Selon Gartner, les dépenses en solutions de cybersécurité devraient continuer à augmenter pour atteindre 188,3 milliards de dollars cette année. Le cabinet d’études explique cette tendance principalement par la hausse du travail hybride, la transition des sociétés vers des réseaux de type zero trust ainsi que leur passage au cloud. Voici 5 idées reçues sur le passage du VPN au ZTNA…
Au cours des dernières années, de nombreuses entreprises se sont en effet dotées d’une solution d’accès au réseau zero trust (ZTNA). En parallèle, beaucoup d’autres ont été découragées par les efforts nécessaires à la transition vers un modèle d’accès basé sur cette approche, sans parler des opérations d’intégration techniques requises. La problématique ici est de comprendre comment les entreprises peuvent démarrer sans attendre leur transition vers le modèle ZTNA, puis compléter cette transition de façon progressive.
La plupart des difficultés généralement associées aux réseaux privés virtuels (VPN) sont bien identifiées, qu’il s’agisse des problèmes de sécurité liés au chiffrement et à l’authentification, du principe même de ces VPN, qui ne sont plus adaptés à la manière hybride dont les entreprises travaillent aujourd’hui, et bien sûr des implications de sécurité liées à l’autorisation de connexions entrantes vers un emplacement donné.
Le modèle ZTNA est conçu pour résoudre chacun de ces problèmes, en utilisant une couche dans le cloud pour négocier les connexions entre les utilisateurs et les applications.
Pourtant, de nombreuses entreprises peinent à mettre en place une connectivité fiable et rapide aux applications. Un rapport récent de Cisco affirme que 51 % des entreprises interrogées ont eu des difficultés pour permettre à leurs employés d’accéder à leurs ressources internes au cours des 18 derniers mois.
Il n’y a pas de raison pour que la connexion des utilisateurs aux applications soit compliquée. Voici donc les cinq idées reçues les plus souvent communiquées par les entreprises qui hésitent à adopter l’approche ZTNA.
Idée reçue n° 1 : nous n’avons pas les connaissances nécessaires pour créer une politique zero trust.
Deux causes peuvent être à l’origine de ce sentiment. Soit l’entreprise ne connaît pas le paysage applicatif, soit elle ne maîtrise pas les groupes d’utilisateurs et les autorisations d’accès. Ces deux problèmes peuvent être résolus par une migration bien pensée et une planification préalable qui permettra d’identifier les principaux cas d’usage et les données les plus importantes. Cela peut être facilité en créant des partenariats avec d’autres initiatives, notamment des projets de migration vers le cloud. L’enjeu de la découverte des applications peut également être pris en charge par les outils de découverte intégrés aux solutions ZTNA et SSE (Security Service Edge).
Enfin, toute entreprise se dotant d’une solution ZTNA devra systématiquement effectuer une migration par étapes des utilisateurs. Cela lui permettra de mettre en place les bonnes politiques d’accès de façon progressive. Il est essentiel de commencer par les applications et les utilisateurs à haut risque pour des résultats rapides, en élaborant une politique zero trust pour l’accès aux applications à haut risque, puis en faisant migrer les services un à un. La mise en place progressive d’une politique complète servira ainsi de base à la solution d’accès ZTNA.
Idée reçue n° 2 : la mise en œuvre d’un modèle zero trust et d’une solution ZTNA demande un effort très important.
Cette crainte est compréhensible, mais il faut bien noter que le zero trust et le ZTNA ne sont pas la même chose. Il existe d’ailleurs un moyen facile de les découpler. Le zero trust est une approche comparable à une stratégie de sécurité basée sur la suppression systématique de toute confiance accordée à priori. Le terme ZTNA désigne le mécanisme et les technologies permettant de mettre en œuvre le zero trust pour l’accès à distance aux applications.
Cela dit, une solution ZTNA constitue un excellent projet pour faire ses premiers pas vers une application généralisée du zero trust. C’est d’ailleurs le choix de nombreuses entreprises, car elle ne nécessite pas un grand engagement de ressources.
Idée reçue n° 3 : une solution ZTNA ajoutera un client de plus au poste de travail.
Il est vrai que de nombreuses solutions ZTNA disposent d’un client sur le poste de travail (le endpoint) pour gérer les connexions, exécuter des contrôles de posture et assurer l’intégration des fournisseurs d’authentification. Il faut savoir qu’une telle solution peut également être mise en place via des connexions sans client sur un navigateur. Cette option évite certes d’ajouter un agent sur les postes de travail, mais elle prive l’entreprise de nombreux avantages associés au déploiement d’un client.
Ainsi, l’approche optimale repose sur le fait de fournir un agent unique pour tous les aspects d’une architecture SASE, qui ne se contente pas d’offrir un accès à distance mais organise également le trafic des applications Web et cloud, inspecte les contenus, contribue à la prévention des pertes de données (DLP) dans les endpoints.
C’est l’une des raisons pour lesquelles les entreprises doivent toujours envisager leur planification SASE à long terme, et ce dès lors qu’elle opte pour une solution ZTNA en guise de première étape.
Idée reçue n° 4 : le ZTNA ne sert qu’à remplacer les VPN.
S’il est vrai que le ZTNA remplace de nombreux cas d’usage actuellement pris en charge par un VPN, il est aussi choisi par de nombreuses entreprises, initialement, pour permettre à des prestataires externes ou à des tiers d’accéder aux applications internes. Ils n’ont souvent rien à voir avec les outils permettant l’accès à distance aux employés. Ils constituent les premiers cas d’usage parfaits pour le ZTNA, où le même niveau de confiance à priori ne peut pas être appliqué aux appareils ni aux utilisateurs se connectant à l’application ou au réseau.
Le ZTNA offre aussi une rapidité de provisionnement et une évolutivité très utiles en cas de fusion ou d’acquisition d’une entreprise, contrairement aux VPN traditionnels, en particulier dans un contexte plus hybride où la plupart des concentrateurs VPN fonctionnent presque au maximum de leur capacité.
Idée reçue n° 5 : il est impossible de faire fonctionner en parallèle un VPN et une solution ZTNA.
De nombreuses entreprises doivent conserver une capacité VPN de réserve pour leurs applications les plus anciennes. Elles en concluent qu’il est donc préférable de garder le VPN pour tous leurs utilisateurs. Ce raisonnement ne tient pas compte de l’une des principales raisons du déploiement du ZTNA : la possibilité de contrôler les politiques d’accès de façon détaillée, y compris celles qui dépendent des contenus pour l’accès aux applications.
Les solutions ZTNA réduisent les risques d’accès directs non autorisés et d’actions à risque, mais aussi les risques d’attaques par mouvement latéral.
De nombreuses entreprises exécutent leurs solutions VPN et ZTNA en parallèle. Il leur suffit alors d’ajuster les politiques d’accès et de routage du VPN au fil du déploiement de la solution ZTNA afin de réduire les risques associés à une compromission du VPN. Elles peuvent alors achever progressivement leur projet de transformation numérique, en éliminant une à une leurs applications les plus anciennes et autres solutions VoiP, jusqu’à l’abandon final de leur VPN.
L’exécution parallèle de solutions VPN et ZTNA permet également de résoudre certains des problèmes les plus courants des VPN actuellement, à savoir des performances insatisfaisantes, des difficultés de réseau et de connectivité, mais aussi le coût associé à l’acheminement du trafic via un datacenter. La migration du trafic hors d’un VPN en faveur d’une solution ZTNA et une plateforme SASE ou SSE plus large résout ces problèmes et permet une réduction des coûts globaux.
____________________________
Par Julien Fournier, VP Southern Europe chez Netskope
puis