Jamf Blog
Juin 6, 2022 Par Jesus Vigo

Les fondamentaux de la sécurité macOS : VPN contre ZTNA, le match définitif (VPN vs ZTNA)

Dans cette édition de notre série sur les Fondamentaux de la sécurité macOS, Virtual Private Networking (VPN) et Accès réseau Zero-Trust (ZTNA) s'affrontent afin de déterminer quelle technologie est la plus à même de sécuriser vos communications réseau sur l'ensemble de votre parc d'appareils. Comment fonctionnent ces solutions ? Quelles sont leurs fonctionnalités et leurs capacités pour assurer la sécurité du trafic face aux acteurs malveillants ? En bref, laquelle est la meilleure ?

Dans le monde de la sécurité informatique, un principe fondateur désigne les trois piliers qui soutiennent la protection de tout appareil, utilisateur ou donnée. On l'appelle la triade CIA : « Confidentiality, Integrity, Availability », soit confidentialité, intégrité et disponibilité en français. Selon ce principe, pour sécuriser un objet contre tous les types de menaces, il faut le protéger dans ces trois dimensions :

  • Confidentialité : le premier pilier fait référence à la protection de l'objet lui-même. Seules les personnes autorisées doivent pouvoir y accéder.

  • Intégrité : le deuxième pilier concerne le contenu de l'objet. Plus précisément, le but est d'empêcher toute modification. Comme l'accès, les modifications doivent être réservées aux seules personnes autorisées, et chaque utilisateur doit avoir un niveau de permissions adapté à ses besoins – pas davantage.

  • Disponibilité : le troisième pilier garantit en permanence l'accessibilité de l'objet aux utilisateurs autorisés. À la différence de la confidentialité, la disponibilité ne concerne que la capacité des utilisateurs à accéder à un objet, et ne s'intéresse pas aux autorisations – consultation, modification, etc. – qu'ils peuvent avoir dessus.

Ces trois piliers ont des implications secondaires qui peuvent s'appliquer à certains objets. La confidentialité, par exemple, s'applique différemment aux données au repos et aux données en transit. Les premières sont stockées physiquement sur des disques, sur votre ordinateur ou sur l'unité de stockage d'un serveur, par exemple. Les deuxièmes désignent les données en cours de transmission, par e-mail bien sûr, mais aussi lors de l'envoi ou du téléchargement de fichiers depuis un emplacement distant.

Selon votre cas d'utilisation, ces piliers secondaires peuvent s'ajouter à la triade CIA. Lorsqu'il s'agit de sécuriser les communications, les trois piliers s'appliquent, ainsi que leurs implications pour les données en transit. Pour en venir à notre sujet principal du VPN et du ZTNA, les deux offrent une excellente protection aux connexions réseau, mais seul le ZTNA sait relever les nombreux défis du monde informatique moderne.

Avant de nous pencher sur les fonctionnalités de ces deux technologies, leurs avantages et leurs inconvénients, revenons sur leur histoire.

Ivan Drago, le grizzli de Sibérie

Le protocole PPTP (Peer-to-Peer Tunneling Protocol) a été développé par Microsoft en 1996. Il est largement considéré comme le précurseur du protocole VPN d'aujourd'hui. Pour les entreprises qui cherchaient un moyen d'étendre leur réseau privé sur des réseaux existants, publics ou non fiables, le VPN avait un intérêt immédiat évident.

Le VPN respecte la triade CIA : il chiffre les données envoyées ou reçues (confidentialité), applique des contrôles pour détecter toute manipulation des données en transit (intégrité), et utilise l'authentification pour empêcher les accès non autorisés et garantir la haute disponibilité des ressources réseau (disponibilité). En outre, le VPN permet les mesures de protection suivantes :

  • Il crée un tunnel point à point pour connecter en toute sécurité plusieurs hôtes physiquement séparés.

  • Il établit un WAN (Wide-Area Network) entre des réseaux connectés.

  • Il renforce la confidentialité en chiffrant le trafic via un tunnel. Même en cas d'interception, le contenu est difficile à déchiffrer. Par ailleurs, l'identité des utilisateurs est protégée par le masquage des adresses IP et de la localisation physique.

  • Il fournit un accès distant sécurisé aux ressources d'entreprise aux collaborateurs en télétravail ou en environnement hybride.

  • Il donne accès aux sites web et aux contenus réservés à des régions ou des pays spécifiques. Il permet ainsi de contourner les systèmes de censure imposés pour limiter la circulation des informations.

