SDP ou VPN : Lequel choisir ?

En 2023, l’utilisation d’Internet a atteint des niveaux sans précédent, avec 5,3 milliards d’utilisateurs dans le monde, représentant 65,7 % de la population globale. Cette expansion numérique a eu un impact significatif sur les modes de travail, favorisant potentiellement une augmentation du télétravail.

Bien que des données spécifiques sur le pourcentage de travailleurs à distance en 2023 ne soient pas immédiatement disponibles, il est raisonnable de supposer que la tendance au télétravail a continué de croître, en partie grâce à l’accessibilité accrue d’Internet à travers le monde.

Parallèlement, il est probable que les entreprises aient davantage adopté le stockage de données dans le cloud, suivant la tendance observée ces dernières années.

Cette combinaison de télétravail étendu et de dépendance accrue au stockage dans le cloud soulève des défis importants pour les responsables de la sécurité, avec les fuites de données et les attaques de logiciels malveillants restant des préoccupations majeures. Dans ce contexte, l’exploration de solutions telles que les SDP (Software Defined Perimeter) en alternative aux systèmes VPN traditionnels devient une option intéressante pour renforcer la sécurité des configurations informatiques des entreprises.

Nous allons voir comment le SDP sont une alternative efficace aux systèmes VPN et comment ils pourraient être exactement ce dont votre configuration de sécurité a besoin.

Que sont les SDP ?

Les outils de périmètre défini par logiciel (en anglais software defined perimeter) offrent un moyen flexible de sécuriser les périmètres de réseau en évitant les pièges des solutions de sécurité de réseau populaires comme les VPN.

La technologie qui sous-tend les SDP a été initialement développée en 2007 par l’agence américaine Defense Information Systems Agency (DISA) et constitue une option sécurisée pour gérer l’accès des utilisateurs à des systèmes complexes basés sur le cloud.

Les outils SDP cachent les actifs connectés aux observateurs externes et sont presque impossibles à repérer par des acteurs non autorisés – ce qui fait des SDP des proches parents des VPN. Cependant, il existe des différences significatives que les responsables de la sécurité des réseaux doivent connaître.

Comment fonctionne le SDP ?

Les systèmes basés sur les SDP utilisent un logiciel pour sécuriser les réseaux. Ce logiciel fonctionne avec les ressources existantes telles que les bases de données des clients, les outils de comptabilité, les applications de communication, etc. Les configurations varient, mais les systèmes SDP comprennent généralement les éléments suivants :

Contrôleurs – Les contrôleurs régissent la configuration de l’accès au système et servent d’intermédiaires entre ceux qui cherchent à accéder, les fournisseurs d’authentification et les ressources à sécuriser. Ils disposent d’outils permettant d’analyser les dispositifs externes et de s’assurer qu’ils peuvent être connectés aux ressources centrales.

Passerelles – Comprenant généralement des centres de données centraux, des serveurs ou des ressources cloud nécessitant une protection contre les utilisateurs non autorisés. Ces ressources peuvent être micro-segmentées dans les implémentations SDP afin de garantir que les clients n’accèdent aux données que sur la base du « besoin de savoir ».

Clients – Les clients sont des acteurs qui cherchent à accéder à distance aux passerelles du réseau. Ils font des demandes d’accès et fournissent des informations d’authentification aux contrôleurs, établissant une connexion réseau sécurisée via des tunnels de type VPN vers les passerelles d’accès.

Fournisseurs d’authentification – Ils fournissent les informations d’authentification des utilisateurs lorsque l’authentification multifactorielle est utilisée. Il s’agit généralement d’acteurs tiers qui assurent la liaison avec le contrôleur SDP et déterminent si les utilisateurs sont autorisés à accéder aux passerelles.

Toutes les communications au sein de ce système sont cryptées, ce qui garantit qu’elles sont invisibles pour les personnes extérieures et pratiquement impossibles à infiltrer. Le logiciel agnostique du réseau peut s’appliquer à divers appareils et paramètres. Il peut évoluer rapidement et en douceur et offre de nombreux avantages par rapport aux autres solutions, comme les VPN traditionnels.

