Les technologies de contrôle d’accès réseau permettent désormais de répondre à ces problématiques. Il est néanmoins indispensable de rester attentif à l’élément clé de la réussite d’un projet de contrôle d’accès : la définition de sa stratégie de protection.

De multiples technologies mais une cinématique similaire

Les solutions historiques de contrôle d’accès (filtrage des adresses MAC, activation des ports à la demande) ne sont aujourd’hui plus viables au regard des nouveaux enjeux (rationalisation des tâches d’administration, mobilité interne transparente…). De plus ces mécanismes historiques ne permettent pas de répondre aux nouveaux besoins exprimés par les RSSI : l’ajout des fonctionnalités de contrôle de la conformité des équipements.

Le principe général de ces solutions consiste à intercepter la phase de connexion du poste et à réaliser une vérification de son identité et de sa conformité. Ces solutions reposent ainsi sur trois composants majeurs :

– Un client, présent sur le poste de travail, qui collecte les informations nécessaires au contrôle et les envoie à l’infrastructure de connexion ;

– Le point de contrôle, présent sur le réseau, qui relaie les informations du client et applique la politique de contrôle. Il peut s’agir d’un commutateur pour le 802.1x, mais également d’un routeur, d’un pare-feu, voir d’un serveur DHCP ou d’un serveur applicatif ;

– Le référentiel d’identité et de conformité, qui vérifie les informations d’authentification et de conformité, et si besoin remet à niveau le poste de travail.

Les fonctionnalités d’authentification du poste sont aujourd’hui celles qui sont le plus standardisées, en particulier grâce au 802.1x et aux différentes méthodes EAP. Le contrôle de conformité repose sur les mêmes technologies mais ajoute la nécessité d’avoir un référentiel commun, suivi et maintenu à jour à l’échelle de l’entreprise ce qui en complexifie le déploiement.

Une stratégie de protection à établir pour identifier les technologies adaptées

Même si le 802.1x est la solution qui attire le plus l’attention, il existe aujourd’hui de nombreux mécanismes de contrôle d’accès et de conformité. Leur différence réside dans le positionnement du point de contrôle. Plus le contrôle est proche des postes de travail, plus il protège globalement l’infrastructure réseau (par exemple le 802.1x qui réalise le contrôle directement sur le port). Au contraire, plus le contrôle est proche des ressources à protéger, plus il peut être précis (par exemple en imaginant un pare-feu assurant un contrôle de conformité à l’entrée du datacenter).

Il est donc indispensable d’analyser précisément ses besoins et les risques dont on souhaite se prémunir pour choisir le mécanisme le plus adapté à son contexte.

Par exemple, le 802.1x pourra être déployé sur les sites critiques (siège, centre de R&D…) afin de protéger le réseau au plus près des ressources. Les sites distants (par exemple le réseau d’agences) pourront être protégés au niveau du point d’interconnexion, garantissant ainsi un bon niveau de sécurité du réseau WAN sans requérir de déploiements longs et coûteux sur les LAN.

Des facteurs clés à ne pas négliger

Les premiers retours d’expérience d’intégrations de ces solutions confirment l’importance de prendre en compte les points ci-dessous :
– Faciliter l’adoption du projet en choisissant une solution transparente pour les utilisateurs et en proposant de nouveaux usages, tels que l’accès au réseau pour les invités.
– Assurer une forte coordination des équipes poste de travail, réseau et sécurité au regard des composants d’infrastructure impactés.
– Prendre en compte les périphériques passifs, en particulier les imprimantes et les téléphones sur IP, trop souvent omis lors des projets alors qu’ils peuvent représenter plus de 40% du parc des équipements connectés sur le réseau.

Les premiers déploiements centrés sur l’authentification du poste de travail ont montré que la technologie était viable et apportait une augmentation pérenne du niveau de sécurité. Les solutions de contrôle d’accès et de conformité atteignent aujourd’hui un seuil de maturité qui permet d’envisager leur évaluation et mise en œuvre sur des périmètres significatifs. La définition de la stratégie de protection et de l’organisation à la cible reste évidemment un point clé pour démarrer son projet de contrôle d’accès.