Qu'est-ce que l'accès réseau Zero Trust ?
L'accès réseau Zero Trust (ZTNA) est une solution technologique qui exige que tous les utilisateurs, qu'ils soient internes ou externes au réseau de l'entreprise, soient authentifiés, autorisés et continuellement validés en ce qui concerne leur configuration et leur niveau de sécurité, avant de se voir accorder ou de conserver l'accès aux données et applications.
Parfois appelé « périmètre défini par logiciel », le ZTNA est un modèle adaptatif dans lequel l'accès aux applications et services est accordé selon le principe du moindre privilège conformément aux règles de contrôle d'accès de l'entreprise.
Le ZTNA est souvent utilisé à la place d'un réseau privé virtuel (VPN) qui accorde un accès total au réseau aux utilisateurs dont l'identité a été vérifiée. En raison de la généralisation du télétravail, le recours aux VPN expose les entreprises à un risque de cybersécurité accru. Elles peinent en effet à surveiller et à analyser le trafic réseau ainsi que l'utilisation des applications à un large éventail d'emplacements et sur de nombreux terminaux.
Comment fonctionne l'accès réseau Zero Trust ?
Le ZTNA distingue l'accès aux applications de l'accès au réseau. Autrement dit, les utilisateurs doivent être authentifiés pour utiliser chaque application au lieu de l'ensemble du réseau.
Une fois l'utilisateur authentifié, l'outil ZTNA établit un tunnel chiffré et sécurisé pour accorder l'accès à une ressource. Comme les périmètres définis par logiciel, les outils ZTNA utilisent les principes du Dark Cloud pour protéger l'adresse IP de l'utilisateur et limiter la visibilité de ce dernier sur les applications et services auxquels il n'est pas autorisé à accéder.
En authentifiant chaque utilisateur et en isolant l'accès, l'entreprise peut réduire le risque d'infection par un terminal compromis, ainsi que le déplacement latéral en cas de compromission.
Comparaison entre le ZTNA, les VPN et l'accès réseau traditionnel
Le modèle ZTNA diffère sensiblement de la sécurité réseau traditionnelle, qui consiste à « faire confiance, mais vérifier quand même ». Dans le modèle traditionnel, les utilisateurs et les endpoints à l'intérieur du périmètre réseau de l'entreprise sont supposés dignes de confiance. L'entreprise s'expose par conséquent à divers risques dus notamment à des utilisateurs internes malveillants ou à des identifiants non approuvés. Ce modèle permet également d'accorder involontairement un accès total à des utilisateurs non autorisés déjà connectés au réseau.
Le ZTNA se distingue du modèle d'accès réseau traditionnel au niveau des trois aspects suivants :
1. Contrôle d'accès
Dans un modèle ZTNA, l'authentification et l'accès sont basés sur des techniques d'identification avancées et non sur l'adresse IP de l'utilisateur, comme c'est généralement le cas pour l'identification dans la plupart des modèles VPN.
Cette structuration de l'accès réseau offre à l'entreprise bien plus de flexibilité dans l'élaboration de règles personnalisées d'accès sécurisé afin de refuser automatiquement toute demande d'accès en fonction de l'emplacement de l'utilisateur ou du type de terminal. Une entreprise peut, par exemple, appliquer une règle conçue pour empêcher un terminal obsolète ou vulnérable de se connecter au réseau et pour vérifier que seuls les terminaux dotés des derniers correctifs aient accès au réseau.
2. Découverte des applications
Dans un cadre ZTNA, les applications et services privés ne sont pas placés sur le réseau ou Internet, ce qui complique leur découverte ou leur accès par des utilisateurs non autorisés. La surface d'attaque de l'entreprise s'en trouve ainsi considérablement réduite.
Au lieu de cela, l'accès au réseau est géré par un fournisseur de confiance qui valide les droits d'accès de l'utilisateur avant d'accéder à sa demande.
3. Privilèges d'accès
Comme indiqué précédemment, dans un modèle ZTNA, l'accès est accordé au cas par cas. Autrement dit, l'accès n'est pas accordé à l'utilisateur pour l'ensemble de ses terminaux ; de même, un terminal approuvé ne peut pas être utilisé par n'importe quel utilisateur. Les demandes d'accès sont évaluées et accordées au fur et à mesure, même pour les utilisateurs ou terminaux connus ou fréquents.
Ce niveau de sécurité est de plus en plus important dans la mesure où les entreprises autorisent leurs collaborateurs à utiliser leurs terminaux personnels au travail. Dans la plupart des modèles de sécurité traditionnels, l'accès est accordé en fonction de l'utilisateur quel que soit le terminal utilisé, ce qui expose le réseau à de nombreuses menaces.
