L'essor des solutions d'accès réseau Zero Trust

Une alternative aux solutions VPN, développée par nécessité

Les écueils des VPN d'entreprise

La pandémie mondiale a accéléré une transformation radicale de notre façon de travailler, entraînant une augmentation de la demande de solutions d'accès plus rapides, plus sûres et plus fiables aux applications et données internes des entreprises. Conséquence directe de la COVID-19, une enquête réalisée en mai 2020 auprès d'employeurs américains a révélé que 53 % des collaborateurs à temps plein travaillent désormais à domicile, soit un chiffre sept fois plus élevé qu'en 2019. Après la pandémie, 22 % des personnes interrogées prévoient de continuer à travailler à distance. Cette explosion mondiale du télétravail a révélé les failles des solutions VPN (« Virtual Private Network »). Les VPN d'entreprise sont lents, s'exécutent difficilement sur les appareils mobiles et constituent un environnement vulnérable à la compromission.

Un VPN permet aux utilisateurs d'accéder à un réseau interne en connectant un client VPN (c'est-à-dire un logiciel installé sur l'ordinateur ou l'appareil de l'utilisateur) à un serveur d'accès au réseau (c'est-à-dire un serveur dédié, ou un logiciel installé sur un serveur partagé) situé sur site, derrière un portail VPN, ou dans le cloud, dans le cas des solutions VPN dans le cloud. Son fonctionnement repose sur l'établissement de connexions chiffrées, permettant de protéger les ressources et de gérer l'accès des utilisateurs à un réseau interne. Tous les appareils qui se connectent au VPN sont configurés avec des clés de chiffrement, qui permettent de coder et décoder toutes les informations échangées entre les appareils et le serveur d'accès au réseau. Ce processus ajoute aux connexions réseau une latence limitée, entraînant un ralentissement du trafic sur le réseau.

Dans la réalité, toutefois, les performances des VPN peuvent s'avérer particulièrement exaspérantes, et perturbent souvent la productivité et l'expérience des utilisateurs. Les collaborateurs sont tenus d'utiliser un ensemble distinct d'identifiants pour se connecter aux équipements, ce qui peut perturber les flux de travail. La connexion aux applications est lente, ce qui grève l'efficacité des opérations, et lorsque le VPN tombe en panne, tout travail en cours est brutalement interrompu. Enfin, lorsqu'un VPN est situé loin d'un utilisateur et du serveur auquel il tente d'accéder, l'utilisateur constate une dégradation des performances et une augmentation de la latence. Par exemple, si un utilisateur à San Francisco essaie d'accéder à un site web hébergé sur un serveur situé dans la même ville, mais le service VPN se trouve au Japon, la requête de l'utilisateur doit parcourir la moitié du monde, puis revenir, avant d'établir une connexion au serveur local. Dans le cas d'un VPN dans le cloud, le serveur d'accès au réseau se trouve dans un datacenter différent de celui qui abrite le réseau interne de l'entreprise. Or, cette étape supplémentaire peut ajouter de la latence à chaque requête transitant entre les utilisateurs et le réseau.

La prolifération des appareils mobiles présente un autre défi : celui du nombre élevé d'appareils qui accèdent au réseau et doivent être gérés, notamment les appareils personnels des employés. Pour les collaborateurs nomades, l'accès au réseau peut parfois être ralenti par les clients VPN mobiles, ainsi que par la distance entre l'appareil et le bureau à domicile. En outre, l'expérience peut se révéler lente et peu fiable, même après l'établissement d'une connexion sécurisée. En fin de compte, les entreprises et leurs collaborateurs doivent s'accommoder de phénomènes de latence, de difficultés de connexion et d'une baisse de la productivité.

