Qu’est-ce que l’accès réseau zero-trust (ZTNA) ?

L’accès réseau zero-trust gagne du terrain dans les organisations qui souhaitent protéger leurs ressources. Découvrez de quoi il s’agit et quel est son intérêt.

Juillet 21 2023 Par

Hannah Hamilton

Close up of a server in a data center where ZTNA is implemented

Vous avez peut-être entendu parler de l’accès réseau zero-trust (ZTNA), alternative de plus en plus populaire au VPN. Mais qu’est-ce que le ZTNA, comment fonctionne-t-il et quels sont ses avantages ?is Découvrons-les ensemble !

Qu'est-ce que le zero-trust ?

Commençons par nous intéresser à la première moitié de « ZTNA » : zero trust, ou confiance zéro. Le NIST définit le concept de zero-trust comme

un ensemble de concepts et d’idées visant à minimiser l’incertitude entourant des décisions d’accès précises aux systèmes et services d’information, accordées sur demande avec le moins de privilèges possible, face à un réseau considéré comme compromis par défaut.

En d’autres termes, ne jamais faire confiance, toujours vérifier. Partez du principe que votre réseau a déjà été compromis et que chaque demande d’accès doit être examinée et vérifiée, l’objectif étant de confirmer que la bonne personne accède à vos ressources. L’architecture zero trust (ZTA) va plus loin et met sur pied un plan de cybersécurité axé sur ce principe, en adoptant des règles d’accès et des workflows très stricts. La conception de la ZTA repose sur les concepts suivants :

  • Les « ressources » désignent l’ensemble des sources de données et des services : plateformes SaaS, dispositifs de stockage, appareils appartenant à l’entreprise et appareils en BYOD ayant accès aux ressources de l’organisation.
  • Toutes les communications doivent être sécurisées, quelle que soit la localisation du réseau – y compris au-delà du périmètre de l'organisation.
  • L’accès aux ressources est accordé session par session.
  • Il est déterminé par une règle dynamique qui vérifie des critères tels que le compte de l’utilisateur, l’application ou le service, les règles de l’appareil et/ou des attributs comportementaux.
  • L’organisation surveille et mesure l’intégrité et la posture de sécurité de tous les actifs qu’elle possède et exploite. Ces éléments pèsent ensuite dans l’évaluation de chaque demande de ressources, de sorte que l’accès est refusé aux appareils qui ne répondent pas aux exigences.
  • L’accès n’est autorisé qu’après stricte vérification de l’authentification et des autorisations et ce, à chaque fois.
  • La collecte d’informations contextuelles sur l’état actuel des actifs, le trafic réseau et les demandes d’accès permet d’améliorer la posture de sécurité de l’organisation.

Les organisations misent sur les bonnes pratiques du zero trust parce que la confiance implicite ne suffit plus. Les VPN sont utilisés depuis des décennies, mais une connexion suffit à permettre à l’utilisateur d’accéder à l’ensemble de votre réseau. Un acteur malveillant peut ainsi se déplacer latéralement jusqu’à son objectif. L’essor du télétravail a estompé le périmètre du réseau : les utilisateurs se connectent désormais aux ressources de l’entreprise depuis le monde entier, sur tout type de réseau. Les règles d’accès des entreprises doivent donc devenir plus strictes, et c’est là qu’intervient le ZTNA.

Comment fonctionne l’accès réseau zero-trust ?

Le ZTNA repose sur deux concepts principaux : la microsegmentation et un périmètre défini par logiciel.

Microsegmentation

La microsegmentation consiste à diviser un réseau en segments isolés. Le trafic qui entre et sort de chaque segment est étroitement surveillé et contrôlé afin de limiter les mouvements latéraux dans le réseau. La microsegmentation est mise en œuvre à l’aide de règles basées sur l’identité, indépendantes des paramètres et de l’environnement du réseau. Elles utilisent plutôt des identités cryptographiques et exigent une authentification et une autorisation mutuelles à chaque demande d’accès. Grâce à cette méthode, seul le trafic réseau valide, provenant d’appareils et de comptes utilisateurs vérifiés, peut accéder aux ressources de l’entreprise.

Périmètre défini par logiciel

Le périmètre défini par logiciel met en application plusieurs grands principes :

  • Moindre privilège : une fois qu’un utilisateur s’est authentifié et que l’accès à une ressource lui a été accordé, sa connexion réseau ne concerne que cette ressource.
  • Réévaluation continue de l’accès : le niveau d’accès d’un utilisateur est réévalué en permanence au cours d’une session, et il est modifié en cas de doute sur son identité.
  • Réduction de la surface d’attaque : les mouvements latéraux sont entravés par des techniques comme la microsegmentation. Quant à la collecte d’informations contextuelles, elle garantit qu’un appareil insuffisamment à jour, compromis ou dépourvu de configurations renforcées ne pourra pas se connecter et causer des dommages à l’infrastructure de l’entreprise.

Utilisation du ZTNA

Quels sont les effets concrets de la microsegmentation et du périmètre défini par logiciel ? Simplifions un peu :

  1. Un utilisateur tente d’accéder aux ressources de l’entreprise.
  2. Ses identifiants, l’état de son appareil et d’autres critères définis par les règles sont vérifiés.
  3. Si l’identité et la conformité sont confirmées, le système établit un microtunnel entre l’appareil et la ressource – et non vers l’ensemble du réseau.
  4. L’identité et l’état de l’appareil font l’objet d’un contrôle permanent, et la connexion est révoquée au moindre doute concernant l’un ou l’autre.

Principaux points à retenir

  • L’approche zero-trust part du principe qu’aucune personne ayant accès au réseau n’est fiable. Il faut donc protéger les données contre les mouvements latéraux, et n’accorder que le minimum d’accès nécessaire.
  • Le ZTNA repose sur les principes du zero trust.
  • Il utilise la microsegmentation et le périmètre défini par logiciel pour isoler les ressources des hôtes qui se trouvent à l’intérieur comme à l’extérieur du réseau.

Créez des connexions sécurisées aux ressources de votre entreprise avec Jamf.

S’abonner au blog de Jamf

Recevez les tendances du marché, les mises à jour d'Apple et les dernières nouvelles de Jamf directement dans votre boîte mails.

Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.