Nous contacter
Nous contacter

ZTNA : Accรจs rรฉseau Zero Trust

Cadre Zero Trust

Expliquer le cadre Zero Trust

Le modรจle traditionnel de sรฉcuritรฉ du rรฉseau รฉtait axรฉ sur le pรฉrimรจtre et fortement basรฉ sur la confiance. Lโ€™idรฉe de base รฉtait la suivanteโ€ฏ: toutes les menaces provenaient de lโ€™extรฉrieur du rรฉseau et nโ€™importe qui se trouvait ร  lโ€™intรฉrieur du pรฉrimรจtre du rรฉseau รฉtait un initiรฉ de confiance. En dรฉployant des dรฉfenses au niveau du pรฉrimรจtre du rรฉseau, les entreprises ont tentรฉ dโ€™identifier les logiciels malveillants et dโ€™autres menaces, et de les empรชcher de pรฉnรฉtrer dans le rรฉseau.

Cette approche de la sรฉcuritรฉ du rรฉseau pose de multiples problรจmes, notamment la dissolution du pรฉrimรจtre rรฉseau, le risque de menaces internes et le fait que les solutions de sรฉcuritรฉ rรฉseau offrent une protection imparfaite. Pour rรฉsoudre ces problรจmes, John Kindervag, alors vice-prรฉsident et analyste principal de Forrester Research, a รฉlaborรฉ le concept dโ€™une stratรฉgie de sรฉcuritรฉ dite de confiance zรฉro, basรฉe sur le concept que toute confiance accordรฉe ร  une politique de sรฉcuritรฉ est une vulnรฉrabilitรฉ potentielle.

Dans le cadre dโ€™une stratรฉgie de sรฉcuritรฉ Zero Trust, on va de la confiance accordรฉe implicitement aux initiรฉs et de la mรฉfiance envers les tiers au refus dโ€™accorder automatiquement la confiance ร  quiconque. Au lieu de cela, lโ€™accรจs et les autorisations sont accordรฉs au cas par cas en fonction des besoins de lโ€™entreprise et des exigences des rรดles. Pour une bonne introduction ร  la confiance zรฉro, lisez la suite surย lโ€™architecture de confiance zรฉro.

Quโ€™est-ce quโ€™un rรฉseau Zero Trustโ€ฏ?

La mise en ล“uvre de principes de confiance zรฉro dans lโ€™environnement dโ€™une entreprise conduit au dรฉveloppement dโ€™un rรฉseau deย confiance zรฉro. Il sโ€™agit dโ€™un rรฉseau qui met en ล“uvre et applique des politiques de confiance zรฉro, telles que lโ€™accรจs au rรฉseau de confiance zรฉro (ZTNA) ou le pรฉrimรจtre dรฉfini par logiciel (SDP), de maniรจre cohรฉrente dans lโ€™ensemble de lโ€™environnement dโ€™une entreprise.

Ci-dessous, nous dรฉcrivons comment passer dโ€™un modรจle de sรฉcuritรฉ traditionnel basรฉ sur un pรฉrimรจtre ร  un rรฉseau de confiance zรฉro capable de rรฉpondre et de gรฉrer les cybermenaces modernes.

ร‰tapeโ€ฏ1โ€ฏ: Identifier une surface de protection

La gestion de lโ€™accรจs aux actifs de lโ€™entreprise est un principe central dโ€™une stratรฉgie de sรฉcuritรฉ de confiance zรฉro. Comme mentionnรฉ prรฉcรฉdemment, les politiques de confiance zรฉro donnent accรจs aux ressources au cas par cas en fonction de contrรดles dโ€™accรจs basรฉs sur les rรดles. Et pour รชtre en mesure de gรฉrer lโ€™accรจs aux ressources, les entreprises doivent savoir ce que sont ces ressources.