Comment le SDP sécurise-t-il les appareils ?

Les outils de périmètre défini par logiciel disposent d’une série de fonctionnalités qui permettent de sécuriser les appareils :

Authentification – Les outils SDP permettent aux responsables de la sécurité du réseau de définir des conditions d’accès pour chaque utilisateur afin de garantir que les actifs du réseau sont verrouillés et que seuls les utilisateurs autorisés peuvent se connecter. Les services d’authentification multifactorielle (MFA) ajoutent généralement un élément de protection supplémentaire.

Connectivité – Lorsque l’authentification a été réalisée, les outils SDP créent des connexions sécurisées entre les utilisateurs et les actifs centraux ou basés sur le cloud. Chaque utilisateur dispose d’une connexion réseau cryptée distincte, et sa capacité à se déplacer sur d’autres ressources réseau est strictement limitée. Cette connexion réseau agit essentiellement comme un « VPN privé », cachant les utilisateurs et les actifs de la vue extérieure.

Analyse des appareils – Le logiciel de périmètre défini par logiciel analyse également les appareils qui se connectent aux ressources du réseau, en s’assurant que les applications sont correctement mises à jour, en recherchant les infections par des logiciels malveillants et en appliquant des listes de blocage si cela s’avère nécessaire. Les responsables peuvent immédiatement analyser l’identité de chaque utilisateur et bénéficier d’une visibilité accrue de l’activité du réseau.

Lorsqu’un périmètre défini par logiciel est appliqué, il masque les points d’entrée potentiels des attaquants, ce qui en fait des cibles beaucoup plus difficiles à atteindre. Si les attaquants accèdent à une connexion sécurisée par SDP, le système limite les mouvements latéraux au sein des réseaux. L’authentification des appareils des utilisateurs rend également plus difficile l’organisation d’attaques par le biais d’informations d’identification volées.

De ce fait, les réseaux sécurisés par SDP seront mieux protégés contre les attaques de type Man-in-the-Middle, le brute-forcing, le balayage des ports, l’injection SQL et les attaques par déni de service (DoS). Des bases de données plus sûres, moins de temps d’arrêt forcé et un accès à distance plus efficace et plus sûr se traduiront par des bases de données plus sûres.

Quel est le lien entre les PDS et la sécurité Zero Trust ?

La sécurité de confiance zéro est une approche de la conception des réseaux qui applique le principe « ne jamais faire confiance, toujours vérifier ». Elle n’est pas interchangeable avec les SDP, mais les deux concepts sont intrinsèquement similaires.

La sécurité à confiance zéro ne prend rien pour acquis. Rien n’est digne de confiance, qu’il se trouve à l’intérieur ou à l’extérieur des périmètres du réseau. Il n’y a pas de laissez-passer ni d’utilisateurs distants privilégiés dans une configuration ZTS, qui reconnaît que les menaces peuvent apparaître n’importe où et à tout moment.

En pratique, cela signifie qu’il faut sécuriser toutes les connexions réseau, scanner chaque appareil et surveiller de près les liens entre les actifs centraux et ceux basés sur le cloud. Des formes d’authentification étanches sont également essentielles, quel que soit le lieu.

Les systèmes SDP offrent la technologie nécessaire pour atteindre ces objectifs exigeants.

Avec un périmètre défini par logiciel, les responsables de la sécurité peuvent distribuer des outils d’authentification et de cryptage sur les réseaux sans se soucier des emplacements physiques. Les gestionnaires bénéficient d’un haut degré de granularité régissant l’accès des utilisateurs et peuvent facilement surveiller et contrôler la liberté des utilisateurs dans le périmètre du réseau.

