Avec la généralisation du télétravail, la sécurité est devenue un enjeu crucial pour les entreprises, en raison des risques liés aux connexions à distance. L’accès réseau Zero Trust, ou ZTNA (Zero Trust Network Access), est une alternative aux VPN traditionnels. Ce modèle de sécurité repose sur le principe de “zéro confiance” : ne jamais faire confiance, toujours vérifier. Pour mieux comprendre les fondements de cette approche, découvrez
Le ZTNA offre aux utilisateurs à distance un accès sécurisé aux applications internes de l’entreprise. Contrairement aux systèmes traditionnels, la confiance n’est pas accordée par défaut. L’utilisateur peut accéder uniquement aux applications pour lesquelles il a été explicitement autorisé, après une vérification rigoureuse. Cette technologie, basée sur le Cloud, est largement adoptée en cybersécurité pour protéger les réseaux. Mais comment fonctionne-t-elle concrètement ? Dans ce guide sur le ZTNA, nous explorerons son fonctionnement, les technologies impliquées et les meilleures pratiques pour l’implémenter dans votre entreprise.
Comment fonctionne le ZTNA ?
Pour comprendre le ZTNA, il est essentiel de le comparer aux VPN. Contrairement au VPN, qui débloque l’accès à l’ensemble d’un réseau, le ZTNA permet à un utilisateur d’accéder uniquement à une application spécifique. Cette dissociation entre l’accès aux applications et la couche réseau renforce la sécurité des ressources numériques de l’entreprise. Mais comment cela fonctionne-t-il en pratique ?
Quelles sont les technologies derrière le ZTNA ?
Pour réduire les risques d’intrusion ou d’infection d’un système, le ZTNA s’appuie sur plusieurs technologies qui ne fournissent à l’utilisateur que les accès nécessaires pour accomplir ses tâches. Par exemple, un employé en télétravail aura des accès différents de ceux d’un prestataire externe.
Parmi ces technologies, on retrouve :
- Authentification multi-facteurs (MFA) : pour accéder à une ressource, l’utilisateur doit d’abord entrer son mot de passe, puis fournir un code reçu sur son téléphone ou utiliser un autre mode d’authentification. Généralement, un mécanisme de double authentification est mis en place.
- Micro-segmentation réseau (tunneling) : Le réseau est divisé en plusieurs segments sécurisés, avec un chiffrement TLS pour les connexions internet cryptées. Chaque segment est isolé, ce qui empêche un accès complet au réseau en cas d’attaque. Un utilisateur ne peut accéder qu’à un segment précis à un moment donné, et une autorisation supplémentaire est requise pour accéder à d’autres segments.
- Contrôles d’accès basés sur le contexte : le ZTNA vérifie le contexte de chaque demande d’accès. Selon la politique de l’entreprise, des facteurs tels que l’emplacement géographique, le type d’appareil utilisé et l’heure de la demande sont analysés avant d’accorder l’accès.
- Gestion granulaire des identités et des accès via l’IdP et le SSO : Lorsqu’un utilisateur demande l’accès à une application, des vérifications sont effectuées pour s’assurer qu’il dispose des autorisations nécessaires. Le SSO (single sign-on) authentifie l’identité de l’utilisateur (fait-il partie de l’organisation ?), tandis que l’IdP (identity provider) détermine les privilèges associés à son profil. Le principe du moindre privilège est appliqué : aucun accès n’est accordé par défaut.
Comment le ZTNA s’intègre-t-il dans une architecture Zero Trust ?
Le ZTNA agit comme un « courtier » de confiance dans une architecture Zero Trust. Il crée une barrière autour des applications et des données, accordant l’accès uniquement aux utilisateurs dont l’identité et le contexte de la demande ont été vérifiés.
Le Zero Trust se déploie généralement via une architecture par proxy, connectant directement les utilisateurs aux applications. Chaque connexion suit 3 étapes :
- Vérification de l’identité et du contexte : quand un utilisateur ou appareil fait une demande de connexion, un contrôleur Zero Trust doit vérifier l’identité et le contexte associé à la requête : quel utilisateur demande l’accès ? A quelle application souhaite-t-il accéder ? Depuis quel appareil, localisation et heure fait-il cette demande d’accès ? Le ZTNA permet une authentification forte en vérifiant l’identité des utilisateurs.
- Évaluation du risque selon la politique de sécurité : Une fois l’identité et le contexte vérifié, le risque associé à la demande de connexion est évalué avant d’attribuer les accès.
- Attribution de l’accès et surveillance continue : si toutes les conditions sont réunies et qu’il n’existe pas de risque pour la sécurité du système, l’utilisateur peut se connecter de manière sécurisée à l’application grâce au ZTNA. Il obtient alors un accès limité à la ressource demandée. L’activité est surveillée en permanence pour détecter un éventuel comportement suspect afin de réagir rapidement en cas d’incident.
Il existe 2 types de ZTNA :
- ZTNA basé sur un agent (endpoint-initiated) : un “agent” (application logicielle) doit être installé sur l’appareil de l’utilisateur. Lorsqu’un utilisateur allume son appareil pour accéder à une application sur le système, l’agent installé sur l’appareil communique avec le contrôleur ZTNA, qui effectue l’authentification et permet la connexion
- ZTNA basé sur un service/cloud : il n’y a pas besoin d’installer de logiciel sur l’appareil de l’utilisateur. La connexion entre l’application et l’utilisateur est initiée par un service Cloud, fonctionnant comme un intermédiaire de contrôle. L’utilisateur authentifié peut se connecter à l’application/système d’information requis uniquement. Dans le même temps, le réseau est protégé et isolé afin d’atténuer les risques d’intrusion.
