Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

VPN et accès distant : comment la 5G va tout changer dans l’entreprise et pourquoi il faut s’y préparer dès à présent

juin 2019 par Yogi Chandiramani, Directeur Technique EMEA, expert CISSP et CCSK de Zscaler

Pour beaucoup d’entre nous, le Wifi a révolutionné la mobilité et l’accès aux ressources informatiques de l’entreprise. En prenant progressivement le pas sur la connexion Ethernet omniprésente à l’époque, le wifi a introduit bien plus qu’une nouvelle manière de se connecter au réseau. Cette technologie a apporté au monde de l’entreprise de nouvelles manières de travailler (à l’extérieur, depuis un terminal de type smartphone) et une plus grande mobilité au sein même des locaux. Mais, revers incontournable de la médaille, elle a aussi introduit de nouveaux risques.

Car dans les débuts de la technologie, alors que celle-ci était — comme bien souvent — mieux comprise par les attaquants que par les entreprises qui la déployaient, l’on a vu apparaitre de nouvelles attaques spécifiques au Wifi, à commencer par de faux points d’accès ou encore l’abus des premiers protocoles d’authentification.

Aujourd’hui, tout cela est plutôt bien maîtrisé : le marché propose des solutions d’accès wifi sécurisées et efficaces et les protocoles d’authentification ont bien évolué (adieu, WEP !). Pour accompagner la mobilité grandissante de leurs collaborateurs, les entreprises ont également déployé des réseaux privés (VPN) performants et bâti leurs infrastructures d’accès à distance, avec notamment de bonnes stratégies de contrôle d’accès aux applications et des règles de contrôle d’accès réseau (NAC) éprouvées.

Une révolution similaire à celle de l’arrivée du wifi se prépare : l’irruption de la 5G !

Tout comme le wifi en son temps, les technologies 5G vont amener bien plus qu’une nouvelle façon de se connecter au réseau. Car les fondements mêmes de la 5G viennent bousculer les habitudes et, si l’on n’y prend pas garde, ils pourront probablement ouvrir des brèches dans les stratégies d’accès distants actuelles.

Car la 5G, de par sa conception, va rendre chaque connexion unique, la priver d’une partie de son contexte (pourtant fort utile au NAC), tout en démultipliant leur nombre, notamment par le biais des objets connectés.

Ainsi, là où jusqu’à présent chaque client au sein de l’entreprise dispose d’une adresse IP locale et sort par la même passerelle Internet, il n’est pas exclu d’imaginer que demain, la 5G soit la seule connexion à la disposition de tous, et que chaque client — y compris dans les murs de l’entreprise — dispose d’une adresse IPv6 directement connectée à Internet. De la même manière, chaque application, hébergée sur Internet en mode SaaS, aura elle aussi son adresse IPv6. La topologie du réseau s’aplatit alors fortement et pour l’entreprise cela signifie que ses VPN et ses stratégies de filtrage et de routage basés sur les adresses IP et une isolation par VLAN, par exemple, ne seront plus efficaces.

La situation sera alors radicalement différente que celle que nous connaissons aujourd’hui : en poussant le modèle à l’extrême, une multitude d’équipements dotés d’une adresse IPv6 connectés directement à Internet par leur fournisseur d’accès (et non l’entreprise), tentera d’accéder à des applications SaaS ou des ressources Cloud professionnelles situées elles aussi sur Internet.

Où se trouve alors le périmètre ici ?? Comment les stratégies de filtrage actuelles vont-elles pouvoir continuer de fonctionner ?? Car l’on comprend vite qu’il sera difficile de ne filtrer que par adresse IP, par exemple, et que de nombreux réseaux privés MPLS pourront peut-être même devenir inutiles par la force des choses.

Zero-Trust et micro-segmentation

L’une des solutions à ce dilemme tient dans le modèle dit « Zero-Trust » et dans la micro-segmentation, deux principes que nous avons déjà présentés de manière plus détaillée lors d’un billet précédent (« Pourquoi le modèle Zero Trust va bouleverser les stratégies VPN et faire reconsidérer la micro-segmentation »).

Bien que ces deux approches n’aient pas été conçues pour répondre spécifiquement à l’irruption des connexions 5G dans l’entreprise, elles adressent toutefois spécifiquement les conséquences amenées par les technologies 5G.

Ainsi dans un monde d’unicité, où le plus petit élément est la paire client – application, et alors que les deux sont directement connectés à Internet sans passer par un point de contrôle central (l’infrastructure de l’entreprise), l’application doit considérer chaque utilisateur comme étant non authentifié. L’authentification doit alors se faire au plus proche de l’application, qui évolue seule dans le grand bain d’Internet et ne peut plus s’appuyer sur un environnement de confiance. C’est le modèle Zéro-Trust.

Et dans un tel contexte, le principe de micro-segmentation est celui qui permet cela de manière optimale et, surtout, transparente pour l’utilisateur. Il s’agit, une fois la connexion établie, pour un client local de détecter automatiquement l’application demandée, et d’appliquer une politique de sécurité prédéfinie adaptée à sa sensibilité. Le client de micro-segmentation pourra par exemple choisir de chiffrer ou non (en associant de manière intelligente les notions de nature et de sensibilité du trafic et les préférences de QoS), le tout sur tous les protocoles usuels TCP et UDP, et bien sûr également applicatifs (SAP, par exemple).

En associant ces deux approches dès à présent, l’entreprise s’affranchira demain totalement des contraintes d’accès réseau reposant sur l’infrastructure. Le recours à la micro-segmentation lui permet en outre de reprendre le contrôle sur les connexions, car le client applique des politiques globales et centrales.

Ainsi tester aujourd’hui le modèle zéro-trust et la micro segmentation permettra, demain, de répondre sereinement aux évolutions des exigences applicatives et du contrôle d’accès – y compris l’irruption de la 5G, mais pas seulement !


Voir les articles précédents

    

Voir les articles suivants