Depuis quelques années, le modèle traditionnel du système d’information des entreprises évolue. De nouvelles méthodes de travail - en particulier le nomadisme, l’avènement de l’externalisation ou l’émergence des services positionnés dans le « nuage » - obligent les entreprises à ouvrir de plus en plus les frontières de leurs réseaux.
Ces ouvertures sont souvent perçues comme des failles de sécurité pour les ressources de la zone de confiance de l’entreprise. Pour répondre à ces nouveaux besoins en limitant les risques de vulnérabilités, le modèle classique du système d’information doit évoluer. Nous allons voir dans cet article quelle peut être une nouvelle vision du réseau de l’entreprise, et comment Microsoft DirectAccess s’inscrit comme une solution qui répond à ces problématiques.
L’architecture
Construit autour des serveurs d’infrastructure et d’applications, le périmètre de confiance du système d’information englobe non seulement les ressources mais aussi les utilisateurs. Afin de leur donner accès au monde extérieur qui, par définition, est non sécurisé, cette zone est protégée par des dispositifs de filtrage et de blocage, les firewalls et les proxys. Les administrateurs réseaux veillent avec attention aux ouvertures de ports et de flux dans ces équipements.
Une zone d’échange dite « sécurisée » au niveau réseau est mise en place pour permettre aux utilisateurs nomades d’accéder à certaines ressources de l’entreprise. Cette DMZ, isolée du réseau interne, permet de filtrer les communications transitant entre l’extérieur et l’intérieur.
La sécurité
En interne, tous les moyens sont mis en place pour limiter les risques et assurer la sécurité des ressources : antivirus, mises à jour automatiques et des applications, droits sur les fichiers ou les applications, authentification de l’utilisateur via l’annuaire Active Directory, renouvellement de mot de passe, utilisation d’un proxy pour le filtrage d’URL ou l’analyse des flux HTTPs. La sécurité englobe la couche réseau et la couche applicative.
Depuis l’extérieur, la sécurité est toute autre. Le passage par la DMZ, volontairement peu permissive, ne prend en général pas en compte la sécurité applicative, ne permettant souvent qu’une sécurité au niveau du réseau. Microsoft propose, dans ses solutions d’accès distant, une couche de sécurité applicative, en particulier dans la nouvelle passerelle Forefront UAG (Unified Access Gateway).
Les méthodes d’accès depuis l’extérieur
A chaque besoin est associée une solution d’accès distant. En voici quelques-unes, fondées sur les technologies Microsoft :
Besoins |
Solutions |
Apports |
Accès réseau à des ressources internes |
VPN SSL via les services RRAS |
Accès à des ressources situées dans la zone de confiance |
Accès à un poste de travail virtuel (VDI) |
Passerelle Remote Desktop |
L’utilisateur retrouve son environnement d’entreprise |
Accès à la messagerie via le client lourd Outlook 2003 ou supérieur |
RPC over https |
Authentification transparente, intégrée |
Accès à une application client lourd ou Web |
Publication via Forefront UAG |
Sécurité applicative possible |
Toutes ces solutions sont performantes, et permettent un accès sécurisé tant au niveau réseau qu’au niveau applicatif pour certaines. Néanmoins, la solution RPC over HTTP mise à part, chacune d’entre elle Une action manuelle de la part de l’utilisateur final (via une interface de connexion) pour établir la connexion.
Les limites du modèle
Nous avons évoqué précédemment les limites de la DMZ réseau, qui n’offre souvent qu’une protection réseau et non pas applicative. Nous avons vu aussi que Microsoft ajoute la couche manquante grâce à sa passerelle d’accès distant, Forefront UAG. Néanmoins, ce que le modèle ne peut assurer, c’est le suivi, le support et l’intégrité du poste nomade.
Quand le poste n’est plus dans la zone de confiance, il n’est plus possible pour l’utilisateur d’appliquer les stratégies de groupes ou encore de mettre à jour son mot de passe. Il ne bénéficie généralement plus des services fournis par son proxy. Pour l’administrateur système, il n’est plus possible de superviser le poste, de prendre la main à distance, ou de le verrouiller en cas de vol. En d’autres termes, le poste est hors contrôle.
La seconde partie de votre dossier
Téléchargez cette ressource
Livre blanc Sécurité et Stockage des documents
Découvrez dans ce livre blanc Kyocera les outils logiciels qui permettent une approche holistique et efficace de la collecte, du stockage, de la gestion et de la sécurisation des documents en entreprise.