Alors que 69 % des employés de bureau utilisent leur ordinateur portable personnel pour travailler et que les experts prévoient que 50 à 80 millions d'emplois au bureau seront effectués à distance d'ici 2030, il est devenu essentiel de sécuriser l'accès à distance aux ressources de l'entreprise. Les employés à distance accèdent souvent aux ressources de l'entreprise à partir de réseaux publics ou utilisent des appareils susceptibles de contenir des logiciels malveillants, ce qui explique que 81 % des entreprises subissent des attaques de points finaux dues à une forme de logiciel malveillant, telles que des violations de données et des fuites de données sensibles.
Deux des approches d'accès sécurisé les plus courantes sont le VPN (réseau privé virtuel) et le ZTNA (zero trust network access). Le VPN est une approche centralisée qui authentifie les utilisateurs avant de transférer les données dans le réseau via un serveur central. Le ZTNA fournit un accès direct et sécurisé à des ressources spécifiques au sein du réseau auxquelles un utilisateur est autorisé à accéder.
Qu'est-ce qu'un VPN ?
Un VPN est une technologie conçue pour créer une connexion sécurisée et cryptée sur Internet entre l'appareil d'un utilisateur et un réseau. La sécurité des données des VPN repose sur la création de tunnels cryptés pour les données transférées entre les appareils et les réseaux.
À l'origine, les VPN ont été développés dans les années 1990 par Microsoft, qui a introduit le protocole PPTP (Point-to-Point Tunneling Protocol). Avec l'évolution de l'internet et la sophistication croissante des cyberattaques, l'utilisation des VPN s'est accrue au sein des organisations et des particuliers. Il s'agit d'une solution intégrale dans diverses applications d'entreprise, y compris l'octroi d'un accès à distance sécurisé aux ressources internes, la connexion des succursales au siège et l'amélioration de la confidentialité pendant les voyages d'affaires.
Comment fonctionne un VPN ?
Les VPN commencent par authentifier les utilisateurs pour vérifier leur identité, généralement à l'aide d'un mot de passe ou d'une authentification à deux facteurs. Ensuite, le client VPN et le serveur effectuent un échange, un processus qui confirme la méthode de cryptage et de décryptage des données, à l'aide d'un protocole VPN tel que L2TP, IKEv2 ou OpenVPN. Au cours de la session, les paquets de données sont encapsulés et transférés en toute sécurité sur des réseaux potentiellement peu sûrs.
Il existe deux principaux types de VPN : les réseaux d'accès à distance et les réseaux de site à site. Les réseaux d'accès à distance sont utilisés par les particuliers pour se connecter à des réseaux distants. Les réseaux site à site sont utilisés pour connecter des réseaux entiers en créant une connexion sécurisée et cryptée entre plusieurs sites.
Les VPN permettent aux utilisateurs authentifiés d'accéder à l'ensemble du réseau. Cette approche présente des inconvénients car elle augmente la surface d'attaque pour les acteurs de la menace, ce qui a conduit de nombreuses organisations à rechercher une solution plus restrictive pour fournir un accès sécurisé à leurs réseaux.
Qu'est-ce que le ZTNA ?
ZTNA est une solution moderne pour sécuriser l'accès au réseau, basée sur le principe de la confiance zéro. Dans un réseau ZTNA, un appareil connecté n'est pas fiable par défaut. Il ne peut pas être informé de l'existence d'autres ressources, telles que des applications et des serveurs, à l'exception de celles auxquelles il est autorisé à se connecter. L'accès des utilisateurs au réseau ZTNA est accordé après évaluation de l'état de sécurité de chaque appareil sur la base de l'identité, de l'état de l'appareil et de la conformité.
Avec sa popularité croissante, ZTNA a été adopté par les organisations comme une solution robuste pour gérer l'accès sécurisé dans les environnements basés sur le cloud. Son accès conditionnel, qui ne fait pas transiter les données par un réseau central, en fait une solution favorable pour les organisations dont les équipes sont réparties.
Comment fonctionne ZTNA ?
Le modèle de sécurité de ZTNA repose sur l'hypothèse d'une absence de confiance à l'intérieur ou à l'extérieur du périmètre du réseau. Il vérifie chaque utilisateur et chaque appareil individuellement avant d'autoriser l'accès à des ressources spécifiques. Ce processus implique l'authentification de l'identité de l'utilisateur et l'évaluation du niveau de sécurité de l'appareil afin de garantir que l'accès n'est accordé qu'aux appareils conformes et autorisés.
ZTNA applique constamment des contrôles de sécurité contextuels à chaque accès, comme l'évaluation de la localisation, de la santé de l'appareil et d'autres indicateurs de risque. La vérification de l'utilisateur fait appel à plusieurs technologies, notamment l'AFM (authentification multifactorielle) et l'IAM (gestion de l'identité et de l'accès). Elle évalue en outre la sécurité de l'appareil par le biais de diverses méthodes, telles que la recherche de logiciels malveillants, la confirmation de mises à jour de sécurité récentes et l'assurance que la protection des points d'extrémité est active.
En appliquant le principe du moindre privilège, ZTNA n'accorde l'accès qu'aux ressources nécessaires à chaque session. Cela contraste avec les VPN qui donnent accès à des segments entiers du réseau, exposant potentiellement les applications et les données non essentielles aux utilisateurs.
Avantages des solutions ZTNA
Prestations de sécurité
ZTNA réduit la surface d'attaque en n'accordant l'accès qu'aux ressources nécessaires. En cas de violation de la sécurité, ses politiques limitent les mouvements latéraux d'un adversaire.