SDP : Applications dans le monde réel

Les capacités énumérées ci-dessus font du SDP un outil viable pour la mise en œuvre de modèles de confiance zéro dans des situations aussi diverses que des bases de données d’assurance maladie ou des portails de commerce électronique. Il existe plusieurs cas d’utilisation pour le déploiement d’outils de périmètre défini par logiciel qui s’étendent à de nombreux contextes d’entreprise :

Prise en charge de plusieurs appareils – Un périmètre défini par logiciel est la solution de sécurité idéale pour les réseaux complexes comportant de nombreux appareils connectés. Les outils SDP peuvent authentifier les travailleurs à distance, les sous-traitants et les ordinateurs du bureau central tout en excluant les personnes extérieures.

Connectivité flexible – Les SDP sont également capables de se connecter à pratiquement tous les appareils. Si votre configuration matérielle change, il n’est pas nécessaire de mettre à jour ou d’ajouter des dispositifs supplémentaires. Le périmètre du réseau peut être redéfini et protégé instantanément.

Gestion globale des risques – Les SDP sont bien adaptés aux stratégies de gestion globale des risques. Leurs processus d’autorisation peuvent prendre en compte les infections par des logiciels malveillants, les identités des utilisateurs, les versions des logiciels, les emplacements physiques et de nombreux autres facteurs.

Stratégies d’accès claires – Contrairement aux VPN, les SDP permettent aux techniciens de calibrer précisément qui peut accéder aux ressources du réseau et à quelles ressources chaque utilisateur peut accéder. L’autorisation n’est accordée qu’à des ressources spécifiques, ce qui rend plus difficile l’organisation d’attaques à l’échelle du réseau, comme le balayage des ports.

Gestion des applications – De même, les outils SDP peuvent contrôler le comportement des applications, ce qui rend plus difficile la propagation des logiciels malveillants sur les réseaux en réduisant au maximum la surface de menace.

Systèmes de clouds flexibles – Les SDP tels que ceux exploités par NordLayer s’adaptent à toutes les solutions de clouds d’entreprise populaires, y compris PaaS, SaaS et IaaS. Sécurisez les ressources de cloud public et privé de toutes sortes.

Isolez les applications critiques – Les SDP peuvent également isoler les ressources des réseaux plus larges, ce qui les rend extrêmement difficiles à détecter par les intrus. Si vous devez dissimuler des bases de données clients sensibles, vous pouvez le faire sans compromettre l’accès des utilisateurs autorisés.

Qu’est-ce qu’un réseau privé virtuel (RPV) ?

Les réseaux privés virtuels sont des outils logiciels qui créent des barrières cryptées autour des données qui transitent sur les réseaux.

Le terme « virtuel » fait référence au fait qu’aucune infrastructure de réseau physique n’est impliquée. Le terme « privé » fait référence à l’application du cryptage et de l’anonymat, tandis que l’élément « réseau » décrit l’utilisation des VPN pour connecter des appareils à des réseaux internes et externes.

Les VPN sont populaires parmi les utilisateurs privés lorsqu’il s’agit de contourner les géo-bloqueurs et d’améliorer les protections contre la surveillance, mais ils constituent également un élément essentiel de la sécurité des réseaux pour de nombreuses entreprises.

Comment fonctionnent les VPN ?

Les utilisateurs se connectent généralement aux serveurs VPN via leur routeur domestique ou professionnel. Le serveur VPN leur fournit alors une adresse IP anonyme et crée un « tunnel » crypté. Les données de l’utilisateur sont emballées dans ce tunnel et envoyées à leur destination finale.

Cette architecture a plusieurs conséquences. Tout d’abord, elle masque l’identité de l’utilisateur, lui donnant une nouvelle identité en ligne. Elle dissimule sa localisation et son type d’appareil et rend le contenu de ses données illisible pour les personnes extérieures, à condition que le VPN utilise des connexions cryptées étanches.

