Universal ZTNA : pourquoi il faut repenser la gestion des accès

En collaboration avec HPE Aruba Networking

Un modèle de sécurité à bout de souffle

Les architectures de contrôle d’accès utilisées par les entreprises n’ont que peu évolué ces dernières années. D’un côté, le Network Access Control (NAC) assure la gestion des connexions aux réseaux internes, en contrôlant l’identité des utilisateurs et la conformité des équipements. De l’autre, le Zero Trust Network Access (ZTNA) s’est imposé comme un modèle plus adapté aux environnements distants et cloud, en accordant l’accès en fonction du contexte et de l’identité.

Ces deux approches sont encore trop souvent traitées comme des solutions indépendantes. Avec la généralisation du travail hybride, la multiplication des appareils non managés et la montée en puissance des applications SaaS, cette segmentation devient un frein.

Selon Gartner, d’ici 2026 :

– 60 % des entreprises auront remplacé leurs VPN traditionnels par du ZTNA,

– 80 % adopteront une approche zero trust pour la gestion des accès.

Cependant, ces évolutions ne suffisent pas. Une transformation plus profonde est nécessaire : un modèle Universal ZTNA, qui fusionne les principes du NAC et du ZTNA pour une gestion des accès fluide et cohérente, en local comme à distance.

Un rapport récent de Gartner (Quick answer – What is the Future of NAC » 11 July 2024) prévoit un déclin significatif du marché du NAC d’ici 2028, au profit de l’accès au réseau zero trust (ZTNA), et plus particulièrement de sa version avancée, Universal ZTNA (UZTNA). Cette tendance reflète une transition plus large vers des cadres de sécurité Zero Trust, mieux adaptés aux environnements modernes et dynamiques.

Pourquoi NAC et ZTNA doivent converger

Atouts et limites du NAC

Historiquement, le NAC a été conçu pour sécuriser l’accès aux infrastructures locales, en s’appuyant sur une segmentation rigide (VLAN) et des règles de conformité strictes. Ce modèle fonctionne bien dans des environnements maîtrisés, mais il devient inadapté à l’ère du cloud et du travail hybride.

Ses atouts :

– Sécurisation efficace des réseaux Wi-Fi et filaires,

– Conformité aux réglementations en matière de contrôle des accès,

– Gestion fine des équipements connectés à l’infrastructure interne.

Ses limites :

– Peu adapté aux usages cloud et SaaS,

– Complexité d’administration due à la segmentation statique,

– Manque de flexibilité pour gérer les appareils non managés et les IoT.

Atouts et limites du  ZTNA

Le ZTNA apporte une réponse plus moderne en appliquant une authentification dynamique et contextuelle pour sécuriser les accès aux applications. En se concentrant uniquement sur les connexions aux ressources cloud et distantes, il laisse de côté la gestion des accès réseau internes.

Ses atouts :

– Sécurisation des accès quel que soit le lieu de connexion,

– Réduction des risques en appliquant un modèle de moindre privilège,

– Abandon des accès VPN classiques, souvent trop permissifs.

Ses limites :

– Manque de contrôle sur les accès réseau locaux,

– Intégration parfois complexe avec les infrastructures NAC existantes,

– Gestion limitée des appareils non managés et des équipements industriels.

Universal ZTNA : une convergence nécessaire, mais pas sans défis

Réunir NAC et ZTNA au sein d’un modèle unique est une évolution logique, mais elle soulève plusieurs défis techniques qu’il faut anticiper.

Performances du routage 

– Acheminer le trafic local vers un point de contrôle distant peut générer des latences et des surcoûts, notamment pour les communications internes comme la voix sur IP.

– Certains fournisseurs proposent des solutions d’application locale, mais leur mise en œuvre et leur montée en charge restent complexes.

– La situation évolue rapidement et des améliorations sont attendues dans l’année à venir. La gestion efficace du routage reste un enjeu clé.

Gestion des appareils non managés 

– Contrairement aux équipements gérés, les appareils non managés ne peuvent pas intégrer d’agent de sécurité, ce qui complique leur authentification et leur contrôle.

– L’adaptation de l’infrastructure réseau (routage, DNS) peut apporter une première réponse, mais ne bloque pas toujours les déplacements latéraux.

– Une solution Universal ZTNA doit intégrer des mécanismes spécifiques pour surveiller et sécuriser ces appareils sans complexifier l’infrastructure existante.

Sécurisation des environnements IoT et OT

– La plupart des objets connectés et équipements industriels ne supportent pas les méthodes classiques d’authentification, ce qui rend leur intégration dans un modèle zero trust plus difficile.

– Il n’existe pas de standard universel, et la sécurité repose souvent sur des solutions spécifiques à chaque fabricant.

– Une approche efficace devra combiner une segmentation dynamique et des contrôles d’accès adaptés à ces environnements.