Une รฉtape critique dans le dรฉveloppement dโ€™un rรฉseau de confiance zรฉro est de dรฉfinir la surface de protection, qui est composรฉe des ressources quโ€™une entreprise souhaite sรฉcuriser. Une surface de protection se compose du ยซโ€ฏDAASโ€ฏยป dโ€™une entreprise, cโ€™est-ร -direโ€ฏ:

  • Donnรฉes:โ€ฏLโ€™une des raisons les plus courantes de lโ€™adoption dโ€™une stratรฉgie de confiance zรฉro est dโ€™รฉviter les violations de donnรฉes et de respecter les exigences de conformitรฉ des rรฉglementations en matiรจre de protection des donnรฉes. Lโ€™identification et la classification des donnรฉes dโ€™une entreprise sont essentielles pour gรฉrer correctement lโ€™accรจs ร  ces ressources.
  • Actifsโ€ฏ:โ€ฏLโ€™entreprise moderne dispose dโ€™un large รฉventail dโ€™actifs, y compris les ordinateurs traditionnels, les appareils mobiles, les ressources basรฉes sur le cloud et les appareils de lโ€™Internet des objets (IdO). En raison de lโ€™essor du tรฉlรฉtravail et des appareils mobiles, de nombreuses entreprises peinent ร  maintenir une visibilitรฉ sur lโ€™ensemble de leur catalogue dโ€™actifs. Il est essentiel de combler ces lacunes en matiรจre de visibilitรฉ pour dรฉployer efficacement la confiance zรฉro.
  • Applicationsโ€ฏ:โ€ฏLes applications sont des ressources prรฉcieuses pour toute entreprise et une cible commune des cyberattaques. Lโ€™exploitation des vulnรฉrabilitรฉs des applications peut fournir ร  un assaillant un accรจs ร  des donnรฉes prรฉcieuses ou une base ร  partir de laquelle il peut exploiter dโ€™autres cibles. Les entreprises ont besoin dโ€™une liste complรจte de leurs applications dโ€™entreprise pour dรฉvelopper une stratรฉgie afin de les sรฉcuriser.
  • Servicesโ€ฏ:โ€ฏParce que le cloud ne cesse de croรฎtre, de nombreuses entreprises utilisent ou offrent des services cloud. Ces services constituent รฉgalement des vulnรฉrabilitรฉs potentielles et des vecteurs dโ€™attaque pour les cybercriminels, et doivent รฉgalement รชtre identifiรฉs et protรฉgรฉs.

ร‰tapeโ€ฏ2โ€ฏ: Explorer les interdรฉpendances

Les rรฉseaux de confiance zรฉro fonctionnent sur le principe du moindre privilรจge. Cela veut dire que les utilisateurs reรงoivent uniquement les autorisations dont ils ont besoin pour faire leur travail.

Pour attribuer correctement ces autorisations, les entreprises doivent comprendre lโ€™accรจs et les autorisations dont leurs employรฉs et leurs ressources informatiques ont besoin pour remplir leurs rรดles. La meilleure maniรจre dโ€™y parvenir est de surveiller les tรขches rรฉalisรฉes dans le cadre des activitรฉs quotidiennes de lโ€™organisation.

En surveillant leur rรฉseau, les entreprises peuvent dresser un plan des communications et des interdรฉpendances entre leur ยซโ€ฏDAASโ€ฏยป, leur infrastructure, leurs services et leurs utilisateurs. En visualisant ces flux de rรฉseau, il est possible de dรฉterminer quelles communications devraient รชtre autorisรฉes dans le cadre dโ€™une politique de confiance zรฉro et lesquelles devraient รชtre bloquรฉes comme รฉtant inappropriรฉes ou inutiles.

Cet examen des dรฉpendances et des modรจles de communication au sein du rรฉseau dโ€™une entreprise aide ร  prรฉparer le terrain pour le dรฉploiement dโ€™une stratรฉgie de confiance zรฉro, mais ce nโ€™est pas le seul avantage. Si des flux anormaux ou suspects sont dรฉtectรฉs, cela peut dรฉclencher des activitรฉs de rรฉponse aux incidents qui aident les entreprises ร  รฉradiquer les infections au sein de leurs rรฉseaux.

ร‰tapeโ€ฏ3โ€ฏ: Mettre en place une micro-segmentation

Les contrรดles dโ€™accรจs sont gรฉnรฉralement appliquรฉs aux limites du rรฉseau oรน le trafic est acheminรฉ via une appliance de sรฉcuritรฉ rรฉseau. Pour mettre en ล“uvre une stratรฉgie de confiance zรฉro, les entreprises doivent avoir un bon nombre de ces limites pour fournir une protection granulaire et un contrรดle dโ€™accรจs aux ressources de lโ€™entreprise.

