Contrôle d’accès réseau Qu’est-ce que le contrôle d’accès réseau (NAC) ?
Le contrôle des accès aux ressources numériques est un enjeu de sécurité informatique primordial pour les organisations. Grâce aux solutions de contrôle d’accès réseau (NAC), les départements informatiques peuvent autoriser ou empêcher l’accès de certains utilisateurs et appareils aux ressources du réseau. Le NAC joue un rôle majeur dans l’octroi de l’accès aux ressources selon le principe du moindre privilège, pierre angulaire de toute stratégie de sécurité zero trust.
- Comprendre le NAC
- En quoi le NAC est-il important ?
- Comment fonctionne le NAC ?
- Quels sont les exemples de NAC ?
- Comment choisir une solution NAC ?
Comprendre le NAC
Les dispositifs de contrôle d’accès réseau empêchent certains utilisateurs et appareils d’accéder aux ressources en fonction des règles fixées par le service informatique. De même que des verrous et des badges de sécurité servent à bloquer l’accès aux ressources physiques situées dans les bâtiments et les locaux d’une entreprise, les dispositifs de contrôle d’accès réseau protègent les ressources numériques connectées au réseau contre les accès non autorisés.
En quoi le NAC est-il important ?
- Sécurité : les dispositifs de contrôle d’accès réseau protègent les ressources contre l’altération et le vol par des individus malveillants. Avec les solutions NAC, seuls les utilisateurs disposant des autorisations requises peuvent accéder au réseau et aux ressources qui s’y trouvent. Certaines peuvent en outre identifier les individus susceptibles de participer à une attaque et mettre en quarantaine ou bloquer leur accès, le temps de mener une enquête plus poussée. Cette fonctionnalité peut empêcher la propagation d’une attaque.
- Confidentialité : les organisations n’ont jamais eu à traiter des volumes de données aussi importants ni aussi variés qu’aujourd’hui. Certaines de ces données sont sensibles et/ou confidentielles. Les solutions de contrôle d’accès réseau permettent aux organisations de déterminer qui peut accéder aux données sur le réseau, depuis quel appareil, à quel moment et de quelle manière, afin de limiter le risque de violation.
- Conformité : les entreprises et autres organisations réglementées sont généralement tenues de se conformer à des obligations de confidentialité et de protection des données, telles que le Règlement général sur la protection des données (RGPD) ou, aux États-Unis, les lois Health Insurance Portability and Accountability Act (HIPAA, relative à la santé et à l’assurance maladie) et Sarbanes-Oxley (SOX, sur la comptabilité des sociétés cotées et la protection des investisseurs). Les solutions NAC aident les organisations à assurer leur conformité à ces réglementations en limitant l’accès aux données, en garantissant la sécurité et la séparation des flux de trafic réseau, et en proposant des options d’enregistrement et de reporting pour les audits.
Comment fonctionne le NAC ?
Le contrôle d’accès réseau repose sur le principe suivant : accorder aux différents utilisateurs et devices (bénéficiaires) différents types d’accès en fonction de leurs besoins. Le concept de granularité désigne le niveau de détail avec lequel un sujet, ses besoins et les autorisations d’accès qui en découlent sont définis et appliqués. Une forte granularité des dispositifs de contrôle d’accès réseau est essentielle pour les approches de sécurité zero trust, qui limitent l’accès d’un sujet aux seules ressources dont celui-ci a besoin pour faire son travail ou remplir ses fonctions.
Pour assurer une protection efficace des ressources, les solutions de contrôle d’accès réseau doivent mettre en œuvre diverses capacités interconnectées en s’appuyant sur une combinaison de technologies.
Quels sont les exemples de NAC ?
Les solutions NAC assurent un accès sécurisé aux ressources déployées au sein d’une organisation. Par exemple, un hôpital utilisera une solution NAC pour profiler, sécuriser et gérer les connexions des appareils IoT autorisés, tout en excluant les autres. Un centre de traitement des commandes aura besoin d’une solution NAC pour authentifier tous les appareils filaires et sans fil qui accèdent à son réseau, notamment les robots, et mettre en œuvre des règles cohérentes en fonction des rôles. Un établissement d’enseignement utilisera une solution NAC pour contrôler l’identité des élèves ou étudiants, des enseignants, des membres du personnel et des invités, et autoriser une segmentation granulaire du trafic sur la base de règles définies.
Comment choisir une solution NAC ?
