Grâce au contrôle d’accès au réseau, les réseaux peuvent être protégés contre les accès non autorisés et les dommages. Le NAC fonc­tionne avant et après l’accès.

Qu’est-ce que le contrôle d’accès au réseau ?

Le contrôle d’accès au réseau, également connu sous le nom de Network Admission Control (NAC), sert à protéger les réseaux privés des accès non autorisés par des appareils externes qui ne res­pec­tent pas certaines po­li­tiques de sécurité clai­re­ment définies. Les solutions contrôle d’accès au réseau rem­plis­sent deux rôles prin­ci­paux :

Contrôle de pré-admission NAC

Le contrôle d’accès au réseau offre un aperçu complet de tous les appareils connectés à un réseau donné. Le type d’appareil n’a pas d’im­por­tance, les or­di­na­teurs, té­lé­phones in­tel­li­gents, im­pri­mantes, scanners et tech­no­lo­gies de l’Internet des objets (IoT) peuvent également être pris en compte. L’objectif de cette approche est d’interdire l’accès à des systèmes étrangers d’accéder au réseau interne via le Wi-Fi ou d’autres moyens et ainsi de maintenir l’ar­chi­tec­ture de sécurité. Ce type de contrôle d’accès au réseau est appelé préad­mis­sion NAC.

Contrôle de post-admission NAC

La fonction de con­for­mité permet de contrôler les appareils qui se trouvent déjà dans le réseau et d’iden­ti­fier ainsi le plus tôt possible les éven­tuelles sources de problèmes ou fuites de sécurité. Le contrôle d’accès au réseau permet, par exemple, de contrôler l’état d’un pare-feu ou d’un antivirus et de garantir ainsi que seuls les appareils les plus récents se trouvent sur le réseau. Cette fonction fait partie du NAC post-admission qui surveille certaines zones au sein d’un réseau.

Comment fonc­tionne le contrôle d’accès au réseau ?

Il existe de nombreux systèmes NAC dif­fé­rents, dont le fonc­tion­ne­ment diffère parfois. En règle générale, le contrôle d’accès au réseau fonc­tionne de manière re­la­ti­ve­ment similaire. L’équipe de sécurité d’une en­tre­prise ou la personne res­pon­sable d’un réseau commence par définir des règles qui sont obli­ga­toires pour tous les appareils par­ti­ci­pants. Le contrôle d’accès au réseau permet ensuite de vérifier et de ca­té­go­ri­ser les nouveaux appareils. L’accès au réseau est autorisé ou interdit en fonction des règles de sécurité définies au préalable. Un appareil avec accès reçoit certains droits et continue à être contrôlé. La pro­tec­tion du réseau est ainsi préservée.

Pourquoi le contrôle d’accès au réseau est-il important ?

Certes, le NAC n’est pas adapté à tous les réseaux, mais il vaut la peine de l’utiliser, surtout pour les en­tre­prises ou les grands réseaux. Cette technique permet d’avoir une vue complète de tous les appareils qui se trouvent dans un réseau et empêche les personnes non au­to­ri­sées d’y accéder fa­ci­le­ment. Le contrôle d’accès au réseau aide à créer et à maintenir toutes les po­li­tiques de sécurité per­ti­nentes pour le réseau. Il permet également de répartir les droits et les rôles. Les appareils qui se trouvent déjà sur le réseau, mais qui ne fonc­tion­nent pas ac­tuel­le­ment con­for­mé­ment aux po­li­tiques, peuvent être mis en qua­ran­taine et réactivés une fois les défauts corrigés.

Conseil

Sau­ve­gar­dez ré­gu­liè­re­ment vos données d’en­tre­prise sur votre espace de stockage Cloud personnel avec Managed Nextcloud de IONOS. Vous disposez ainsi d’une sou­ve­rai­neté totale des données et éco­no­mi­sez des frais d’ad­mi­nis­tra­tion. Votre stockage sur le Cloud conforme au RGPD peut être étendu de manière flexible et complété par des ap­pli­ca­tions Office.

Quelles sont les fonctions du contrôle d’accès au réseau ?

Il existe de nom­breuses méthodes et fonctions dif­fé­rentes utilisées par le contrôle d’accès au réseau pour protéger au mieux un réseau avant ou après l’accès. Les tech­no­lo­gies les plus courantes sont les suivantes :

Politique de sécurité pour NAC

Chaque réseau a besoin de règles de sécurité bien définies et ajustées, qui sont con­traig­nantes pour tous les appareils et cas d’ap­pli­ca­tion, mais qui tiennent également compte des dif­fé­rentes con­di­tions et au­to­ri­sa­tions. Les solutions NAC vous per­met­tent donc de définir ces règles à l’avance et de les adapter si né­ces­saire après la mise en place du réseau. Les pa­ra­mètres ainsi définis per­met­tent de contrôler les appareils avant et pendant l’accès.

Profilage dans le domaine NAC

Lors du profilage, le contrôle d’accès au réseau scanne tous les appareils, vérifie leurs pro­prié­tés et compare, par exemple, leurs adresses IP. Ainsi, tous les appareils qui se trouvent sur le réseau peuvent être saisis et examinés sous l’angle de la sécurité.

