Avec la fonction ZTNA, Fortinet facilite l’expérience utilisateur en favorisant un accès distant amélioré tout en réduisant la surface d’attaque.

Zero Trust… Il en est de plus en plus question, alors que le concept existe depuis une dizaine d’années déjà ! Sur le principe, pourtant, rien de nouveau, explique Yves Lemage, Manager Systems Engineering BeLux, Fortinet. «La confiance zéro signifie simplement que personne ne devrait automatiquement faire confiance ! Une fois vérifié, seul un accès limité devrait être accordé… et revérifié ! Dans ce contexte, ZTA se concentre sur la compréhension de qui et quoi accède au réseau, alors que ZTNA tourne autour de l’accès aux applications et est souvent considéré comme une alternative à l’utilisation d’un VPN…»

Les raisons de ce cet intérêt tiennent au contexte. Auparavant, il était possible de protéger un réseau en sécurisant la connexion Internet à l’aide d’un pare-feu. De nos jours, les utilisateurs travaillent en itinérance ou depuis leur domicile. Quant aux données, elles peuvent être stockées au bureau ou dans une application cloud.

Yves Lemage : «Connaître tout le monde permet aussi de garantir que des protections appropriées sont appliquées aux applications -que ce soit dans le réseau d’entreprise ou dans un cloud public. Dans un univers de plus en plus mobile, c’est une nécessité. En somme, pouvoir accéder aux ressources de l’entreprise en toute sécurité !»

«L’entreprise numérique sans frontières prend en charge une diversité toujours plus importante d’utilisateurs, poursuit Yves Lemage. Outre les collaborateurs-utilisateurs traditionnels, il faut compter les intérimaires et consultants externes, les partenaires de la chaîne d’approvisionnement ou encore, dans certains cas, les clients qui vont accéder à des données et à des applications sur site ou dans le cloud…»

ZTNA, mais encore ?

ZTNA (Zero Trust Network Access) est un modèle d’application des principes du Zero Trust. Le processus ZTNA est effectué chaque fois que l’utilisateur accède à une ressource réseau, pas seulement la première fois qu’il accède au réseau.

Cette architecture définit un périmètre dynamique, basé sur l’identité numérique, avec quatre propriétés importantes :

– accès basé sur l’identité;

– accès sécurisé aux fichiers et applications;

– évaluation continue de l’utilisateur et de son accès tout au long de la journée;

– contrôle d’accès rigoureux.

ZTNA répond donc au concept de zéro confiance par défaut qui repose sur cinq points :

– le réseau est toujours censé être hostile;

– les menaces externes et internes sont toujours présentes sur le réseau;

– la localisation du réseau n’est pas suffisante pour déterminer la confiance dans un réseau;

– chaque dispositif, chaque utilisateur et chaque flux réseau est authentifié et autorisé;

– la politique doit être dynamique et calculée sur la base du plus grand nombre possible de sources de données.

De la nécessité d’aller au-delà du VPN

«Connaître tout le monde permet aussi de garantir que des protections appropriées sont appliquées aux applications -que ce soit dans le réseau d’entreprise ou dans un cloud public, explique Yves Lemage. Dans un univers de plus en plus mobile, c’est une nécessité. En somme, pouvoir accéder aux ressources de l’entreprise en toute sécurité !»

ZTNA est l’évolution naturelle du VPN et offre une meilleure sécurité, un contrôle plus granulaire et une meilleure expérience utilisateur à la lumière de la complexité des réseaux d’aujourd’hui. Il peut donc être un choix plus intelligent pour connecter en toute sécurité une main-d’œuvre distante. Les politiques de sécurité et leur application ne sont appliquées qu’au point de connexion, ce qui peut signifier rediriger le trafic via le centre de données pour inspection avant d’accéder aux ressources cloud ou s’appuyer sur différentes solutions de sécurité déployées à différents endroits du réseau.

ZTNA et VPN… complémentaires !

Compte tenu de la nature dynamique et distribuée des réseaux d’aujourd’hui, garantir un accès cohérent est de plus en plus problématique. Les utilisateurs ont besoin d’accéder aux applications stratégiques, quel que soit l’emplacement d’un utilisateur ou d’un appareil. Les administrateurs réseau doivent contrôler qui accède à quelles applications, peu importe où se trouvent les utilisateurs.

Avec un VPN traditionnel, l’hypothèse est que toute personne ou tout ce qui passe les contrôles du périmètre du réseau peut être digne de confiance. Mais ZTNA adopte l’approche inverse : aucun utilisateur ou appareil ne peut être fiable pour accéder à quoi que ce soit jusqu’à preuve du contraire. Contrairement à un VPN, ZTNA étend le modèle de confiance zéro au-delà du réseau et réduit la surface d’attaque en cachant les applications d’Internet.

Est-ce pour autant la fin du VPN ? Yves Lemage ne le pense pas. «Je ne vois pas en ZTNA un remplacement entièrement fonctionnel. Etant donné que VPN et ZTNA fonctionnent tous les deux de manière distincte, offrant une protection de différentes manières, l’entreprise sera plus sécurisée en utilisant les deux !»

Surface d’attaque sensiblement réduite

Côté utilisateurs, l’accès est réduit à ce dont ils ont exactement besoin -et à rien d’autre- au lieu de permettre d’accéder à l’intégralité du réseau. Par conséquent, la surface d’attaque est sensiblement réduite. L’isolement offert par ZTNA améliore la connectivité en éliminant la nécessité d’exposer directement les applications à Internet.

Nécessitant tout à la fois à la fois FortiClient et FortiGate, le ZTNA de Fortinet facilite également les tâches d’administration, en utilisant la même règle d’accès, que les utilisateurs soient sur ou hors du réseau.

«A la clé, une meilleure expérience utilisateur de par un accès distant amélioré qui remplace le VPN traditionnel, assure Yves Lemage. Cette approche permet en même temps de réduire la surface d’attaque en vérifiant l’utilisateur et son dispositif pour chaque session applicative, tout en dissimulant les applications critiques par rapport à Internet.»

Désormais, peu importe que les applications soient sur le réseau ou dans le cloud. Les utilisateurs et les applications peuvent être géographiquement indépendants tout en créant des connexions sécurisées et fiables.