Le contrôle d’accès au réseau détermine qui peut accéder à votre réseau. L’accès réseau sans confiance détermine qui accède à vos applications. La plupart des équipes informatiques de taille moyenne ont besoin des deux, plus une troisième couche pour les appareils qui ne supportent ni l’un ni l’autre. Ce guide explique comment fonctionnent le NAC et le ZTNA, où ils se chevauchent et comment combler le fossé qu’ils laissent ouvert.
Qu’est-ce que le contrôle d’accès au réseau ?
Le contrôle d’accès au réseau est une technologie de niveau 2/3 qui permet de contrôler l’accès physique et sans fil au réseau en fonction de l’identité de l’appareil, des informations d’identification de l’utilisateur et de l’état de santé du point d’extrémité. Il utilise la norme 802.1X avec un serveur RADIUS pour authentifier les appareils au niveau du port du commutateur avant qu’ils ne reçoivent une adresse IP. Les appareils qui échouent aux contrôles de posture sont placés dans un VLAN de quarantaine. Le NAC répond à une question : cet appareil doit-il être autorisé à pénétrer sur le réseau ?
Le processus comprend trois éléments. Le supplicant est un logiciel installé sur le point d’accès qui présente les informations d’identification. L’authentificateur est le commutateur ou le point d’accès sans fil qui bloque le trafic jusqu’à ce que l’authentification réussisse. Le serveur d’authentification, généralement RADIUS, vérifie les informations d’identification par rapport à la politique et renvoie une décision d’autorisation ou de refus. Une fois authentifié, le commutateur peut attribuer un VLAN ou appliquer une liste de contrôle d’accès pour restreindre ce que l’appareil peut atteindre.
EAP-TLS avec des certificats numériques reste la méthode 802.1X la plus solide. Elle élimine le risque de vol de mot de passe qui affecte les variantes EAP plus simples. Pour les organisations qui gèrent déjà une autorité de certification, c’est la voie à suivre.
Le système NAC permet également d’établir le profil des appareils. Il inspecte les empreintes DHCP, les données SNMP et les modèles de trafic pour identifier le type d’appareil qui s’est connecté. Ceci est particulièrement important pour les terminaux qui ne peuvent pas utiliser de supplicant, ce sur quoi nous reviendrons prochainement.
Comment ZTNA fonctionne différemment
ZTNA opère au niveau 7. Au lieu d’accorder à un appareil un emplacement sur le réseau, il crée un tunnel crypté, par application, entre l’utilisateur et une ressource spécifique. Le reste du réseau reste invisible.
Le modèle fonctionne par l’intermédiaire d’une architecture de courtier. Un connecteur léger situé dans le centre de données ou dans le nuage établit une connexion sortante avec un courtier de confiance. Les utilisateurs s’authentifient auprès du courtier, qui vérifie l’identité, contrôle l’état de l’appareil et évalue le contexte (emplacement, heure, score de risque) avant d’établir la connexion avec l’application cible. Aucun port entrant ne doit être ouvert. Aucun segment de réseau n’est exposé.
Alors que le NAC s’authentifie une fois au moment de la connexion, les plateformes ZTNA telles que Jimber procèdent à des vérifications en continu. Si la posture d’un appareil se dégrade en cours de session ou si des anomalies de comportement apparaissent, l’accès peut être révoqué en temps réel. Il s’agit là d’un changement fondamental par rapport au modèle « authentifier une fois, faire confiance pour toujours » que partagent le CNA et les VPN.
Pour les travailleurs à distance et hybrides, ZTNA élimine complètement le goulot d’étranglement du VPN. Les utilisateurs se connectent directement aux applications, qu’ils soient au bureau, à la maison ou sur le site d’un client. L’expérience est plus rapide, la surface d’attaque plus petite et les preuves de conformité plus nettes. Notre guide de l’architecture Zero Trust couvre le cadre général en détail.
