Qu’est-ce que le contrôle d’accès réseau (NAC) ?

Le contrôle des accès aux ressources numériques est un enjeu de sécurité informatique primordial pour les organisations. Grâce aux solutions de contrôle d’accès réseau (NAC), les départements informatiques peuvent autoriser ou empêcher l’accès de certains utilisateurs et appareils aux ressources du réseau. Le NAC joue un rôle majeur dans l’octroi de l’accès aux ressources selon le principe du moindre privilège, pierre angulaire de toute stratégie de sécurité zero trust.

Présentation du contrôle d’accès réseau

Les dispositifs de contrôle d’accès réseau empêchent certains utilisateurs et appareils d’accéder aux ressources en fonction des règles fixées par le département informatique. De même que des verrous et des badges de sécurité servent à bloquer l’accès aux ressources physiques situées dans les bâtiments et les locaux d’une entreprise, les dispositifs de contrôle d’accès réseau protègent les ressources numériques connectées au réseau contre les accès non autorisés.

En quoi le contrôle d’accès réseau est-il important ?

  • Sécurité : les dispositifs de contrôle d’accès réseau protègent les ressources contre l’altération et le vol par des individus malveillants. Avec les solutions NAC, seuls les utilisateurs disposant des autorisations requises peuvent accéder au réseau et aux ressources qui s’y trouvent. Certaines peuvent en outre identifier les individus susceptibles de participer à une attaque et mettre en quarantaine ou bloquer leur accès, le temps de mener une enquête plus poussée. Cette fonctionnalité peut empêcher la propagation d’une attaque.
  • Confidentialité : les organisations n’ont jamais eu à traiter des volumes de données aussi importants ni aussi variés qu’aujourd’hui. Certaines de ces données sont sensibles et/ou confidentielles. Les solutions de contrôle d’accès réseau permettent aux organisations de déterminer qui peut accéder aux données sur le réseau, depuis quel appareil, à quel moment et de quelle manière, afin de limiter le risque de violation.
  • Conformité : les entreprises et autres organisations réglementées sont généralement tenues de se conformer à des obligations de confidentialité et de protection des données, telles que le Règlement général sur la protection des données (RGPD) ou, aux États-Unis, les lois Health Insurance Portability and Accountability Act (HIPAA, relative à la santé et à l’assurance maladie) et Sarbanes-Oxley (SOX, sur la comptabilité des sociétés cotées et la protection des investisseurs). Les solutions NAC aident les organisations à assurer leur conformité à ces réglementations en limitant l’accès aux données, en garantissant la sécurité et la séparation des flux de trafic réseau, et en proposant des options d’enregistrement et de reporting pour les audits.

Comment fonctionne le contrôle d’accès réseau ?

Le contrôle d’accès réseau repose sur le principe suivant : accorder aux différents utilisateurs et appareils (sujets) divers types d’accès, en fonction de leurs besoins. Le concept de granularité désigne le niveau de détail avec lequel un sujet, ses besoins et les autorisations d’accès qui en découlent sont définis et appliqués. Une forte granularité des dispositifs de contrôle d’accès réseau est essentielle pour les approches de sécurité zero trust, qui limitent l’accès d’un sujet aux seules ressources dont celui-ci a besoin pour faire son travail ou remplir ses fonctions.

Pour assurer une protection efficace des ressources, les solutions de contrôle d’accès réseau doivent mettre en œuvre diverses capacités interconnectées en s’appuyant sur une combinaison de technologies.

Éléments du contrôle d’accès réseau

CapacitésFonctionTechnologies
VisibilitéSavoir qui et ce qui se trouve sur le réseau à tout momentCollecteurs de données physiques ou virtuels ; méthodes de surveillance actives (NMAP, WMI, SNMP, SSH) et passives (SPAN, DHCP, NetFlow/S-Flow/IPFIX) ; profilage des appareils assisté par IA/ML ; inspection de paquets en profondeur
AuthentificationS’assurer qu’un utilisateur ou un appareil est bien ce qu’il prétend êtreAuthentification 802.1x ; EAP-TLS, RADIUS, TAC-ACS ; authentification multifacteur ; certificats
Définition de règlesDéfinir des règles spécifiant les ressources auxquelles les utilisateurs et les appareils peuvent accéder, et commentOutils de rédaction de règles acceptant notamment les paramètres contextuels suivants : rôle, type d’appareil, méthode d’authentification, état de santé de l’appareil, modèles de trafic, emplacement et moment de la journée
AutorisationDéterminer les règles adéquates pour les utilisateurs et appareils authentifiés 
ExécutionAutoriser, refuser ou révoquer l’accès d’un utilisateur ou appareil authentifié à une ressource en fonction de la règle applicableIntégration et communication bidirectionnelle avec les pare-feu et autres outils de sécurité

