 |
 |
|
Synthèse Une vingtaine d’invités a assisté au nouvel aparté organisé par Seren-IT, le 31 mai dernier à l’Eurosites George V, à Paris, au cœur du prestigieux quartier des affaires. L’occasion privilégiée de débattre de l’importance du cloisonnement applicatif pour sécuriser ses données informatiques, en présence d’experts venus apporter des réponses pratiques aux questions de clients et de prospects. Cette rencontre était animée par André Porruncini, directeur associé de Seren-IT, avec la participation d’Erik Stenvall, architecte de systèmes chez AppGate Network Security. Introduction « Beaucoup d’utilisateurs n’en sont pas encore assez conscients. Sécuriser l’accès aux applications et aux infrastructures est pourtant devenu essentiel afin de protéger les données informatiques vitales, dans un contexte général d’évolution des réseaux, des menaces et des risques, des besoins des partenaires et des collaborateurs, mais aussi d’extension de l’entreprise au-delà des ses frontières physiques », explique André Porruncini, directeur associé de Seren-IT, en guise d’introduction. Pour toutes ces raisons qui ne sauraient, bien sûr, être limitatives, le processus de cloisonnement s’avère donc fondamental en permettant : de déterminer les domaines à cloisonner et les périphériques filtrants, de déterminer les flux entre ces domaines et de les schématiser, d’appliquer la politique de sécurité sur ces flux, d’appliquer les flux sur les périphériques de filtrage, d’auditer et de valider les règles de filtrage dans les périphériques filtrants, de mettre à jour les schémas de flux etc. Un élément de réponse : le cloisonnement de réseaux Le cloisonnement de réseaux doit notamment permettre de limiter l’accès physique au LAN (Local area network, soit réseau local), de contrôler la conformité des équipements à la politique de sécurité et de cloisonner l’accès aux composants.
« Mais le cloisonnement de réseaux a ses limites, objecte André Porruncini. En restant basé sur l'adresse IP, ce qui n’est pas sans poser des problèmes, il devient souvent trop complexe dans certains grand réseaux ou quand beaucoup d'entités ont des échanges entre-elles, pour n’en citer que quelques-unes. » Une véritable solution : le cloisonnement applicatif Le cloisonnement applicatif, plus fiable et plus simple, doit, quant à lui, permettre de limiter l’accès logique aux applications, de donner les droits d’accès aux applications conformément à la politique de sécurité et de cloisonner l’accès aux applications avec filtrage, découpage, contrôle et remédiation. L’AAC (Application Access Control, soit l’ensemble des méthodes communes liées au contrôle d'accès aux applications) doit ainsi répondre aux mêmes objectifs que le NAC (cf. supra), les deux principales différences résidant dans le fait que la définition de stratégies et d’actions à mener doit se faire non seulement en fonction des groupes mais aussi en fonction des applications, des outils d’authentification et de contrôle d’accès, ainsi que dans le fait que l’autorisation ou le blocage de l’accès ne concerne pas le réseau en général mais les applications en particulier.
L’offre AppGate : 10 ans de satisfaction client « Fort de ce constat, AppGate a développé il y a exactement 10 ans un serveur né d'une idée fondamentalement différente pour résoudre le problème d'accès contrôlé, explique Erik Stenvall, architecte de systèmes chez AppGate Network Security. Une solution produit fondée sur l’AAC, en constante amélioration, validée depuis par la fidélité de nombreux clients internationaux, dans des domaines aussi variés que la défense, l’industrie, les finances, la pharmacie, les technologies de l’information et de la communication etc. » De fait, s’il existait autrefois autant de périmètres que de départements au sein d’une entreprise (réseau départemental), il n’existe plus aujourd’hui qu’un seul périmètre correspondant à l’ensemble des départements d’une entreprise (réseau d’entreprise) et il n’existera certainement plus demain qu’un seul périmètre correspondant à l’ensemble des départements de plusieurs entreprises (réseau global). Le périmètre n’est, en fait, plus étanche, parce que notre façon d'utiliser le réseau a changé, avec l’apparition et la diffusion de l'équipement mobile, la diversification de la localisation des utilisateurs et la multiplication des modes d’utilisation. Surtout, la globalisation du réseau est nécessaire pour réduire le coût opérationnel et utile pour développer les affaires. Google et Amazon ont bien compris l’utilité de se baser sur sa puissance. Et Erik Stenvall de conclure : « Il existe beaucoup de solutions mais trop souvent compliquées, onéreuses et insuffisantes. La solution AppGate – l’AppGate Security Server- consiste, quant à elle, à protéger les applications tout en donnant un accès contrôlé aux utilisateurs, quelle que soit l'heure, quel que soit le poste client et quelle que soit la méthode d'accès, grâce à la dépérimètrisation sécurisée.» L’AppGate Security Server, un outil idéal
|
|
 |
Le NAC (Network Access Control, soit l’ensemble des méthodes communes liée au contrôle d'accès au réseau de l'entreprise) doit, par exemple, permettre la définition de stratégies et d’actions à mener en fonction des groupes à partir d’un point central d’administration, l’inspection de la conformité avant et après la connexion, l’émission d’alertes et l’édition de rapports, l’autorisation ou le blocage de l’accès au réseau à partir de points de contrôle voire la mise en quarantaine pour remédiation. Il s’agit là d’une question de compatibilité du poste, managé ou non, connu ou non, essentielle dans la politique de sécurité. 
Le portail applicatif doit donc être personnalisé pour un accès autorisé ou restreint. « C’est à dire que l’AAC permet de positionner la sécurité au plus près des composants à protéger tout en banalisant la couche communication et la gestion des terminaux, insiste André Porruncini. Il existe des applications réelles et exploitées dans des environnements à forte criticité, grâce à une intégration facile dans des environnements complexes, ce qui n’est pas le cas pour la plupart des projets NAC souvent abandonnés avant d’arriver en exploitation. »