Comparaison entre NAC et ZTNA
Les deux technologies résolvent des problèmes différents à des niveaux différents. Comprendre où chacune excelle permet d’éviter les investissements inutiles.
| Critère | NAC | ZTNA |
|---|---|---|
| Couche OSI | Couche 2/3 (port et réseau) | Couche 7 (application) |
| Champ d’application principal | Accès au réseau du campus | Accès aux applications partout |
| Modèle d’authentification | Point à temps lors de la connexion | Continu par session |
| Assistance à distance aux utilisateurs | Limité (axé sur le campus) | Native (indépendante du lieu) |
| Visibilité | Au niveau du segment de réseau | Par application, par utilisateur |
| Gestion des dispositifs sans agent | Contournement de l’authentification MAC | Nécessite un agent (gap) |
| Prévention des mouvements latéraux | Basé sur un réseau local virtuel (grossier) | Isolation des applications (granulaire) |
| Preuves de conformité | Journaux au niveau du port | Piste d’audit au niveau de l’identité, de la posture et de l’application |
| Durée de déploiement typique | 6 à 12 mois (NAC d’entreprise) | De quelques semaines à quelques mois |
| Modèle de coût | CapEx matériel + licences perpétuelles | Abonnement par utilisateur |
NAC contrôle si un appareil peut se trouver sur le réseau. Le ZTNA contrôle si un utilisateur peut accéder à une application spécifique. Ni l’un ni l’autre ne couvrent à eux seuls l’ensemble du tableau. Et tous deux partagent un angle mort qui mérite sa propre section.
Le problème de l’appareil sans agent que partagent les deux approches
Environ 21 milliards d’appareils IdO sont connectés dans le monde, et ce chiffre ne cesse d’augmenter. Dans les environnements de fabrication, une seule installation peut avoir des centaines d’automates, d’IHM, de capteurs et de caméras sur le réseau. Les établissements de santé utilisent des scanners IRM, des pompes à perfusion et des moniteurs de patients. Ces appareils ont une caractéristique commune : ils ne peuvent pas exécuter un agent ZTNA ou un supplicant 802.1X.
NAC les traite par le biais du contournement de l’authentification MAC (MAB). Le commutateur identifie l’appareil par son adresse MAC et l’affecte à un VLAN désigné. Le problème est évident. Les adresses MAC peuvent être usurpées en quelques secondes. Un attaquant qui clone l’adresse MAC d’une imprimante autorisée obtient l’accès au réseau que cette imprimante avait. MAB a également tendance à accorder un accès plus large que nécessaire, car la maintenance des ACL par appareil au niveau du commutateur est pénible sur le plan opérationnel.
ZTNA ne peut tout simplement pas atteindre ces appareils. L’absence d’agent signifie qu’il n’y a pas de vérification d’identité, pas de contrôle de posture, pas de tunnel par application. La plupart des fournisseurs de ZTNA ignorent discrètement cette lacune ou suggèrent une « segmentation du réseau » comme si cela la résolvait.
L’isolation en ligne offre une troisième voie. Le contrôleur d’accès à l’isolation du réseau (NIAC) de Jimber se situe physiquement entre le dispositif sans agent et le réseau. Il applique les règles de communication par appareil au niveau matériel. Une caméra peut communiquer avec son serveur d’enregistrement. Un automate programmable peut atteindre son contrôleur SCADA. Tout le reste est bloqué par défaut. Pas de confiance MAC, pas d’accès VLAN large, pas d’agent requis.
Pour les environnements de fabrication où les temps d’arrêt se mesurent en millions par heure, NIAC assure l’isolement sans toucher au micrologiciel de l’appareil ni perturber la production. L’appareil ne sait pas qu’il est contrôlé. Il fonctionne simplement, dans des limites étroitement définies.
Pourquoi la réponse est « les deux, plus l’isolation en ligne » ?
La réponse honnête à la question « NAC ou ZTNA ? » n’est ni l’un ni l’autre. C’est un modèle à plusieurs niveaux qui fonctionne le mieux.