Quelques exemples de contrôle d’accès réseau

Les solutions NAC permettent l’accès sécurisé aux ressources déployées dans l’ensemble d’une organisation. Par exemple, un hôpital utilisera une solution NAC pour profiler, sécuriser et gérer les connexions des appareils IoT autorisés, tout en excluant les autres. Un centre de traitement des commandes aura besoin d’une solution NAC pour authentifier tous les appareils filaires et sans fil qui accèdent à son réseau, notamment les robots, et mettre en œuvre des règles cohérentes en fonction des rôles. Un établissement d’enseignement utilisera une solution NAC pour contrôler l’identité des élèves ou étudiants, des enseignants, des membres du personnel et des invités, et permettre une segmentation granulaire du trafic sur la base de règles déterminées.

Exemples de contrôle d’accès au sein d’un réseau d’entreprise

À quelles fins le contrôle d’accès réseau est-il utilisé ?

Une solution NAC comme HPE Aruba Networking ClearPass peut prendre en charge divers cas d’utilisation de connectivité sécurisée dans les organisations :

NAC pour les invités et les intérimaires Aruba ClearPass Guest permet à différents acteurs (réceptionnistes, animateurs d’événements et autres membres du personnel non IT) de créer des comptes d’accès réseau temporaires pour un nombre quelconque d’invités quotidiens. ClearPass Guest propose également un portail d’autoenregistrement qui permet aux visiteurs de créer leurs identifiants de connexion personnels, lesquels sont ensuite stockés dans ClearPass pendant une durée déterminée et peuvent être configurés pour expirer automatiquement à l’issue de cette période.
NAC pour le BYOD (Bring Your Own Device)ClearPass Onboard configure et provisionne automatiquement les appareils mobiles, et permet une connexion sécurisée aux réseaux de l’entreprise. Les employés peuvent configurer eux-mêmes leurs appareils en suivant des instructions pour l’enregistrement et la connectivité. L’application d’un certificat unique à chaque appareil permet à l’utilisateur de connecter son appareil au réseau en toute sécurité et avec un minimum d’interactions IT.
NAC pour l’évaluation de la posture de sécurité des terminauxAvant toute connexion au réseau de l’entreprise, ClearPass OnGuard évalue la posture de sécurité du terminal ou de l’appareil pour en contrôler la conformité, ce qui permet à l’organisation d’éviter d’introduire des vulnérabilités dans son environnement informatique.
NAC pour les devices de l’internet des objets (IoT)ClearPass Device Insight offre une visibilité à 360 degrés sur les appareils connectés au réseau, en recourant à la cotation des risques et au machine learning pour identifier les périphériques inconnus et accélérer l’identification. ClearPass Device Insight surveille également le comportement des flux de trafic de façon à renforcer la sécurité.
ClearPass Policy Manager profile les appareils qui tentent de se connecter au réseau, et accorde l’accès en fonction du rôle et de l’appareil d’après les règles configurées par le département informatique.
NAC pour les appareils filairesClearPass OnConnect permet un contrôle sécurisé des accès filaires pour des appareils tels que les imprimantes et les téléphones VoIP, qui ne sont pas concernés par les techniques d’authentification 802.1x.
NAC cloud-nativeHPE Aruba Networking Central Cloud Auth s’intègre aux magasins d’identités cloud les plus répandus afin d’offrir une intégration fluide dans le cloud et des règles de sécurité basées sur les rôles pour les utilisateurs et les appareils.

Comment choisir ma solution de contrôle d’accès réseau ?

Voici les principaux éléments à prendre en considération lors du choix de votre solution NAC :

  • Interopérabilité et indépendance vis-à-vis des fournisseurs, afin d’éviter le recours à des modules complémentaires coûteux et l’enfermement propriétaire
  • Capacité démontrée à assurer la sécurité et la séparation des flux de trafic
  • Disponibilité du service, afin de garantir un temps de fonctionnement maximal et la continuité de l’activité
  • Évolutivité permettant de prendre en charge des centaines de milliers de terminaux simultanés
  • Position dominante sur le marché et distinctions reconnaissant la capacité de réduction des cyberrisques – par exemple, mention Cyber CatalystSM de Marsh

Prêts à vous lancer ?