Les fondamentaux de la sécurité macOS : VPN contre ZTNA, le match définitif (VPN vs ZTNA)

Dans le monde de la sécurité informatique, un principe fondateur désigne les trois piliers qui soutiennent la protection de tout appareil, utilisateur ou donnée. On l'appelle la triade CIA : « Confidentiality, Integrity, Availability », soit confidentialité, intégrité et disponibilité en français. Selon ce principe, pour sécuriser un objet contre tous les types de menaces, il faut le protéger dans ces trois dimensions :

• Confidentialité : le premier pilier fait référence à la protection de l'objet lui-même. Seules les personnes autorisées doivent pouvoir y accéder.

• Intégrité : le deuxième pilier concerne le contenu de l'objet. Plus précisément, le but est d'empêcher toute modification. Comme l'accès, les modifications doivent être réservées aux seules personnes autorisées, et chaque utilisateur doit avoir un niveau de permissions adapté à ses besoins – pas davantage.

• Disponibilité : le troisième pilier garantit en permanence l'accessibilité de l'objet aux utilisateurs autorisés. À la différence de la confidentialité, la disponibilité ne concerne que la capacité des utilisateurs à accéder à un objet, et ne s'intéresse pas aux autorisations – consultation, modification, etc. – qu'ils peuvent avoir dessus.

Ces trois piliers ont des implications secondaires qui peuvent s'appliquer à certains objets. La confidentialité, par exemple, s'applique différemment aux données au repos et aux données en transit. Les premières sont stockées physiquement sur des disques, sur votre ordinateur ou sur l'unité de stockage d'un serveur, par exemple. Les deuxièmes désignent les données en cours de transmission, par e-mail bien sûr, mais aussi lors de l'envoi ou du téléchargement de fichiers depuis un emplacement distant.

Selon votre cas d'utilisation, ces piliers secondaires peuvent s'ajouter à la triade CIA. Lorsqu'il s'agit de sécuriser les communications, les trois piliers s'appliquent, ainsi que leurs implications pour les données en transit. Pour en venir à notre sujet principal du VPN et du ZTNA, les deux offrent une excellente protection aux connexions réseau, mais seul le ZTNA sait relever les nombreux défis du monde informatique moderne.

Avant de nous pencher sur les fonctionnalités de ces deux technologies, leurs avantages et leurs inconvénients, revenons sur leur histoire.

Ivan Drago, le grizzli de Sibérie

Le protocole PPTP (Peer-to-Peer Tunneling Protocol) a été développé par Microsoft en 1996. Il est largement considéré comme le précurseur du protocole VPN d'aujourd'hui. Pour les entreprises qui cherchaient un moyen d'étendre leur réseau privé sur des réseaux existants, publics ou non fiables, le VPN avait un intérêt immédiat évident.

Le VPN respecte la triade CIA : il chiffre les données envoyées ou reçues (confidentialité), applique des contrôles pour détecter toute manipulation des données en transit (intégrité), et utilise l'authentification pour empêcher les accès non autorisés et garantir la haute disponibilité des ressources réseau (disponibilité). En outre, le VPN permet les mesures de protection suivantes :

• Il crée un tunnel point à point pour connecter en toute sécurité plusieurs hôtes physiquement séparés.

• Il établit un WAN (Wide-Area Network) entre des réseaux connectés.

• Il renforce la confidentialité en chiffrant le trafic via un tunnel. Même en cas d'interception, le contenu est difficile à déchiffrer. Par ailleurs, l'identité des utilisateurs est protégée par le masquage des adresses IP et de la localisation physique.

• Il fournit un accès distant sécurisé aux ressources d'entreprise aux collaborateurs en télétravail ou en environnement hybride.

• Il donne accès aux sites web et aux contenus réservés à des régions ou des pays spécifiques. Il permet ainsi de contourner les systèmes de censure imposés pour limiter la circulation des informations.

Rocky Balboa, l'étalon italien

Le terme « zero trust » a été utilisé pour la première fois en 1994, dans le cadre d'une thèse de Stephen Paul Marsh sur la sécurité informatique. Le concept s'est développé au fil des années, se rapprochant chaque jour de sa concrétisation, jusqu'à ce qu'en 2018, le NIST publie « SP 800-207, Zero Trust Architecture ». Ce document technique présentait une « collection de concepts et d'idées visant à réduire l’incertitude en intégrant aux systèmes et services informatiques un mécanisme d'octroi d'accès précis et à la demande, dans le contexte d'un réseau considéré par défaut comme compromis. » Cette technologie a fait évoluer la sécurité des grandes entreprises et permis l'avènement d'un « plan de cybersécurité qui repose sur les concepts zero-trust et englobe les relations entre composants, la planification des workflows et les règles d'accès. » En termes clairs, elle a supprimé le concept de « confiance implicite » des cadres de sécurité, applications et workflows destinés à gérer la sécurité des terminaux. Elle a également réduit les risques liés aux menaces en imposant la vérification de tous les composants inclus dans le paradigme de sécurité avant que l'accès à une ressource protégée soit accordé.

Le ZTNA a beaucoup de points communs avec son ancêtre, dont il sait remplir toutes les fonctions. Mais la comparaison s'arrête là. Le ZTNA offre un large éventail de nouveautés et d'amélioration qui en font le choix idéal pour protéger votre environnement informatique moderne :

• Son architecture basée sur le cloud lui permet de prendre en charge tous les systèmes d’exploitation et types d'appareils modernes.

• Le périmètre est défini par le logiciel : il n'y donc plus de matériel coûteux à acheter, gérer et maintenir, ni de réglages complexes à configurer.

• Les microtunnels basés sur l'application sont générés à chaque demande de ressource. Cette approche garantit l'application du principe du moindre privilège et empêche les mouvements réseau latéraux en cas de compromission.

• L'intégration des fournisseurs d'identité (IdP), réserve l'accès aux applications professionnelles aux seuls utilisateurs autorisés, tout en étendant les capacités d'authentification unique (SSO).

• La sécurité et la conformité sont assurées par des règles d'accès basées sur les risques. Des vérifications d'état régulières déterminent si des appareils et des comptes utilisateurs ont été compromis.

• Les appareils qui ne répondent pas aux exigences minimales établies par les administrateurs sont mis en quarantaine et donc privés de tout accès aux ressources demandées. S'ensuivent une procédure de correction automatisée et une nouvelle vérification qui atteste de la conformité de l'appareil et accorde finalement l'accès requis.

• Le système étant basé sur le cloud, les règles s'appliquent uniformément à tous les types d'hébergement : local, cloud privé ou public, ou applications Software as Service (SaaS).

• Grâce à l'amélioration des capacités de tunneling, les ressources non professionnelles sont acheminées directement vers Internet tandis quel es ressources professionnelles restent à l'abri.

• Ce service léger fonctionne avec ou sans agent, en arrière-plan. Il exerce donc un impact minime sur la batterie et l'expérience utilisateur.

L'heure du choix

Nous avons récapitulé ci-dessous les points communs et les différences entre ZTNA et VPN, afin d'évaluer précisément les capacités de chaque technologie. Comparez les deux ensembles de fonctionnalités en pensant aux besoins spécifiques de votre environnement de travail à distance, et posez-vous cette question : le ZTNA peut-il remplacer mon VPN ?