Une première approche
Prenons l’exemple d’un Datacenter, où des données d’entreprise sont mises à disposition d’utilisateurs distants. Les données, l’utilisateur et l’entreprise font chacun partie du domaine de confiance. Pour autant, dans le modèle réseau traditionnel du système d’information, l’utilisateur doit être dans le
Vers un nouveau modèle
même périmètre physique que la ressource à laquelle il accède, sans utiliser de passerelle ou de publication. On peut donc imaginer un nouveau modèle, où l’utilisateur serait systématiquement distant, et ses ressources dans une zone de confiance autonome. Il faut donc considérer que par défaut, l’utilisateur est dans une zone non sécurisée. Le périmètre de la zone de confiance ne doit plus être confiné derrière les firewalls de bordure de l’entreprise, mais étendue au poste de travail et au lien réseau.
Les apports du nouveau modèle
Si on considère que l’utilisateur est dans la confiance de l’entreprise quel que soit son emplacement, en particulier sur Internet, les apports de ce modèle sont conséquents :
– Le poste reste en permanence connecté au système d’information de l’entreprise, donc manageable
– L’utilisateur a accès à l’ensemble de ses données
– Les moyens mis en œuvre pour sécuriser l’utilisateur, son poste et ses données sont appliqués
– L’utilisateur dispose des services de télédistribution et de support
– Les contraintes associées aux clients pour la connexion distante sont levées. La connexion est permanente et transparente.
– En allant plus loin, c’est l’implantation même des bureaux qui peut être revue, les zones d’hébergement, etc.
Les contraintes
La principale difficulté du modèle consiste à s’assurer que l’utilisateur distant n’est pas un imposteur. Dans le modèle classique, l’utilisateur étant positionné dans les murs de l’entreprise, son identité est validée par le fait qu’il ait le droit d’accéder au bâtiment, qu’il soit installé dans un bureau à son nom, que ses collègues puissent le reconnaître. Quand l’utilisateur n’est plus dans les locaux, il devient impossible de faire une telle reconnaissance visuelle et physique sans passer par une reconnaissance biométrique par exemple. La principale difficulté de la dépérimétrisation consiste non seulement à donner l’accès, mais surtout à sécuriser la connexion en fonction de l’identité de l’utilisateur, notamment stockée dans l’annuaire Active Directory.
Téléchargez cette ressource
Préparer l’entreprise aux technologies interconnectées
Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.
Les articles les plus consultés
- IBM i célèbre ses 25 ans
- Afficher les icônes cachées dans la barre de notification
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server