Rocky Balboa, l'étalon italien

Le terme « zero trust » a été utilisé pour la première fois en 1994, dans le cadre d'une thèse de Stephen Paul Marsh sur la sécurité informatique. Le concept s'est développé au fil des années, se rapprochant chaque jour de sa concrétisation, jusqu'à ce qu'en 2018, le NIST publie « SP 800-207, Zero Trust Architecture ». Ce document technique présentait une « collection de concepts et d'idées visant à réduire l’incertitude en intégrant aux systèmes et services informatiques un mécanisme d'octroi d'accès précis et à la demande, dans le contexte d'un réseau considéré par défaut comme compromis. » Cette technologie a fait évoluer la sécurité des grandes entreprises et permis l'avènement d'un « plan de cybersécurité qui repose sur les concepts zero-trust et englobe les relations entre composants, la planification des workflows et les règles d'accès. » En termes clairs, elle a supprimé le concept de « confiance implicite » des cadres de sécurité, applications et workflows destinés à gérer la sécurité des terminaux. Elle a également réduit les risques liés aux menaces en imposant la vérification de tous les composants inclus dans le paradigme de sécurité avant que l'accès à une ressource protégée soit accordé.

Le ZTNA a beaucoup de points communs avec son ancêtre, dont il sait remplir toutes les fonctions. Mais la comparaison s'arrête là. Le ZTNA offre un large éventail de nouveautés et d'amélioration qui en font le choix idéal pour protéger votre environnement informatique moderne :

  • Son architecture basée sur le cloud lui permet de prendre en charge tous les systèmes d’exploitation et types d'appareils modernes.

  • Le périmètre est défini par le logiciel : il n'y donc plus de matériel coûteux à acheter, gérer et maintenir, ni de réglages complexes à configurer.

  • Les microtunnels basés sur l'application sont générés à chaque demande de ressource. Cette approche garantit l'application du principe du moindre privilège et empêche les mouvements réseau latéraux en cas de compromission.

  • L'intégration des fournisseurs d'identité (IdP), réserve l'accès aux applications professionnelles aux seuls utilisateurs autorisés, tout en étendant les capacités d'authentification unique (SSO).

  • La sécurité et la conformité sont assurées par des règles d'accès basées sur les risques. Des vérifications d'état régulières déterminent si des appareils et des comptes utilisateurs ont été compromis.

  • Les appareils qui ne répondent pas aux exigences minimales établies par les administrateurs sont mis en quarantaine et donc privés de tout accès aux ressources demandées. S'ensuivent une procédure de correction automatisée et une nouvelle vérification qui atteste de la conformité de l'appareil et accorde finalement l'accès requis.

  • Le système étant basé sur le cloud, les règles s'appliquent uniformément à tous les types d'hébergement : local, cloud privé ou public, ou applications Software as Service (SaaS).

  • Grâce à l'amélioration des capacités de tunneling, les ressources non professionnelles sont acheminées directement vers Internet tandis quel es ressources professionnelles restent à l'abri.

  • Ce service léger fonctionne avec ou sans agent, en arrière-plan. Il exerce donc un impact minime sur la batterie et l'expérience utilisateur.

L'heure du choix

Nous avons récapitulé ci-dessous les points communs et les différences entre ZTNA et VPN, afin d'évaluer précisément les capacités de chaque technologie. Comparez les deux ensembles de fonctionnalités en pensant aux besoins spécifiques de votre environnement de travail à distance, et posez-vous cette question : le ZTNA peut-il remplacer mon VPN ?

VPN

Architecture : sur site

Prise en charge du réseau : point à point

Type d'accès : fait confiance par défaut

Authentification : compte local

Rapports : simples

Administration : attribution des accès basée sur ASL et pas de déclaration des applications

Agent : requis

Vérification d'état : aucune

Règles de contrôle des accès : aucune

Compatibilité : en fonction du développeur ou du fournisseur

ZTNA

Architecture : cloud

Prise en charge du réseau : application/ressource

Type d'accès : ne fait jamais confiance, vérifie systématiquement

Authentification : IdP basé sur le cloud

Rapports : granulaires

Administration : déclaration des applications et attribution rapide des accès

Agent : facultatif

Vérification d'état : matériel et/ou logiciel

Règles de contrôle des accès : oui

Compatibilité : tous les types d'appareils et systèmes d'exploitation modernes

Le choix vous revient. Mais heureusement, vous n'êtes pas seul : Jamf Private Access est là pour vous aider.

Contactez Jamf ou votre représentant commercial dès aujourd'hui et découvrez comment protéger votre parc d'appareils avec la technologie d'accès réseau Zero-Trust. Vos appareils et vos utilisateurs vous en remercieront !

Photo of Jesus Vigo
Jesus Vigo
Jamf
Jesus is a Copywriter, Security focused on expanding the knowledge base of IT, Security Admins - generally anyone with an interest in securing their Apple devices - with Apple Enterprise Management and the Jamf solutions that will aid them in hardening the devices in the Apple ecosystem.
S'abonner au blog

Recevez directement dans votre boîte mail les tendances du marché informatique, les mises à jour Apple et les actualités Jamf.

Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.