À la fin des années 1990, la technologie VPN a pris d’assaut le monde de l’entreprise. Le réseau pouvait être étendu à tous les foyers et les utilisateurs pouvaient travailler depuis leur domicile comme s’ils étaient au bureau. Mais tout comme les modems téléphonique, les pagers et les magnétoscopes, les VPN d’entreprise sont une relique d’une autre époque et ne répondent plus aux besoins du monde actuel, axé sur le cloud et le mobile.
Une grande entreprise du secteur des soins de santé a réalisé qu’elle devait repenser sa stratégie VPN traditionnelle lorsque la pandémie a frappé et que le télétravail de masse est devenu impératif du jour au lendemain. La sécurité seule ne suffisait pas pour de l’accès à distance : il devait être sécurisé et utilisable. Ils ont cherché à trouver un équilibre et se sont tournés vers l’accès réseau Zero Trust (ZTNA).
Lors d’une récente conversation avec le responsable de l’architecture de sécurité de l’information de l’entreprise, celui-ci m’a fait part de cinq leçons importantes tirées du passage d’un VPN traditionnel à ZTNA.
La satisfaction des utilisateurs a grimpé en flèche avec ZTNA par rapport au VPN
Contrairement au VPN, qui exige de procéder au backhauling du trafic des utilisateurs via un data center d’entreprise et qui ralentit les performances d’Internet, ZTNA connecte les utilisateurs directement aux applications privées. L’entreprise a constaté que même si tout le monde tolérait le VPN, personne ne l’appréciait vraiment. Avec ZPA, la satisfaction des utilisateurs a explosé grâce à un accès plus rapide et plus aisé à leurs applications. Les utilisateurs ont émis des commentaires élogieux avec une note moyenne de 4,8 sur 5,0, contre 3,0 pour le VPN.
La prise en charge du Zero Trust est différente de celle du VPN traditionnel
Avec un VPN traditionnel, les utilisateurs sont authentifiés une fois puis accèdent au réseau. C’est comme s’ils étaient au bureau où ils pouvaient accéder à tout. Mais avec le Zéro Trust, les utilisateurs et les appareils sont constamment vérifiés et n’ont accès qu’à des applications spécifiques et autorisées. Pour parvenir à ce concept d’accès minimum nécessaire, in convient de créer des profils pour chaque utilisateur afin qu’il ne puisse accéder qu’aux applications dont il a besoin dans le cadre de son travail. Cela signifie qu’un développeur mobile se distingue d’un développeur d’applications Web, et qu’un utilisateur financier se distingue d’un utilisateur informatique.
Quel niveau de risque êtes-vous prêt à accepter ?
Le Zero Trust est un exercice d’équilibre entre le niveau de risque que vous êtes prêt à accepter et l’effort nécessaire pour élaborer et appliquer des politiques. Vous devez vous poser des questions complexes et réfléchir soigneusement aux réponses.
- Dans quelle mesure l’accès est-il suffisant ?
- De quelles politiques avez-vous besoin pour les RH ? Le service financier ? Le service juridique ? Le marketing ? L’informatique ?
- De combien de politiques différentes avez-vous besoin pour répondre aux différents besoins d’accès de chaque groupe ?
- Quel risque pouvez-vous tolérer ? Quel montant de frais généraux de gestion êtes-vous prêt à assumer pour atteindre ce niveau de risque ?
Le Zero Trust ne se déploie pas du jour au lendemain. Il s’agit d’un cheminement.
La mise en œuvre du modèle Zero Trust est un processus continu qui consiste à réduire l’accès au fil du temps pour atteindre l’objectif d’une confiance minimale et d’un accès le moins privilégié possible. Cette société a donné à ses premiers utilisateurs Zero Trust un accès plus large qu’elle ne l’aurait souhaité, mais lorsqu’elle a comparé le niveau de risque, même à ce moment-là, à celui lié à l’utilisation d’un VPN, elle était encore bien mieux lotie. Au départ, elle autorisait l’accès à *.societe.com, par exemple. Elle a ensuite utilisé les capacités d’analyse des applications de Zscaler pour voir qui utilisait quelles applications et lesquelles étaient les plus « bavardes ». Fort ces information, elle a ensuite restreint l’accès des utilisateurs et a continué à affiner les politiques au fil du temps.
Le Zero Trust va au-delà de l’accès à distance sécurisé.
L’amélioration de la sécurité et de l’expérience utilisateur de votre personnel distant peut être le moteur de la mise en œuvre du Zero Trust, mais, idéalement, vous souhaitez instiller un état d’esprit Zero Trust à l’ensemble de votre entreprise. L’accès à distance est un élément essentiel de Zero Trust, mais vous devez également réfléchir à ce que le Zero Trust signifie pour TOUS les accès. Qu’est-ce que cela signifie dans vos environnements cloud ? Qu’est-ce que cela signifie pour l’accès sur site ? En fin de compte, vous souhaitez réduire la surface d’attaque et protéger les données de l’ensemble de votre entreprise et de chaque utilisateur, quel que soit son emplacement.
En bref, repensez aux risques et aux avantages liés à l’extension de vos contrôles centrés sur le réseau dans les cas d’utilisation actuels du cloud et de la mobilité, pour lesquels ils ne sont pas efficaces. Si vous deviez concevoir une architecture à partir de zéro pour répondre à vos besoins, non seulement aujourd’hui, mais aussi à l’avenir, feriez-vous appel à une technologie du passé ? Comme beaucoup de nos clients, vous trouverez probablement des opportunités de vous affranchir des contrôles traditionnels et d’adopter une approche plus moderne qui peut simplifier votre parcours Zero Trust.
Pour en savoir plus sur la transition d’un VPN traditionnel vers ZTNA et sur la manière dont Humana a déployé Zscaler Private Access, nous vous invitons à visionner le récent webinaire Trouver des alternatives Zero Trust aux VPN risqués.