Les VPN ne sont pas particulièrement adaptés à la gestion des accès sécurisés des utilisateurs avec le niveau de granularité qu'exigent les environnements de travail d'aujourd'hui, décentralisés dans le monde entier ; ils présentent d'importantes failles de sécurité. Les acteurs malveillants ne peuvent pas observer ni intercepter le trafic du VPN depuis l'extérieur, mais s'ils parviennent à franchir le portail VPN et à se procurer des identifiants ou à prendre le contrôle d'un appareil, ils sont alors en mesure de compromettre l'ensemble du réseau de l'entreprise et de provoquer une grave violation de données. Cette préoccupation se révèle encore plus problématique de nos jours, tandis que les acteurs malveillants tirent parti de la pandémie.

De nombreuses applications professionnelles sont aujourd'hui hébergées dans le cloud ou déployées sous forme de solution SaaS (« Software-as-a-Service »), ce qui les rend incompatibles avec les VPN. Ces applications s'appuient généralement sur leurs propres outils et protocoles de sécurité pour offrir un accès sécurisé. Toutefois, dans la mesure où le personnel des équipes informatiques ne peut pas pleinement contrôler ces outils et protocoles, il peut éprouver des difficultés à identifier les utilisateurs qui accèdent aux applications.

Approche Zero Trust

Les solutions VPN n'ont pas été conçues dans l'optique de faciliter le déploiement et la gestion granulaires d'accès utilisateur sécurisés pour les équipes de travail décentralisées modernes. La sécurité Zero Trust constitue une alternative beaucoup plus intéressante ; elle est fondée sur une procédure stricte de vérification de l'identité de chaque utilisateur et chaque appareil tentant d'accéder aux ressources d'un réseau privé, qu'il soit présent à l'intérieur ou à l'extérieur du périmètre du réseau. Aucune technologie spécifique n'est associée à l'architecture Zero Trust ; il s'agit d'une approche holistique de la sécurité des réseaux, qui intègre plusieurs technologies et principes différents. Afin de réduire efficacement vos risques de sécurité avec une solution d'accès réseau Zero Trust (ZTNA, « Zero Trust Network Access »), vous devez dissimuler les applications au public et mettre en oeuvre un mécanisme permettant de vérifier chaque requête – idéalement, sur un réseau mondial extrêmement performant.

La solution Cloudflare Access propose un accès ZTNA sur un réseau gigantesque, agnostique vis-à-vis du cloud et véritablement mondial, couvrant 310 villes et 120 pays. Elle remplace le VPN d'entreprise par une couche de protection avec gestion de l'identité placée en amont des ressources internes et vérifie les identifiants d'authentification unique (Single Sign On, SSO) de vos collaborateurs à la place d'un client VPN. Au lieu de voir leur trafic dirigé vers un équipement VPN connecté à un réseau, les collaborateurs qui accèdent aux applications internes sont ainsi connectés au datacenter le plus proche d'eux. Puisque l'authentification se déroule à la périphérie du réseau (à seulement 50 ms de tout utilisateur ou équipement connecté à Internet), cette procédure permet d'accélérer l'authentification et de sécuriser l'accès.

La proximité des datacenters de Cloudflare permet à Access d'authentifier les utilisateurs plus rapidement, sans recourir à un VPN, tout en protégeant les applications internes et le réseau avec des mécanismes d'authentification extrêmement rapides et sûrs. Les phénomènes de latence du réseau sont éliminés. Le laborieux processus de gestion des contrôles utilisateur devient plus simple, et l'accès à distance devient sécurisé, évolutif et mondial. Par ailleurs, vous n'avez plus besoin d'héberger vos applications et ressources internes sur un réseau privé ; à la place, vous pouvez les déployer où bon vous semble, au sein d'un environnement sur site, hybride ou multicloud, en toute sécurité.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.

Points clés

Cet article vous permettra de comprendre les points suivants :

• Les écueils de la technologie VPN traditionnelle

• Comment l'architecture Zero Trust a imposé une nouvelle norme de sécurité

• Les avantages liés à la mise en œuvre d'un réseau cloud mondial

Ressources associées

• Rapport Omdia Market Radar: Zero Trust Access (en anglais)

• Étude Forrester Opportunity Snapshot: Zero Trust (en anglais)

• Qu'est-ce que la sécurité Zero Trust ?

• Plateforme ZTNA Cloudflare