ZTNA pour tous les accès d’utilisateur à application. Que l’utilisateur soit sur le campus ou à distance, chaque connexion d’application doit passer par une vérification de l’identité, un contrôle de la posture de l’appareil et un tunnelling par application. C’est là que le ZTNA de Jimber fournit la base. Il remplace le VPN, applique le principe du moindre privilège et génère la piste d’audit attendue par les auditeurs de NIS2 et de CyFun. Lisez notre aperçu des cinq principes de Zero Trust qui régissent ce modèle.
NAC pour le contrôle d’admission sur le campus. Si votre bureau utilise des commutateurs gérés avec 802.1X, gardez cette couche active. Elle empêche les appareils inconnus d’obtenir une adresse réseau en premier lieu. Pour les organisations qui évoluent vers un campus de type « café » où le réseau du bureau ne fournit qu’un accès à l’internet et où tout le trafic d’application passe par le ZTNA, le NAC du campus devient moins critique pour les ordinateurs portables, mais reste précieux pour l’hygiène du réseau.
NIAC pour les appareils sans agent. Chaque imprimante, caméra IP, contrôleur industriel et capteur IoT qui ne peut pas exécuter un agent a besoin d’une isolation en ligne. Le matériel NIAC de Jimber permet de placer ces appareils sous des contrôles Zero Trust sans les erreurs ZTNA courantes qui se produisent lorsque les équipes essaient de forcer des modèles basés sur des agents dans des environnements sans agent.
L’avantage opérationnel de faire fonctionner ZTNA et NIAC à partir de la même plateforme est significatif. Jimber gère les deux à partir d’une seule console dans le nuage, avec une politique, une journalisation et un reporting unifiés. Pour les équipes informatiques qui jonglent déjà avec trop d’outils, cela supprime un silo. Pour les MSP qui gèrent des dizaines d’environnements clients, cela signifie une seule plateforme multi-tenant au lieu de piles NAC et ZTNA séparées par client.
Cette approche stratifiée simplifie également la conformité à la norme NIS2. Le cadre CyberFundamentals exige un contrôle d’accès, une segmentation du réseau, une gestion des périphériques et une surveillance continue. ZTNA assure le contrôle d’accès et les pistes d’audit. NIAC assure la segmentation des appareils sans agent. Une console unique fournit les rapports. Une plateforme, trois contrôles couverts.
Comment migrer d’un système NAC traditionnel vers un modèle à plusieurs niveaux ?
Il n’est pas nécessaire de supprimer votre NAC existant du jour au lendemain. Une approche progressive permet de limiter les risques et de démontrer la valeur de chaque étape.
Phase 1 : Remplacer le VPN par le ZTNA. Commencez par l’accès à distance. Les concentrateurs VPN sont la cible numéro un des groupes de ransomware, et leur remplacement par ZTNA réduit immédiatement la surface d’attaque tout en améliorant l’expérience de l’utilisateur. Choisissez deux ou trois applications à forte utilisation et à faible risque pour le projet pilote.
Phase 2 : étendre ZTNA aux utilisateurs du campus. Une fois que l’accès à distance fonctionne, déployez ZTNA auprès des utilisateurs sur le campus pour l’accès aux applications. Votre NAC existant continue à gérer l’admission au réseau. Les deux coexistent sans conflit parce qu’ils opèrent à des niveaux différents.
Phase 3 : Isoler les dispositifs sans agent. Identifiez les appareils de votre réseau qui dépendent du MAB ou qui se trouvent sur des segments plats avec des règles trop permissives. Déployez d’abord du matériel NIAC pour les appareils les plus à risque : contrôleurs industriels, équipements médicaux, systèmes de gestion des bâtiments. Procédez ensuite par étapes.
Phase 4 : Évaluer le rôle futur du CNA du campus. Au fur et à mesure que l’accès aux applications passe par le ZTNA, le champ d’action du CNA de votre campus se réduit. Certaines organisations le maintiendront pour un contrôle d’admission de base. D’autres, en particulier celles qui adoptent le BYOD sans complexité, simplifieront l’accès au réseau ouvert en appliquant toute la sécurité au niveau de la couche applicative via ZTNA. L’une ou l’autre approche est valable. Le fait est que vous avez maintenant le choix.