Cas d'usage de l'accès réseau Zero Trust
Le modèle ZTNA offre aux entreprises plusieurs cas d'usage appréciables. Voici les plus courants :
- Alternative aux VPN : le modèle ZTNA offre les mêmes fonctionnalités d'accès à distance de base qu'un système VPN mais avec une sécurité renforcée, une gestion réduite et un réseau plus rapide.
- Accès multicloud : une architecture Zero Trust convient tout particulièrement aux entreprises dotées d'un environnement multicloud et nécessitant une plus grande souplesse en matière d'accès individuel au cloud, ainsi qu'aux services et applications cloud.
- Intégration post-fusion et acquisition : le modèle ZTNA réduit le délai d'intégration post-fusion et acquisition standard en simplifiant la convergence réseau.
Limitations du ZTNA
Le modèle ZTNA est une alternative de nouvelle génération aux VPN : il veille à ce que seuls les utilisateurs approuvés et authentifiés aient accès à un environnement ou à une ressource informatique. En revanche, il ne procède pas à une surveillance ou à une atténuation actives des menaces une fois que l'utilisateur a obtenu un accès à une zone fiable.
En outre, si la sécurisation de l'accès via le modèle ZTNA est un élément essentiel d'une stratégie de cybersécurité complète, elle ne permet pas de neutraliser les cyberattaques modernes, comme les attaques de ransomwares ou de la supply chain. Le ZTNA doit être combiné à une solution SASE (Secure Access Service Edge) et à d'autres outils et solutions de sécurité pour assurer une protection complète.
De plus, le modèle ZTNA n'offre aucune fonctionnalité de protection des identités, comme la collecte des données d'activité ou des informations sur les endpoints. La solution ZTNA ne peut donc pas établir une ligne de base de l'activité normale de l'utilisateur, ce qui rend impossible la détection des anomalies et des écarts.
Enfin, la plupart des solutions ZTNA ont besoin d'une passerelle, comme celle utilisée par un VPN. Une planification minutieuse est donc nécessaire pour établir la protection la plus complète possible sans introduire de frictions dans l'expérience utilisateur qui pourraient empêcher des utilisateurs autorisés d'accéder aux outils et ressources nécessaires à l'exécution de leurs tâches.
Comment choisir l'approche de protection des identités adaptée à votre entreprise ?
Compte tenu des limitations des outils ZTNA actuels, les entreprises peuvent envisager d'acquérir une solution de protection des identités plus globale afin de renforcer la sécurité et le contrôle d'accès. Voici les principaux avantages d'une solution de protection des identités :
- Une solution de protection des identités offre une protection complète, notamment : analyse comportementale des identités et analyse basée sur le risque (y compris les comptes humains et programmatiques) ; détection et prévention des attaques de référentiel d'identités ; analyse en temps réel des menaces contre les instances Active Directory (AD) sur site et les plateformes Azure AD. La protection d'AD, maillon le plus faible de votre cyberdéfense, est essentielle.
- Une solution de protection des identités surveille tous les comptes, y compris les comptes d'utilisateurs humains classiques, ainsi que les comptes de services et à privilèges, et évalue les risques liés aux utilisateurs, mais également les risques associés à leurs endpoints. Elle permet de bénéficier d'une segmentation selon l'identité et d'une automatisation de la sécurité liées au contexte, au lieu d'accorder aux utilisateurs l'accès à des applications spécifiques, comme c'est le cas avec une solution ZTNA.
- Si un outil ZTNA offre une protection contre le déplacement latéral, une solution de protection des identités inclut également un mécanisme permettant de détecter l'évolution des tactiques cybercriminelles s'appuyant sur l'élévation des privilèges, l'utilisation abusive de comptes de services, les connexions interactives, les attaques RDP et les attaques basées sur les protocoles NTLM et LDAP/S.
Se lancer dans l'aventure avec CrowdStrike Falcon Identity Protection
CrowdStrike Falcon Identity Protection protège les entreprises modernes grâce à sa solution cloud qui permet d'identifier les vulnérabilités du référentiel d'identités ou de neutraliser les attaques le ciblant en temps réel, où qu'elles se produisent.
La solution CrowdStrike Falcon Identity Protection se compose de deux produits :
- Falcon Identity Threat Detection : premier niveau de détection de la sécurité des instances AD, la solution fournit une analyse des risques liés aux identités et détecte les menaces ciblant le système d'authentification et les identifiants en temps réel.
- Falcon Identity Threat Protection : offre une sécurité fluide, une prévention des menaces en temps réel et une mise en œuvre des règles d'accès conditionnel basées sur l'analyse des identités, des comportements et des risques, compatibles avec presque tous les fournisseurs MFA/SSO pour neutraliser les menaces en temps réel.
Pour plus d'informations sur les fonctionnalités de CrowdStrike Falcon Identity Protection qui permettront à votre entreprise de renforcer et d'optimiser son niveau de cybersécurité contre l'ensemble des menaces modernes, téléchargez notre fiche technique et demandez une démonstration sans tarder.