Capteurs pour le contrôle d’accès au réseau

Même les appareils en principe autorisés et validés peuvent causer des dommages au sein d’un réseau ou en­freindre, in­ten­tion­nel­le­ment ou non, les règles internes. Des capteurs qui fonc­tion­nent soit comme des com­po­sants logiciels, soit di­rec­te­ment sur les points d’accès, con­trô­lent en temps réel l’ensemble du trafic de données au sein d’un réseau ou de certaines parties de celui-ci et peuvent empêcher l’accès ou l’arrêter en cas d’in­frac­tion.

Agents pour le contrôle d’accès au réseau

Dans le domaine du contrôle d’accès au réseau et dans la plupart des cas, les agents sont des logiciels installés sur les terminaux. Ces agents com­mu­ni­quent avec un point de contact de NAC central qui leur accorde l’accès au réseau. L’avantage de cette méthode est que seuls les appareils préa­la­ble­ment sé­lec­tion­nés et autorisés ont accès. L’in­con­vé­nient est que chaque appareil doit être équipé d’un tel agent. Ceci peut être très compliqué et prendre beaucoup de temps, surtout pour de très grands réseaux. Par exemple, outre Microsoft, Cisco propose un Trust Agent pour la variante de NAC.

Une al­ter­na­tive consiste à utiliser des agents tem­po­raires qui ne doivent pas être installés de manière per­ma­nente et qui sont au­to­ma­ti­que­ment supprimés lors d’un re­dé­mar­rage. Ils sont gé­né­ra­le­ment chargés via le na­vi­ga­teur et né­ces­si­tent l’accord explicite du par­ti­ci­pant ou de la par­ti­ci­pante. Cette solution in­ter­mé­diaire convient pour un accès tem­po­raire, unique ou spo­ra­dique à un réseau. Pour une uti­li­sa­tion per­ma­nente, d’autres méthodes de contrôle d’accès au réseau sont toutefois nettement plus pratiques.

Solutions VLAN pour NAC

De nombreux outils NAC créent, via des réseaux locaux virtuels, des sous-secteurs qui ne sont ac­ces­sibles qu’à certains appareils. Il est ainsi possible de séparer les zones sensibles des segments publics ou largement ac­ces­sibles au public.

Ré­per­toires LDAP pour un meilleur re­grou­pe­ment

Avec les ré­per­toires LDAP, le contrôle d’accès au réseau crée des groupes dans lesquels les uti­li­sa­teurs peuvent être répartis. Chacun de ces groupes reçoit certains droits et a ainsi accès à des parties du réseau ou à l’ensemble des zones. Ainsi, il est également possible de faire dépendre les accès non pas du terminal, mais de certaines personnes.

Quels sont les cas d’ap­pli­ca­tion du contrôle d’accès au réseau ?

Il existe de nom­breuses pos­si­bi­li­tés d’ap­pli­ca­tion du contrôle d’accès au réseau. Toutes les solutions ne sont pas adaptées ou re­com­man­dées en fonction des objectifs. Les cas d’ap­pli­ca­tion suivants sont par­ti­cu­liè­re­ment répandus :

Bring Your Own Device (BYOD)

Bring Your Own Device est une pratique que l’on retrouve désormais sur la plupart des réseaux. En termes simples, le BYOD signifie que les uti­li­sa­teurs peuvent se connecter à un réseau avec leur propre terminal. Il peut s’agir d’un téléphone in­tel­li­gent ou de l’or­di­na­teur portable personnel sur le réseau de l’uni­ver­sité. Le nombre d’appareils dif­fé­rents pose toutefois de grands défis pour l’in­fras­truc­ture et la sécurité. Dans ce contexte, le contrôle d’accès au réseau est in­dis­pen­sable pour protéger les données sensibles, par exemple contre les logiciels mal­veil­lants, tout en con­ser­vant une vue d’ensemble.

Accès des invités aux systèmes

Les invités ou les personnes ex­té­rieures à l’en­tre­prise peuvent également avoir besoin d’accéder au système existant. Même si cela ne se produit que spo­ra­di­que­ment ou même qu’une seule fois, il est très important de trouver le juste équilibre entre une bonne connexion et les aspects de sécurité né­ces­saires. C’est aussi pour cette raison qu’un contrôle d’accès au réseau bien pensé est né­ces­saire.

Internet of Things

Avec l’Internet of Things, ou l’Internet des objets, de plus en plus d’appareils ont accès à un réseau, mais ces appareils ne sont pas toujours mis à jour et contrôlés in­di­vi­duel­le­ment. Avec une bonne stratégie de NAC, vous vous assurez que ces appareils ne cons­ti­tuent pas une porte d’entrée pour les personnes non au­to­ri­sées.

Contrôle d’accès au réseau dans le secteur de la santé

Dans le secteur de la santé, la sécurité est une priorité absolue. En effet, les appareils doivent fonc­tion­ner cor­rec­te­ment et les données doivent être protégées au mieux, ce qui implique que le réseau ne doit pas présenter de points faibles. Un contrôle d’accès au réseau approprié est donc également très important dans ce domaine.

Aller au menu principal