Comment démarrer avec le ZTNA ?
Pour sécuriser l’accès au système d’entreprise avec le ZTNA, il suffit de suivre quelques étapes et de choisir la solution adaptée aux besoins de votre entreprise.
Quelles sont les étapes pour implémenter le ZTNA ?
De l’évaluation des besoins au choix de la solution en passant par son déploiement, plusieurs étapes sont requises pour implémenter le ZTNA :
- Définir le périmètre à couvrir et à sécuriser : identifiez les ressources critiques à protéger (données sensibles des clients/employeurs, applications, services et ressources) et dressez une liste de l’ensemble des utilisateurs à authentifier
- Définir les contrôles à mettre en place au niveau du réseau : pour cela il sera d’abord nécessaire de cartographier la manière dont le trafic circule sur le réseau. La compréhension des intéractions entre les demandes, les systèmes et les bases de données (contenant les informations précieuses pour l’entreprise) permet de définir les points de contrôle à mettre en place.
- Choisir une solution ZTNA adaptée à ses besoins : Pour mettre en place le Zero Trust, plusieurs solutions existent sur le marché comme Smart ID pour Workforce. Chaque solution offre des niveaux de sécurité et de fonctionnalités variables.
- Définir une politique Zero Trust : utilisez la méthode Kipling pour définir votre politique d’accès en suivant le principe du moindre privilège. A chaque tentative de connexion par un utilisateur, six questions sont posées : Qui ? Quoi ? Quand ? Où ? Pourquoi ? Comment ? En cas de doute sur l’une des réponses, l’accès n’est pas accordé à l’utilisateur.
- Déployez le ZTNA : à l’aide de la solution choisie, basée sur le Cloud/service ou sur l’appareil des utilisateurs, configurez d’abord les paramètres de sécurité et politiques d’accès pour chaque utilisateur et appareil. L’authentification multi-facteurs peut être implémentée à cette étape. Ensuite le ZTNA peut être déployé sur toute l’infrastructure.
- Former et sensibiliser vos collaborateurs au ZTNA : la conduite du changement passe par la sensibilisation aux nouvelles pratiques de sécurité. Pour que le ZTNA soit adopté par les collaborateurs, organisez des sessions de formation expliquant les avantages apportés par cette solution et les bonnes pratiques en cybersécurité.
- Surveiller le réseau et ajuster la politique de sécurité selon vos besoins : la surveillance constante du réseau permet d’être alerté en cas de comportement anormal à l’aide de rapports, d’analyses et de l’étude des logs. En cas d’incident détecté, il sera possible de réagir rapidement. En fonction des incidents détectés, la politique Zero Trust pourra être ajustée pour mieux répondre aux enjeux de sécurité.
Quelles sont les meilleures pratiques pour une mise en œuvre réussie du ZTNA ?
- Implémentation progressive : Déployez le ZTNA étape par étape pour minimiser les perturbations. Commencez par les segments les plus critiques du réseau, puis élargissez au reste.
- Impliquer toutes les parties prenantes : Dès le début du projet, obtenez l’adhésion des équipes IT et des collaborateurs en communiquant sur les enjeux et les avantages du ZTNA.
- Automatiser les processus liés aux politiques d’accès : L’automatisation des contrôles d’accès basés sur la localisation, l’heure ou l’appareil réduit les erreurs humaines et améliore l’efficacité.
- Définir des contrôles de sécurité complémentaires : Bien que le ZTNA sécurise l’accès au réseau, il peut être complété par d’autres solutions, comme des pare-feux ou des EDR (Endpoint Detection and Response).
- Auditer régulièrement vos politiques ZTNA : Ajustez-les en fonction des nouvelles menaces et des évolutions de votre infrastructure IT.
FAQs sur le ZTNA
Quel est un exemple de ZTNA ?
Des solutions comme Smart ID pour Workforce, sont des exemples de ZTNA. Cette solution permet aux employés de se connecter en toute sécurité aux applications internes de l’entreprise, sans nécessiter de VPN traditionnel. Le ZTNA se charge de la vérification de l’identité, de l’état de l’appareil, et d’autres critères contextuels.
Quels sont les principaux composants d’une solution ZTNA ?
Les principaux composants d’une solution ZTNA incluent un courtier ou proxy SDP, une passerelle dans le Cloud, un client, un service d’authentification, un portail d’auto-gestion et un transport (connexion internet ou intranet).
Comment le ZTNA s’applique-t-il aux environnements multicloud et hybrides ?
Le ZTNA s’intègre aux environnements multicloud et hybrides via le modèle SASE (Secure Access Service Edge). Ce modèle combine des solutions comme le ZTNA, le CASB, le SWG, le FWaaS et le SD-WAN en un service cloud unique, offrant ainsi une plus grande agilité. Pour déployer le ZTNA dans ces environnements, il est conseillé de choisir une solution SASE qui intègre l’accès réseau Zero Trust, avec authentification basée sur l’identité et contrôle granulaire des accès.