Le NAC ou Network Access Control est un système qui contrôle et gère l’accès des utilisateurs aux terminaux à connecter au réseau de l’entreprise, université ou autre institution et à ses ressources – ce qui permet de leur autoriser l’accès et également de les déconnecter du réseau en cas de besoin (par ex. en cas de malware détecté sur le réseau). On pourrait un peut comparer cela à une sorte de concierge virtuel qui donnerait les clés d’accès à telle ou telle partie de l’immeuble sur présentation d’un justificatif. Et ce justificatif, ce serait le terminal (ordinateur portable, tablette, smartphone) autorisé dans le système – tout intrus qui arriverait avec son propre matériel sur le réseau n’obtiendrait donc pas les clés de l’immeuble. Toute personne qui a accès au deuxième étage ne peut pas avoir accès au troisième étage etc. etc.
Pour bien comprendre, l’administrateur du NAC réalise la configuration du NAC en jonglant sur différents paramètres d’autorisation : switch, point d’accès wifi, identification des utilisateurs (intégration possible aux serveurs d’identité tels que Microsoft AD, LDAP etc.) Dans la pratique, le visiteur (ou en bon français le “guest”) ne peut se connecter qu’à la partie du réseau qu’on lui a attribuée (par exemple, le hall de réception de l’entreprise) et ne peut pas avoir accès au réseau du Service comptable par exemple. Et inversement, le personnel du Service compta, ne peut pas avoir accès au réseau du Service logistique. Certes, il convient d’adopter en amont une architecture réseau pertinente en définissant les VLAN, sous-réseaux logiques ou segments du réseau qui conviennent.
Le NAC peut s’intégrer avec le firewall (ou pare-feux cette fois-ci en bon français) et ainsi agir de manière complémentaire, le firewall contrôlant ainsi la sécurité à l’extérieur du réseau, alors que le NAC la contrôle à l’intérieur de celui-ci. A noter que si le firewall détecte un malware sur le réseau, il bloquera effectivement l’accès à internet mais il ne déconnectera pas le terminal corrompu du réseau ; le NAC, lui, sera le faire.
Sur le marché existent des solutions complètes qui comprennent notamment une solution de NAC. Souvent, leur inconvénient est d’être compatible avec la marque de switch ou de firewall de l’éditeur… NACVIEW que je représente ici en tant qu’agent commercial a l’avantage d’être ouvert à des switchs ou firewalls de toute marque.
Pour celles et ceux qui se perdent un peu dans le jargon, on parle de NAC pour s’assurer de l’identification des terminaux et d’IAM (Identification Access Management) souvent couplé à des solutions d’identification multifactorielles pour s’assurer de l’identification des personnes connectées au réseau.
Alors, vous me direz, est-ce qu’un NAC est fait pour moi ? Si vous gérez un réseau avec au moins une centaine de terminaux, soit donc environ cinquante utilisateurs internes et externes à raison en moyenne de deux terminaux par utilisateurs (un ordinateur portable et un smartphone par exemple), oui cela vaut le coup. Sinon, tout dépend de l’expositition au risque de cyberattaques…
Voilà, rien donc de bien compliqué. Ah oui, j’oubliais… Votre responsable informatique trouvera bien le moyen d’installer NACVIEW que ce soit sur machine virtuelle (ce qui décharge bien le serveur et ne retarde pas la puissance de calcul) ou bien que ce soit éventuellement sur le cloud.
N’oubliez donc pas de passer le mot aux responsables IT, managers d’infrastructures réseaux, RSSI, CISO et autres…
Protégez-vous et au plaisir de vous écrire de nouveaux articles de connaissance technique !