Voici les principaux éléments à prendre en considération lors du choix de votre solution NAC :
- Interopérabilité et indépendance vis-à-vis des fournisseurs, afin d’éviter le recours à des modules complémentaires coûteux et l’enfermement propriétaire
- Capacité démontrée à assurer la sécurité et la séparation des flux de trafic
- Disponibilité du service, afin de garantir un temps de fonctionnement maximal et la continuité de l’activité
- Évolutivité permettant de prendre en charge des centaines de milliers de terminaux simultanés
- Position dominante sur le marché et distinctions indiquant la capacité de réduction des cyberrisques, comme la mention Cyber CatalystSM de Marsh
Éléments du NAC
| Capacités | Fonction | Technologies |
|---|---|---|
| Visibilité | Savoir à tout moment qui et ce qui est présent sur le réseau | Collecteurs de données physiques ou virtuels ; méthodes de surveillance actives (NMAP, WMI, SNMP, SSH) et passives (SPAN, DHCP, NetFlow/S-Flow/IPFIX) ; profilage des appareils assisté par IA/ML ; inspection de paquets en profondeur |
| Authentification | S’assurer avec certitude qu’un utilisateur ou un appareil est bien ce qu’il prétend être | Authentification 802.1x ; EAP-TLD, RADIUS, TAC-ACS ; authentification multifacteur ; certificats |
| Définition de règles | Définir des règles spécifiant les ressources auxquelles les utilisateurs et les appareils peuvent accéder, et comment | Outils de rédaction de règles acceptant les paramètres contextuels, et notamment le rôle, le type d’appareil, la méthode d’authentification, l’état de santé de l’appareil, les modèles de trafic, l’emplacement et l’heure du jour |
| Autorisation | Déterminer les règles adéquates pour les appareils utilisés, authentifiés | |
| Exécution | Autoriser, refuser ou révoquer l’accès d’un utilisateur ou d’un appareil authentifié à une ressource sur la base de la règle en vigueur appropriée | Intégration et communication bidirectionnelle avec les pare-feux et autres outils de sécurité |
À quoi sert le NAC ?
Une solution NAC comme HPE Aruba Networking ClearPass peut prendre en charge plusieurs cas d’utilisation de connectivité sécurisée dans les organisations :
| NAC pour les invités et les intérimaires | ClearPass Guest facilite et optimise la tâche des réceptionnistes, des animateurs d’événements et d’autres membres du personnel non IT amenés à créer des comptes d’accès réseau temporaires pour un nombre quelconque d’invités par jour. ClearPass Guest propose également un portail d’autoenregistrement qui permet aux visiteurs de créer leurs identifiants de connexion personnels, lesquels sont ensuite stockés dans ClearPass pendant une durée déterminée, puis configurés pour expirer automatiquement à l’issue de cette période. |
|---|---|
| NAC pour le BYOD (Bring Your Own Device) | ClearPass Onboard configure et provisionne automatiquement les appareils mobiles, et permet une connexion sécurisée aux réseaux de l’entreprise. Les employés peuvent configurer eux-mêmes leurs appareils en suivant des instructions pour l’enregistrement et la connectivité. Des certificats uniques par appareil sont appliqués pour garantir que les utilisateurs puissent connecter leurs appareils aux réseaux en toute sécurité avec une interaction informatique minimale. |
| NAC pour l’évaluation de la posture de sécurité des terminaux | Avant toute connexion au réseau de l’entreprise, ClearPass OnGuard évalue la posture de sécurité du terminal ou de l’appareil pour en contrôler la conformité, ce qui permet à l’organisation d’éviter d’introduire des vulnérabilités dans son environnement informatique. |
| NAC pour les devices de l’internet des objets (IoT) | ClearPass Device Insight offre une visibilité à 360 degrés sur les appareils connectés au réseau, en recourant à la cotation des risques et au machine learning pour identifier les devices inconnus et accélérer l’identification. ClearPass Device Insight surveille également le comportement des flux de trafic de façon à renforcer la sécurité. |
| NAC pour les appareils filaires | ClearPass OnConnect permet un contrôle sécurisé des accès filaires pour des appareils tels que les imprimantes et les téléphones VoIP, qui ne sont pas concernés par les techniques d’authentification 802.1x. |
| NAC cloud-native | HPE Aruba Networking Central Cloud Auth s’intègre aux magasins d’identités cloud les plus répandus afin d’offrir une intégration fluide dans le cloud, ainsi que des règles de sécurité s’appuyant sur les rôles pour les utilisateurs et les appareils. |
