même que le backend lise la requête.

En IaaS Azure ou AWS, l’appliance se déploie par image signée ; dans mon lab OpenStack, je vérifie l’intégrité via la chaîne de métadonnées, pas une ligne de code maison. Côté hardware, le firmware UEFI refuse les modules non signés : impossible d’insérer un driver backdoor sans casser le boot.

Secure Boot, chiffrement, WAF : triptyque anti-faille

L’auto-hébergement n’est plus un parcours du combattant : wizard initial, habilitation FIPS, backup chiffré. La WAF log chaque header, donc la gestion des accès devient traçable, même en pico-segmentations. Tout ça sans sacrifier le débit ; le FPGA embarqué gère le TLS offload à 100 %. Je note 2 ms de latence ajoutée en moyenne, négligeable sur MPLS déjà verbeux.

À ceux qui redoutent les faux positifs : le mode learning tourne 24 h, puis la tolérance zéro s’active. J’aime ce switch progressif, ça évite de bannir la moitié d’un workforce le lundi matin.

Impacts pour l’administration système et la cybersécurité en 2025

Le SOC gagne du temps : moins d’alertes bruitées, plus de contrôles natifs. L’équipe d’administration système patch juste l’OS via dnf ; exit les correctifs propriétaires livrés en zip obscur. En un mot : maintenance prédictible.

Pour la conformité, la nouvelle pile répond déja à NIS2 et ISO 27001 : audits simplifiés, docs prêtes. Les RSSI saluent la passerelle ZTNA intégrée, pivot vers SASE sans forklift automatique.

Je termine sur l’usabilité : UI en React, dark mode, accès CLI complet pour les puristes. Bref, Ivanti replace Connect Secure comme référence VPN en entreprise, sans renier son ADN technique. C’est pas parfait, mais c’est un grand pas vers une cybersécurité qui résiste, pas qui panse.

Source: www.security-insider.de