La crรฉation de limites de rรฉseau ร  travers le rรฉseau dโ€™entreprise requiert la mise en ล“uvre de la micro-segmentation. La micro-segmentation place chaque actif de lโ€™entreprise dans son propre pรฉrimรจtre et effectue la surveillance et le filtrage du trafic au niveau de la Couche 7.

Cette surveillance de la Couche 7 est essentielle pour obtenir la visibilitรฉ requise pour une confiance zรฉro. En raison de lโ€™essor de lโ€™informatique cloud et des modรจles de prestation de services, lโ€™analyse du trafic de Couche 3/4 ne fournit plus la granularitรฉ et la visibilitรฉ nรฉcessaires pour dรฉterminer lโ€™objectif du trafic rรฉseau. Avec lโ€™analyse de la Couche 7, les entreprises peuvent visualiser les donnรฉes de la couche application et les inclure dans leurs dรฉcisions de contrรดle dโ€™accรจs.

Lors de lโ€™รฉlaboration dโ€™une politique de micro-segmentation, la mรฉthode de Kipling peut sโ€™avรฉrer une ressource utile. Elle dรฉfinit une politique de confiance zรฉro basรฉe sur la rรฉponse ร  six questions, notammentโ€ฏ:

  1. Quiย fait la demande?
  2. Quโ€™est-il exigรฉ de la ressourceโ€ฏ?
  3. Dโ€™oรนย provient la demande?
  4. Quandย la demande a-t-elle รฉtรฉ faiteโ€ฏ?
  5. Pourquoiย lโ€™utilisateur a-t-il besoin dโ€™accรฉder ร  cette ressourceโ€ฏ?
  6. Commentโ€ฏlโ€™utilisateur demande-t-il lโ€™accรจsโ€ฏ?

En rรฉpondant ร  ces questions, les entreprises peuvent dรฉterminer si une demande particuliรจre est conforme ou non ร  ses politiques de sรฉcuritรฉ. Par exemple, lโ€™accรจs ร  une ressource particuliรจre peut รชtre autorisรฉ uniquement ร  partir de certains ordinateurs, mais une demande dโ€™accรจs peut รชtre effectuรฉe ร  partir de lโ€™appareil dโ€™un tรฉlรฉtravailleur. Mรชme si le tรฉlรฉtravailleur dispose dโ€™un accรจs lรฉgitime ร  la ressource, la demande ne doit pas รชtre accordรฉe si elle provient du mauvais appareil. Savoir non seulementโ€ฏQui, maisโ€ฏCe qui, est essentiel pour prendre la bonne dรฉcision en matiรจre de contrรดle dโ€™accรจs.

Prรฉparation ร  votre parcours Zero Trust

Les รฉvรฉnements rรฉcents ont dรฉmontrรฉ que les stratรฉgies de sรฉcuritรฉ traditionnelles ne fonctionnent tout simplement pas. Les violations de donnรฉes sont quotidiennes, les attaques par ransomware se multiplient et les autres cybermenaces nโ€™ont pas disparu. Les entreprises ont plus que jamais besoin deโ€ฏsรฉcuriser leurs personnels distants.

La mise en ล“uvre dโ€™un rรฉseau de confiance zรฉro est un processus en plusieurs รฉtapes, mais lโ€™รฉtape la plus importante est la sรฉlection des solutions de sรฉcuritรฉ appropriรฉes pour mettre en ล“uvre les politiques de confiance zรฉro de lโ€™entreprise. Les solutions de sรฉcuritรฉ existantes nโ€™ont pas la portรฉe ou la granularitรฉ de sรฉcuritรฉ suffisantes pour appliquer des politiques de confiance zรฉro. Le ZTNA fait partie intรฉgrante du cadre SASE (Secure Access Service Edge) de Gartner et constitue une alternative idรฉale aux solutions traditionnelles.

Le SASE rend la mise en ล“uvre du Zero Trust simple et sans souci. Avec le SASE, tout le trafic passe par un point de prรฉsence (PoP) SASE, ce qui permet lโ€™analyse du trafic de Couche 7 et lโ€™application de la politique de sรฉcuritรฉ. Le SASE a รฉgalement la capacitรฉ dโ€™appliquer des politiques de confiance zรฉro pour un personnel distant avec le ZTNA, ce qui est de plus en plus vital pour lโ€™entreprise moderne. Pour en savoir plus, consultez le lien suivant sur les fonctionnalitรฉsย ZTNA du SASE.