Dans certains cas, ce type de cryptage peut entraîner des problèmes d’accès aux services en ligne lorsque les adresses IP apparaissent sur des listes de blocage. Des ralentissements peuvent survenir dans certains cas, tandis que les VPN peuvent également être associés à des problèmes de confidentialité – autant d’inconvénients potentiels à garder à l’esprit.

SDP vs. VPN : quelles sont les différences ?

Accès au réseau

Les systèmes de sécurité basés sur les VPN ont tendance à adopter une approche « douves et château » de la sécurité du réseau. Ils créent une barrière solide autour du périmètre du réseau, en appliquant un haut niveau de chiffrement et en rendant anonyme le trafic sur le réseau.

Les systèmes SDP utilisent un modèle différent. Au lieu de douves, les périmètres définis par logiciel placent un « garde » armé autour de toute personne qui entre dans le château. Ce garde les empêche d’aller là où ils ne devraient pas et les exclut si nécessaire.

Une fois l’accès obtenu, les utilisateurs sont généralement libres de se déplacer avec un VPN. Le périmètre est sécurisé, mais ce qui se passe à l’intérieur du réseau ne l’est pas.

Simplicité et sécurité

Les VPN s’efforcent de trouver un équilibre entre sécurité et simplicité. Par exemple, une entreprise peut avoir besoin de VPN pour les services de comptabilité, de gestion des clients et des ressources humaines afin d’assurer une protection totale. C’est une recette pour une complexité inutile.

En revanche, l’équipe informatique peut regrouper plusieurs services sous un même VPN. Cette solution est peut-être plus simple et plus rapide à utiliser, mais elle compromet la sécurité car les attaquants peuvent accéder à beaucoup plus d’informations.

Les équipes informatiques peuvent obtenir plus de contrôle avec un SDP sans compromettre la sécurité. Le système authentifie chaque utilisateur par le biais de sa connexion de type VPN et peut analyser les dispositifs de connexion pour s’assurer qu’il n’y a pas de vol d’informations d’identification.

Travail à distance

Les solutions SDP sont mieux adaptées à la protection des travailleurs à distance que les VPN traditionnels.

Dans les environnements de travail modernes, les périmètres changent d’heure en heure. Les travailleurs à distance et sur site, les partenaires et les sous-traitants interagissent de manière imprévisible, ce qui élargit considérablement la surface de menace disponible pour les attaquants.

Les VPN créent des tunnels cryptés entre les appareils distants et les ressources du cloud ou du centre de données. Mais si ces tunnels sont compromis, cela peut permettre des intrusions. Il faut faire confiance aux utilisateurs pour utiliser les derniers outils de réseau privé virtuel à chaque connexion et se prémunir contre les hameçonneurs qui volent leurs identifiants VPN.

La combinaison d’approches de confiance zéro et de périmètres définis par logiciel n’offre aucune garantie de sécurité, mais permet d’offrir aux travailleurs à distance le bon équilibre entre sécurité du réseau et commodité.

Intégration de votre VPN actuel avec SDP et ZTNA

Les solutions SDP et les VPN ne sont pas forcément en concurrence. Vous pouvez créer une connexion réseau plus complète et plus sûre entre les utilisateurs et les appareils en intégrant SDP et ZTNA à votre VPN actuel.

Ces dernières années, les VPN professionnels sont devenus la solution de sécurité dominante pour les réseaux d’entreprise. Comme le rapporte NetMotion, 54 % des entreprises américaines interrogées en 2021 s’appuient uniquement sur les VPN pour sécuriser le travail à distance. Il reste encore beaucoup de chemin a parcourir pour la France.

Avec de tels chiffres, il est logique d’intégrer les approches VPN et ZTNA/SDP.

Tous les VPN ne peuvent pas fonctionner dans une solution SDP et ZTNA, mais les produits avancés tels que NordLayer et Perimeter81 le font. Choisissez un fournisseur ayant les compétences et l’expérience nécessaires pour créer des solutions de sécurité Zero Trust, et profitez de l’adaptation de vos systèmes existants tout en bénéficiant des nombreux avantages du SDP.