Questions fréquemment posées
Le ZTNA peut-il remplacer totalement le NAC ?
Pour l’accès de l’utilisateur à l’application, oui. Le ZTNA rend l’admission au niveau du réseau non pertinente pour les terminaux gérés, car le réseau lui-même n’accorde pas de droits d’application. Mais pour l’hygiène du réseau du campus et en tant que première porte contre les appareils malveillants, le CNA conserve sa valeur. La vraie question est de savoir si votre organisation bénéficie suffisamment du NAC du campus pour justifier son coût opérationnel, ou si ZTNA plus NIAC couvrent votre surface de risque réelle.
Qu’est-ce que le contournement de l’authentification MAC et pourquoi est-il risqué ?
MAB est le mécanisme de secours utilisé par NAC pour les périphériques qui ne peuvent pas exécuter un suppliant 802.1X. Le commutateur authentifie l’appareil en utilisant uniquement son adresse MAC. Comme les adresses MAC sont facilement clonées, le MAB n’offre aucune garantie d’identité réelle. Un pirate disposant d’un accès physique à un port réseau peut se faire passer pour un appareil autorisé par MAB et hériter de ses autorisations réseau.
Comment sécuriser les appareils qui ne peuvent pas exécuter d’agents ?
Le matériel d’isolation en ligne, comme le NIAC de Jimber, place un point d’application physique entre l’appareil et le réseau. Le NIAC n’autorise que les flux de trafic explicitement autorisés pour chaque appareil. Il ne nécessite aucun logiciel sur le point d’extrémité, ne modifie pas la configuration de l’appareil et chiffre les données en transit même si l’appareil lui-même n’a pas de capacité de chiffrement.
Le CNA est-il encore pertinent dans un modèle de confiance zéro ?
Le NAC s’attaque à une couche que le ZTNA n’aborde pas : l’admission physique au réseau. Dans un modèle de confiance zéro strict où les applications ne sont accessibles que par l’intermédiaire de ZTNA, le réseau lui-même suscite moins de confiance. Le CNA peut encore empêcher les appareils indésirables de consommer de la bande passante, de lancer des attaques locales ou de servir de points d’appui. La question de savoir si cela justifie le coût dépend de votre environnement. Les organisations dotées de vastes réseaux de campus et de nombreux ports physiques y trouveront plus d’intérêt que celles dont la main-d’œuvre est essentiellement distante.
Jimber inclut-il le NAC dans sa plateforme SASE ?
La plateforme Jimber se concentre sur ZTNA, Secure Web Gateway, Firewall-as-a-Service et SD-WAN, gérés à partir d’une console unique. Pour les appareils sans agent, le matériel NIAC fournit une isolation en ligne qui comble les lacunes du NAC et du ZTNA. Si vous disposez d’une infrastructure NAC existante, les solutions ZTNA et NIAC de Jimber se superposent sans conflit.
Qu’est-ce que cela signifie pour la conformité NIS2 ?
NIS2 et le cadre belge CyberFundamentals exigent un contrôle d’accès, une segmentation du réseau et une surveillance continue. ZTNA fournit un accès basé sur l’identité avec des pistes d’audit complètes. NIAC assure la segmentation des appareils hors de portée de ZTNA. Ensemble, ils couvrent les contrôles techniques vérifiés par les auditeurs, avec des preuves générées automatiquement à partir d’une plateforme unique.
Vous êtes prêt à voir comment ZTNA et NIAC peuvent fonctionner ensemble dans votre environnement ? Réservez une démonstration avec Jimber et obtenez une évaluation pratique de votre architecture d’accès au réseau. Pas de projets complexes, pas de coûts cachés, juste un chemin clair du contrôle d’accès traditionnel à la confiance zéro.