Cato Networks est un leader de lโ€™espace du SASE et a รฉtรฉ reconnu ร  plusieurs reprises dans leย Guide du marchรฉ ZTNA de Gartnerย comme fournisseur des solutions de rรฉseau et de sรฉcuritรฉ dont les entreprises auront besoin ร  lโ€™avenir. Pour en savoir plus sur la faรงon dโ€™utiliser le SASE pour mettre en ล“uvre le Zero Trust,โ€ฏcontactez-nous. Vous pouvez รฉgalement demander uneย dรฉmoโ€ฏpour dรฉcouvrir par vous-mรชme les fonctionnalitรฉs de Cato SASE Cloud.

FAQ

  • Quโ€™est-ce que Zero Trust Network Access (ZTNA) ?

    Zero Trust Network Access est une approche moderne pour sรฉcuriser lโ€™accรจs aux applications et aux services. Le ZTNA refuse ร  tout le monde lโ€™accรจs ร  une ressource sauf autorisation explicite. Cette approche permet de renforcer la sรฉcuritรฉ du rรฉseau et la microsegmentation, ce qui peut limiter le mouvement latรฉral en cas de violation.

  • En quoi le ZTNA est-il diffรฉrent du pรฉrimรจtre dรฉfini par logiciel (SDP)โ€‰?

    Le SDP et le ZTNA sont aujourdโ€™hui fonctionnellement identiques. Les deux dรฉcrivent une architecture qui refuse ร  tout le monde lโ€™accรจs ร  une ressource sauf autorisation explicite.

  • Pourquoi ZTNA est-il important ?

    Le ZTNA est non seulement plus sรฉcurisรฉ que les solutions rรฉseau traditionnelles, mais il est รฉgalement conรงu pour lโ€™entreprise dโ€™aujourdโ€™hui. Les utilisateurs travaillent partout โ€” pas seulement dans les bureaux โ€” et les applications et les donnรฉes migrent de plus en plus vers le cloud. Les solutions dโ€™accรจs doivent รชtre en mesure de reflรฉter ces changements. Avec le ZTNA, lโ€™accรจs ร  lโ€™application peut sโ€™ajuster dynamiquement en fonction de lโ€™identitรฉ de lโ€™utilisateur, de lโ€™emplacement, du type dโ€™appareil, etc.

  • Comment fonctionne le ZTNA ?

    ZTNA utilise des politiques dโ€™accรจs granulaires au niveau de lโ€™application dรฉfinies sur le refus par dรฉfaut pour tous les utilisateurs et appareils. Un utilisateur se connecte et sโ€™authentifie par rapport ร  un contrรดleur Zero Trust, qui met en ล“uvre la politique de sรฉcuritรฉ appropriรฉe et vรฉrifie les attributs de lโ€™appareil. Une fois que lโ€™utilisateur et lโ€™appareil satisfont aux exigences spรฉcifiรฉes, lโ€™accรจs est accordรฉ ร  des applications et ressources rรฉseau spรฉcifiques en fonction de lโ€™identitรฉ de lโ€™utilisateur. Le statut de lโ€™utilisateur et de lโ€™appareil est continuellement vรฉrifiรฉ pour maintenir lโ€™accรจs.

  • En quoi le ZTNA est-il diffรฉrent du VPN ?

    Le ZTNA utilise une approche dโ€™authentification dโ€™identitรฉ selon laquelle tous les utilisateurs et les appareils sont vรฉrifiรฉs et authentifiรฉs avant dโ€™รชtre autorisรฉs ร  accรฉder ร  tout actif basรฉ sur le rรฉseau. Les utilisateurs ne peuvent voir et accรฉder quโ€™aux ressources spรฉcifiques qui leur sont autorisรฉes par la politique.

    Un VPN est une connexion rรฉseau privรฉe basรฉe sur un tunnel sรฉcurisรฉ virtuel entre lโ€™utilisateur et un point terminal gรฉnรฉral dans le rรฉseau. Lโ€™accรจs est basรฉ sur les informations dโ€™identification de lโ€™utilisateur. Une fois que les utilisateurs se connectent au rรฉseau, ils peuvent voir toutes les ressources sur le rรฉseau avec seulement des mots de passe restreignant lโ€™accรจs.

  • Comment puis-je mettre en ล“uvre le ZTNA ?