Comment réussir la transition vers un Universal ZTNA

Cette convergence ne doit pas être une simple refonte technique. Il s’agit d’une transformation profonde qui doit s’aligner sur les enjeux métier et les contraintes opérationnelles de chaque organisation.

1. Intégrer progressivement le NAC dans une approche zero trust

– Plutôt que de supprimer brutalement le NAC, il faut l’intégrer dans une architecture ZTNA plus large.

– Le NAC peut continuer à jouer un rôle clé dans le contrôle des équipements internes et la gestion de la conformité.

2. Étendre le ZTNA aux environnements internes

– Tester l’application du ZTNA sur les campus et les succursales, et pas uniquement pour les accès distants.

– Privilégier une architecture hybride, combinant gestion cloud et points d’application locaux, pour éviter les problèmes de latence et d’optimisation du trafic.

3. Mieux gérer les appareils non managés et les IoT

– Mettre en place une surveillance active et une segmentation dynamique pour limiter les déplacements latéraux.

– Encourager les fabricants IoT et OT à intégrer des mécanismes d’authentification avancés, permettant une meilleure intégration dans un modèle zero trust.

Plan de migration

La mise en œuvre de la confiance zéro est un processus à phases multiples nécessitant une gestion du changement organisationnel et l’adhésion des opérations et de la direction. Voici quelques étapes clés :

Définir la stratégie et la portée de la confiance zéro

– Établir des principes fondamentaux pour guider les contrôles de sécurité,

– Fixer des métriques axées sur les résultats (ODM) pour mesurer la réduction des risques et les progrès de l’adoption.

Consolidation de la gestion des identités et des accès (IAM)

– Unifier les sources d’identité et activer la fédération d’identités (par exemple, OpenID Connect, SCIM);

– Renforcer la gouvernance des identités et la gestion des accès privilégiés (PAM).

Inventaire des appareils et accès basé sur le contexte

– Centraliser l’inventaire des appareils,

– Définir les exigences de contexte et de posture pour l’accès,

– Mettre en œuvre la certification des appareils,

– Établir des politiques de conformité des correctifs.

Moderniser l’accès à distance

– Permettre un accès sécurisé et contextuel pour les employés et les tiers,

– Réduire la dépendance aux connexions VPN à tunnel complet.

Segmentation et chiffrement du réseau

– Déployer la macrosegmentation pour les charges de travail IT, CPS et les centres de données,

– Mettre en œuvre DNS sur TLS et des protocoles chiffrés lorsque cela est possible.

Mise en œuvre pilote de la confiance zéro

– Sélectionner une application initiale pour un pilote de preuve de valeur

– S’assurer que des méthodes d’accès de secours restent disponibles pendant les tests

La frontière entre NAC et ZTNA devient de plus en plus floue. Dans un monde où les utilisateurs, les équipements et les applications sont distribués entre le réseau local, le cloud et des environnements distants, il est temps d’adopter une gestion unifiée des accès. Universal ZTNA n’est pas une évolution mineure. C’est un nouveau paradigme qui doit être pensé dès aujourd’hui pour éviter de se retrouver avec des infrastructures obsolètes et difficiles à sécuriser.

HPE Aruba Networking ZTNA : une alternative moderne au VPN 

HPE Aruba Networking renforce sa cybersécurité avec l’IA pour la détection et réponse aux menaces (NDR) dans Aruba Central, permettant d’identifier les comportements malveillants, notamment sur les appareils IoT. 

En parallèle, l’entreprise étend son approche Zero Trust Network Access (ZTNA) aux réseaux locaux des campus pour une protection homogène sur site et dans le cloud (Universal ZTNA) par le biais de ces deux solutions : 

HPE Aruba Networking SSE : Une alternative aux VPN intégrant ZTNA, Secure Web Gateway (SWG), Cloud Access Security Broker (CASB) et Digital Experience Monitoring (DEM) pour sécuriser l’accès aux applications privées, la navigation web et ainsi que les applications SaaS. 

HPE Aruba Networking ClearPass : Solution de contrôle d’accès basée sur l’identité avec des politiques de sécurité granulaires pour protéger les réseaux filaires, sans fil. 

L’intégration de ces technologies assure une protection cohérente et simplifiée à travers toute l’infrastructure IT.

Aina Rampanana :  

Avec une solide expérience en réseaux définis par logiciel, en gestion de produits et en architecture cloud, Aina a développé une expertise approfondie en transformation numérique. Anciennement Principal Consultant chez Orange Consulting, il était spécialisé en SASE, SD-WAN et automatisation réseau avant de rejoindre HPE Aruba Networking suite au rachat d’Axis Security. Il enseigne également l’architecture cloud et la conception SDx/SASE à l’ESGI et à l’EFREI, alliant expérience terrain et enseignement académique

Retrouvez également un second article d’Aina Rampanana : adopter l’approche Zero Trust Network Access, un enjeu crucial pour les éditeurs.