Pour les entreprises qui ont besoin d’un accès sécurisé à leurs applications dans le cloud, le VPN est la solution traditionnelle. Mais ils sont lents et présentent des failles de sécurité. L’accès Zero Trust peut pallier ce problème explique David Haadsma de Avast Business.
Par David Haadsma, Avast Business | Modifié le mardi 06 avril 2021
Selon le dernier baromètre du CESIN, le Zero Trust a ainsi progressé en France en 2020, avec 29% des entreprises réellement engagées ou en passe de mettre en œuvre ce concept, contre 16% l’année précédente.
Améliorer la sécurité avec l’accès réseau Zero Trust
Alors que beaucoup d’organisations adoptent désormais des modèles cloud ou hybrides, avec une accélération depuis le début de la pandémie et l’essor du télétravail, les ressources critiques - et ceux qui y accèdent - sont davantage réparties entre les réseaux d’entreprise, les clouds publics et privés. Les moyens traditionnels de définir et de sécuriser un périmètre en fonction du réseau ne sont par conséquent plus adaptés aux besoins actuels.
L’accès réseau Zero Trust (ZTNA), qui se concentre sur l’authentification de l’utilisateur à chaque tentative d’accès aux applications, plutôt que sur la connexion de périphériques au réseau, fournit une solution plus pertinente pour les défis de connectivité modernes.
En effet, au lieu de créer des vulnérabilités dans le pare-feu et de potentiellement laisser passer des utilisateurs – voire des personnes externes malveillantes - à l’intérieur du réseau, le ZTNA connecte les utilisateurs directement à des applications spécifiques en toute sécurité. Il s’agit donc d’une stratégie qui offre une meilleure sécurité.
Concrètement, le ZTNA est basé sur les modèles de périmètre défini par logiciel (SDP) et de réseau défini par logiciel (SDN). Grâce à ces derniers, la sécurité est fournie sur la base de la connexion d’un utilisateur authentifié uniquement aux applications dont il a besoin pour faire son travail.
Le nouveau périmètre de sécurité se résume alors à la connexion sécurisée permettant aux utilisateurs distants d’accéder à des zones spécifiques (autorisées) de l’application. Une caractéristique distinctive de ce type de sécurité est que la confiance est basée sur l’utilisateur authentifié et que l’accès est configuré de manière granulaire à certaines zones de l’application. Ainsi, le logiciel, plutôt que le réseau, définit le nouveau « micro-périmètre » qui est protégé.
Surface d’attaque réduite, dégâts limités
Qu’elles se connectent à distance ou du lieu physique de l’entreprise, les solutions ZTNA permettent donc aux administrateurs réseau d’être plus stricts dans les droits d’accès qu’ils configurent.
Ainsi, ils peuvent accorder ou restreindre l’accès à certaines fonctionnalités d’une application - une pratique qui serait très difficile à réaliser avec les VPN, car ces derniers accordent aux utilisateurs l’accès à un segment de réseau, où une application est hébergée, et non à l’application elle-même. En termes de cybersécurité, l’impact du ZTNA est significative : la surface d’attaque potentielle est contenue en cas de compromission.
Solutions « cloud-first »
Le recours au ZTNA est donc clé pour les organisations qui ont déjà entamé leur transition vers le cloud. En effet, étant donné que pratiquement toutes les applications disponibles dans le cloud sont protégées par le chiffrage SSL, et que de nombreux utilisateurs distants se connectent à partir de réseaux sécurisés et fiables, les équipes de cybersécurité sont soulagées des tâches de surveillance basique et peuvent se concentrer sur les activités à plus fortes valeurs ajoutées.
Concrètement, les utilisateurs et les appareils de confiance peuvent notamment être authentifiés application par application ; et le ZTNA est à même de fournir un accès automatique aux appareils présents sur une liste blanche préétablies pour une application donnée.
A l’inverse, avec un VPN d’accès à distance, il est fastidieux de configurer de telles gradations dans les règles d’accès. En outre, le déploiement d’une solution ZTNA hébergée dans le cloud élimine le besoin d’héberger et de gérer l’infrastructure VPN. Pour les organisations se reposant majoritairement sur le cloud, aussi appelées « cloud-first », les solutions ZTNA sont également beaucoup plus pertinentes pour les workloads que les administrateurs doivent désormais sécuriser.
De plus, l’authentification est indépendante de l’emplacement de l’utilisateur et du réseau. Les télétravailleurs peuvent donc être authentifiés sereinement, qu’importe le lieu où ils se trouvent. De plus, cette méthodologie de sécurité fonctionne parfaitement avec les politiques « Bring your own device » (BYOD).
Meilleure expérience utilisateur
L’accès aux services cloud protégés par le ZTNA est beaucoup plus ergonomique pour les utilisateurs qu’un VPN. C’est aussi simple que d’ouvrir un navigateur. Les employés n’ont pas besoin de se souvenir s’ils accèdent à des applications internes ou externes, ni de mots de passe MFA supplémentaires ; ce qui offre une expérience utilisateur plus fluide.
Pour les entreprises, cela signifie une latence réduite : les équipes de cybersécurité n’ayant plus besoin de s’inquiéter d’une utilisation sécurisée des VPN par leurs collègues ; et les solutions ZTNA offrant également des vitesses de connexion plus rapides ce qui améliore la productivité des collaborateurs.