Equipementiers
réseaux, fabricants de switch et de VPN, éditeurs de sécurité
: la protection et le contrôle d'accès réseau attisent les convoitises. Tour d'horizon d'un marché en pleine expansion.
Poussée
par l'équipementier Cisco dès 2004 au travers de l'appellation NAC
(Network Admission Control), la méthode de protection et de
contrôle d'accès réseau gagne peu à peu ses lettres
de noblesse."Le contrôle d'accès réseau se situe à la croisée de deux
périmètres habituellement disjoints que sont le poste de travail et le réseau,
dans la mesure où ce dernier peut désormais être amené à vérifier la conformité
du poste et l'autoriser ou non à se connecter", note Gérôme
Billois, responsable sécurité chez Solucom.
Et pour répondre
aux besoins des entreprises de mieux contrôler l'intégrité
(conformité des mises à jour, type d'applications installées...)
et l'absence de menaces (virus, codes malveillants, chevaux de Troie...) des périphériques
amenés à se connecter à son réseau après, les
entreprises peuvent faire appel à plusieurs types de solutions : orientées
matériels (switchs, contrôleurs...) ou bien logiciels,
mais conformes aux recommandations NAC (Cisco), TNC (Trusted Computing Group)
ou encore NAP (Microsoft).
Les
critères de choix | 1 | Approche
proactive/réactive et agents |
2 | Contrôles
d'accès et authentification
| 3 |
OS
supportés des postes clients |
En matière de protection et de contrôle d'accès
réseau, on distingue principalement les solutions proactives et d'autres,
dites réactives. "Les premières vérifient le poste avant
de l'autoriser à dialoguer sur le réseau, tandis que les autres se rapprochent
plus des méthodes d'analyse de trafic réseau basées sur les signatures anti-virales
et de la détection des comportements anormaux", analyse Gérôme
Billois.
Parallèlement, on recense également des offres
dites agent-based se révélant particulièrement
ergonomiques d'un pont de vue utilisateur et d'autres dites agent-less.
Ces dernières, bien que nécessitant moins d'efforts d'administration,
obligeront toutefois l'utilisateur à s'authentifier plusieurs fois.
Ce mode se révélant toutefois pertinent pour les utilisateurs "invités"
et amenés à se connecter de façon ponctuelle au réseau
de l'entreprise.
"Peu d'acteurs proposent aujourd'hui des démarches
intégrées incluant d'une part un contrôle réseau fin aussi bien au niveau 802.1X,
en coupure de niveau 3 ou 2, par le Dynamic Host Configuration Protocol
ou encore via un portail captif, que, d'autre part, des fonctionnalités avancées
sur le poste de travail comme une remise à niveau transparente et automatique
ou encore de l'authentification forte", constate Gérôme
Billois.
Enfin, les offres de protection et de contrôle d'accès
réseau ne permettent pas toutes de supporter les principaux environnements
d'exploitation du marché côté poste client et notamment
Linux (Red Hat, SuSE... ) et Mac OS. Toutes étant bien entendu
interopérables avec les OS de Microsoft. |