Selon Gartner, d’ici la fin de cette année, 60 % des entreprises auront éliminé progressivement l’accès distant via VPN au bénéfice du ZTNA, étape majeure vers le SASE. Explications de Geert Van Bossuyt, Product Manager Security, Win.

« Le VPN ne disparaitra pas de sitôt, même si l’avenir est au Zero Trust. Le VPN a encore ses inconditionnels, constate Geert Van Bossuyt, Product Manager Security, Win. Je l’assimile à une marque de mayonnaise reconnue, dont tout un chacun apprécie le goût tout en reconnaissant que ce n’est qu’une saveur. Avec SASE, au bout du chemin du Zero Trust, c’est autre chose ; les saveurs sont multiples. Et, en termes de cybersécurité, une telle extension est fondamentale ! »

Le chemin vers le Zero Trust sera long. Pour beaucoup, aussi, le concept est encore flou. Aussi, l’étape du ZTNA (Zero Trust Network Access) fournit un cadre clair et défini. Qui plus est, il s’agit également d’un composant du modèle de sécurité SASE (Secure Access Service Edge). 

Le VPN « out-of-the-box » c’est Open Bar !

« Alors que le besoin de sécuriser le personnel à distance est devenu crucial, les solutions centrées sur le réseau, telles que les réseaux privés virtuels et les pare-feu, créent une surface d’attaque susceptible d’être exploitée », observe encore Geert Van Bossuyt. C’est pourquoi, selon Gartner, d’ici la fin de cette année, 60 % des entreprises auront éliminé progressivement ce type d’accès distant au bénéfice du ZTNA.

Le principal moteur de l’adoption du ZTNA est l’évolution des périmètres réseau de l’entreprise. De fait, les charges de travail cloud, de travail à domicile, mobiles et les actifs réseau sur site doivent être pris en compte. Dans ce contexte, les solutions ponctuelles, telles que les appliances VPN, ne suffisent plus. Et peuvent s’avérer dangereuses. « Pour les hackers, illustre Geert Van Bossuyt, l’accès VPN classique, c’est open bar ! »

De fait, depuis la pandémie de COVID-19, les entreprises ont travaillé d’arrache-pied pour faciliter le nombre croissant de travailleurs à distance, en veillant à ce que les goulots d’étranglement n’entravent pas l’accès aux ressources. « L’étape intermédiaire est le ZTNA. Evolution de l’accès VPN classique, il connecte des utilisateurs mobiles et distants de manière plus sécurisée que les VPN actuels. Le ZTNA est plus évolutif, il fournit une politique de sécurité en tous lieux, fonctionne dans l’informatique hybride et offre un accès plus granulaire. Gartner prévoit que d’ici 2023, 60 % des entreprises seront passées du VPN au ZTNA. »

Le SSL-VPN à la poubelle ? Pas encore !

Afin de se préparer à une migration progressive vers le ZTNA, il est vivement recommandé d’endurcir les connexions SSL-VPN existantes : ajouter une authentification forte, conditionner les accès, profiler les utilisateurs, micro-segmenter les applications, installer les mises-à-jours de sécurité, etc.

Le ZTNA réduit les risques

On note aussi une réduction des risques liés aux tiers. Donner aux entrepreneurs, aux fournisseurs et aux autres tiers l’accès à des applications internes spécifiques -et pas plus. Le ZTNA masque les applications sensibles et rend les applications « invisibles » aux utilisateurs et appareils non autorisés. Ce faisant, ce réseau peut réduire considérablement les risques liés aux menaces internes. Enfin, dernier atout, intégration sécurisée des fusions et acquisitions. Il réduit et simplifie le temps et la gestion nécessaires pour assurer une fusion ou une acquisition réussie et apporte une valeur immédiate à l’entreprise.

Pour ce faire, ZTNA adopte une approche fondamentalement différente pour fournir un accès à distance sécurisé aux applications internes, en se basant sur trois principes fondamentaux. Un : dissocier complètement la gestion de l’accès aux applications de l’accès au réseau ; cette isolation réduit les risques pour le réseau. Deux : la segmentation native des applications de ZTNA garantit qu’une fois les utilisateurs autorisés, l’accès aux applications est accordé au cas par cas. Et trois : adopter une approche utilisateur-application plutôt qu’une approche traditionnelle de la sécurité du réseau ; le réseau est relégué au second plan et Internet devient le réseau principal d’entreprise, exploitant les avantages des micro-tunnels TLS chiffrés de bout en bout au lieu de MPLS.

Voyage vers SASE

Le ZTNA n’est qu’une partie du SASE, et donc une partie du voyage, poursuit Geert Van Bossuyt. SASE est une stratégie d’entreprise émergente qui associe les fonctions réseau et de sécurité aux capacités WAN pour soutenir les besoins d’accès dynamiques et sécurisés des organisations. « SASE permet aux organisations d’appliquer un accès sécurisé, peu importe où leurs utilisateurs, charges de travail, appareils ou applications sont situés. Cela devient un avantage crucial à mesure que de plus en plus d’utilisateurs rejoignent une main-d’œuvre distante, que les applications SaaS sont rapidement adoptées et que les données circulent rapidement entre les data centers, les succursales et les environnements hybrides et multiclouds. »