Amélioration de l'expérience de l'utilisateur
Les utilisateurs accèdent aux applications en toute sécurité via ZTNA à partir de leurs propres appareils, avec une configuration minimale et sans avoir besoin de recourir à un logiciel spécifique. Outre les avantages des contrôles de sécurité contextuels de ZTNA, les utilisateurs n'ont pas besoin de s'authentifier à nouveau pour chaque application.
Évolutivité
ZTNA est conçu pour être bien adapté aux environnements cloud et hybrides, ce qui permet aux administrateurs d'ajouter ou de supprimer des applications et de modifier les privilèges d'accès des utilisateurs.
Performance
Les utilisateurs se connectent directement aux applications sans passer par un serveur central, ce qui réduit la latence et améliore les performances. Cette approche permet d'éviter les goulets d'étranglement qui se produisent parfois avec les solutions VPN en cas de trafic réseau élevé.
Contrôle renforcé
Le contrôle d'accès granulaire sur les connexions de chaque utilisateur garantit les ressources auxquelles chaque utilisateur peut accéder.
ZTNA vs VPN : Comparaison
Modèle de sécurité
- VPN : les utilisateurs ne sont authentifiés qu'une seule fois, puis une confiance est établie à l'échelle du réseau.
- ZTNA : chaque session nécessite une vérification, en mettant l'accent sur l'authentification continue et contextuelle des utilisateurs et des appareils.
Contrôle d'accès granulaire
- VPN : la connexion donne accès à l'ensemble du réseau après authentification des utilisateurs, ce qui augmente la surface d'attaque et le risque de violation des données.
- ZTNA : Fournit un accès granulaire à des applications ou des ressources spécifiques sur la base de politiques de sécurité contextuelles.
Performance et évolutivité
- VPN : les utilisateurs peuvent constater un ralentissement des performances en cas de transferts de données importants et d'augmentation du nombre d'utilisateurs connectés simultanément. Il achemine les données à travers plusieurs serveurs vers un point central dans un centre de données, ce qui le rend plus difficile à adapter aux environnements en nuage.
- ZTNA : son approche directe à l'application élimine le besoin d'une connexion centralisée et offre de meilleures performances, ce qui en fait une solution plus adaptée à l'évolution dans les environnements en nuage.
Expérience de l'utilisateur
- VPN : Les utilisateurs finaux doivent installer un logiciel client sur leurs machines locales. L'installation et la configuration des clients VPN peuvent s'avérer difficiles pour de nombreux utilisateurs. De plus, des vitesses de connexion plus lentes pendant les périodes de fort trafic sur le réseau peuvent entraîner des frustrations et une baisse de la productivité.
- ZTNA : L'essentiel de la complexité est lié à la configuration initiale, qui est prise en charge par les professionnels de l'informatique et de l'informatique en nuage. Au niveau de l'utilisateur, la connexion devient une expérience fluide une fois que l'utilisateur final est authentifié, ce qui permet un accès plus rapide et transparent aux applications nécessaires.
Adaptabilité de la main-d'œuvre à distance
- VPN : L'accès étendu aux ressources de l'entreprise peut ne pas convenir à une main-d'œuvre à distance dynamique et extensible qui se connecte aux réseaux de l'entreprise à partir de plusieurs endroits.
- ZTNA : convient pour sécuriser l'accès des employés à distance sans qu'il soit nécessaire d'installer des applications clientes et en permettant uniquement l'accès aux ressources nécessaires.
Principales considérations pour les entreprises
Évolutivité
Les environnements professionnels ayant un besoin constant d'évolutivité, tels que les services SaaS, Fintech et AI, peuvent trouver ZTNA plus adapté en raison de sa capacité à évoluer avec les environnements cloud.Les VPN peuvent ajouter des défis à ces environnements car ils nécessitent une maintenance continue et la disponibilité d'experts aux compétences diverses pour les gérer.
Sécurité
Comme le ZTNA minimise les mouvements latéraux au sein d'un réseau, il s'agit de la solution privilégiée pour renforcer les politiques de BYOD et pour les systèmes qui permettent l'accès de tiers. Toutefois, en raison de leur nouveauté, les solutions ZTNA peuvent ne pas prendre en charge les systèmes existants. Dans ce cas, les VPN sont plus avantageux pour sécuriser l'accès aux applications existantes.
Performance
ZTNA peut être une solution favorable pour les organisations dont les équipes sont réparties sur plusieurs sites géographiques. En ce qui concerne le Zero Trust Network Access par rapport au VPN, son modèle d'accès direct décentralisé se traduit par une latence plus faible et l'absence de goulots d'étranglement.
Infrastructure existante
Certaines organisations investissent massivement dans une infrastructure sur site, en raison d'exigences de conformité spécifiques ou de leur modèle d'entreprise. Un tel investissement facilite l'adoption d'une solution VPN, puisque l'infrastructure nécessaire au fonctionnement et à la maintenance d'un VPN sera présente et contrôlée en interne par l'organisation.
Conclusion
L'augmentation rapide de la main-d'œuvre à distance et des équipes distribuées a conduit les organisations à envisager d'améliorer la sécurité de leur accès à distance. Le ZTNA (zero-trust network access) et les VPN sont les deux solutions d'accès sécurisé à distance les plus populaires. En connaissant les besoins de votre organisation et le fonctionnement de chaque solution, vous pourrez prendre une décision éclairée quant à la solution à incorporer dans votre organisation.
MetaDefender IT Access™ est le module Secure Access de MetaDefender® Access Platform qui assure la sécurité des accès depuis n'importe quel appareil aux applications cloud et patrimoniales. Grâce à Secure Cloud Access avec intégration SAML IdP et Software Defined PerimeterSDP, votre réseau peut adhérer à la conformité réglementaire, exploiter le modèle du moindre privilège et diminuer la surface d'attaque du réseau. Découvrez comment MetaDefender IT Access peut améliorer la visibilité et empêcher les accès non autorisés au réseau.