    Dans le ZTNA initiรฉ par le client, un agent installรฉ sur un appareil autorisรฉ envoie des informations sur le contexte de sรฉcuritรฉ de cet appareil ร  un contrรดleur. Le contrรดleur invite lโ€™utilisateur de lโ€™appareil ร  sโ€™authentifier. Une fois que lโ€™utilisateur et lโ€™appareil sont tous deux authentifiรฉs, le contrรดleur fournit une connectivitรฉ ร  partir de lโ€™appareil, comme un pare-feu de nouvelle gรฉnรฉration capable dโ€™appliquer plusieurs politiques de sรฉcuritรฉ. Lโ€™utilisateur ne peut accรฉder quโ€™aux applications explicitement autorisรฉes.
    Dans le ZTNA initiรฉ par les services, un connecteur installรฉ dans le mรชme rรฉseau que lโ€™application รฉtablit et maintient une connexion sortante au cloud du fournisseur. Lโ€™utilisateur qui demande lโ€™accรจs ร  lโ€™application est authentifiรฉ par un service dans le cloud, qui est suivi dโ€™une validation par un produit de gestion dโ€™identitรฉ tel quโ€™un outil dโ€™authentification unique. Le trafic applicatif transite par le cloud du fournisseur, ce qui offre une isolation contre lโ€™accรจs direct et les attaques via un proxy. Aucun agent nโ€™est requis sur lโ€™appareil de lโ€™utilisateur.

  • Le ZTNA remplacera-t-il le SASEโ€‰?

    Le ZTNA nโ€™est quโ€™une petite partie du SASE. Une fois que les utilisateurs sont autorisรฉs et connectรฉs au rรฉseau, les responsables informatiques doivent toujours se protรฉger contre les menaces liรฉes au rรฉseau. Les responsables informatiques ont encore besoin de lโ€™infrastructure et des capacitรฉs dโ€™optimisation adรฉquates pour protรฉger lโ€™expรฉrience utilisateur. De plus, ils doivent toujours gรฉrer leur dรฉploiement global.
    Le SASE rรฉpond ร  ces dรฉfis en regroupant le ZTNA avec une gamme complรจte de services de sรฉcuritรฉ โ€” NGFW, SWG, anti-malware et MDR โ€” et avec des services rรฉseau tels que SD-WAN, optimisation WAN et agrรฉgation de base passante.

  • Quelles capacitรฉs de sรฉcuritรฉ manque-t-il au ZTNA ?

    Le ZTNA rรฉpond au besoin dโ€™un accรจs sรฉcurisรฉ au rรฉseau et aux applications, mais il nโ€™exรฉcute pas de fonctions de sรฉcuritรฉ telles que la vรฉrification des logiciels malveillants, la dรฉtection et la correction des cybermenaces, la protection des appareils de navigation Web contre les infections et lโ€™application des politiques de lโ€™entreprise sur tout le trafic rรฉseau. Cโ€™est pourquoi la gamme complรจte de services de sรฉcuritรฉ du SASE est un complรฉment au ZTNA.

  • Comment Zero Trust et SASE travaillent-ils ensemble ?

    Avec le SASE, la fonction de contrรดleur ZT fait partie du PoP SASE et un connecteur sรฉparรฉ nโ€™est pas nรฉcessaire. Les appareils se connectent au PoP du SASE, sont validรฉs et les utilisateurs nโ€™ont accรจs quโ€™aux applications (et sites) autorisรฉs par SASE Next-Generation Firewall (NGFW) et Secure Web Gateway (SWG).
    SASE rรฉpond ร  dโ€™autres besoins de sรฉcuritรฉ et de connectivitรฉ en regroupant ZTNA avec une gamme complรจte de services de sรฉcuritรฉ โ€” NGFW, SWG, anti-malware et MDR โ€” et avec des services rรฉseau tels que SD-WAN, optimisation WAN et agrรฉgation de bande passante. Les entreprises qui tirent parti du SASE bรฉnรฉficient des avantages du Zero Trust Network Access ainsi que dโ€™une gamme complรจte de solutions de rรฉseau et de sรฉcuritรฉ, le tout convergรฉ dans un package simple ร  gรฉrer, optimisรฉ et hautement รฉvolutif.

ISO 27001 Certified
SOC2 Approved
GDPR Compliant
Copyright ยฉ 2026. All rights reserved.