Blog Pourquoi choisir le ZTNA : 5 arguments clés

Inutile de chercher longtemps pour comprendre l’intérêt du ZTNA : les données parlent d’elles-mêmes. Les attaques perpétrées par des tiers ont atteint 35,5 % de l’ensemble des incidents de sécurité Ces données mettent en évidence l’importance d’une authentification forte, à tous les niveaux de l’organisation. Le ZTNA répond précisément à ces enjeux.

Malgré l’évolution des usages, de nombreuses équipes IT continuent de s’appuyer sur les VPN, pensant qu’ils suffisent à répondre aux besoins du travail hybride. En réalité, le modèle sur lequel repose votre VPN est dépassé et expose votre organisation à des risques. C’est pourquoi Gartner prévoit que d’ici fin 2025, le ZTNA sera adopté dans au moins 70 % des nouveaux déploiements d’accès à distance, reléguant les VPN au second plan. Le ZTNA est une solution éprouvée qui renforce la sécurité des accès tout en limitant les interruptions. Cinq arguments clés en faveur de cette approche de sécurité

1. Les VPN appartiennent au passé.

Les collaborateurs externes et à distance doivent accéder uniquement aux applications nécessaires, sans exposition au réseau complet. Les VPN ne sont pas conçus pour fonctionner de cette manière. Une seule authentification suffit à leur accorder un accès étendu au réseau. Une fois infiltrés, les cybercriminels peuvent se déplacer latéralement dans les systèmes, comme c’est souvent le cas lors d’attaques par ransomware exploitant les failles des VPN.

Les VPN traditionnels ne permettent pas un accès privilégié juste-à-temps, accordant souvent un accès étendu à des ressources non nécessaires et compliquant le suivi des activités de bout en bout. Le ZTNA révolutionne l’approche de la connectivité en établissant des liens directs entre utilisateurs authentifiés et applications spécifiques, tout en supprimant l’exposition globale au réseau. Les ressources ne sont ni visibles ni accessibles aux utilisateurs non autorisés.

2. Le ZTNA offre une expérience utilisateur plus fluide et sécurisée.

Les VPN sont souvent perçus comme contraignants par les utilisateurs. Acheminer tout le trafic via des centres de données centralisés entraîne un phénomène appelé « hairpinning », où les données empruntent un chemin détourné, rallongeant les délais de transmission.

Un utilisateur basé au Royaume-Uni ne devrait pas avoir à faire transiter son trafic par un centre de données à Munich pour accéder à un serveur situé à Londres. Ce détour engendre une latence accrue, impactant les performances des applications cloud.

Les sous-traitants tiers rencontrent encore plus de difficultés lorsque leurs équipements ne sont pas compatibles avec les clients VPN peu ergonomiques. Cela les empêche d’exécuter leurs tâches essentielles.

C’est là que les clients actuels de Symantec Cloud SWG tirent pleinement parti de la solution. Le ZTNA s’intègre harmonieusement à cette infrastructure, constituant ainsi une plateforme Secure Service Edge cohérente et unifiée. Symantec SSE propose une gamme complète de solutions, notamment Cloud SWG, CASB, DLP, Web Isolation, ZTNA, et bien d’autres encore. Cela renforce votre infrastructure de sécurité tout en garantissant un accès indépendant de la localisation. Cela se traduit par une réduction du nombre de fournisseurs, une gestion plus simple, une meilleure intégration et des coûts optimisés.

3. Le ZTNA renforce la sécurité des données tout en assurant une défense multicouche.

Les VPN assurent une connectivité réseau, mais ne permettent pas de suivre l’activité des utilisateurs sur vos applications et données. Les journaux sont souvent répartis sur plusieurs serveurs et emplacements, ce qui complique les audits de conformité.

Web Isolation stocke les contenus à risque dans des conteneurs sécurisés, empêchant ainsi toute intrusion de logiciels malveillants sur les appareils des utilisateurs. Cela permet d’intégrer directement à la plateforme des capacités renforcées de prévention des menaces.

L’intégration du DLP au ZTNA transforme radicalement l’approche de la sécurité des accès. Le détecteur cloud analyse les données en transit tout en maintenant le contrôle des politiques sur site, assurant ainsi l’application cohérente des règles de prévention des pertes de données, quel que soit le lieu de connexion des utilisateurs.

Le DLP permet d’identifier les données sensibles exposées à des risques, puis d’appliquer des politiques de protection précises et adaptées. Symantec ZTNA est intégré au Threat Intelligence Service éprouvé de Symantec, permettant l’inspection de l’ensemble du trafic pour détecter les menaces et bloquer les téléchargements malveillants depuis des appareils compromis.

4. Le ZTNA offre une évolutivité supérieure et des performances accrues par rapport aux VPN.

Les VPN traditionnels ont été conçus à une époque où les applications résidaient dans des centres de données et où le télétravail était marginal. Les applications sont désormais réparties sur plusieurs environnements cloud. Les employés et les partenaires externes attendent un accès simple et instantané, quel que soit leur lieu de connexion.

Les VPN requièrent des configurations DMZ et des règles de pare-feu complexes et coûteuses, difficiles à faire évoluer. À l’inverse, Symantec ZTNA repose sur l’infrastructure de Google Cloud, garantissant des performances optimales et une évolutivité robuste pour accompagner les organisations de toutes tailles.

Grâce au modèle SaaS de Symantec, il n’y a aucun matériel à gérer, aucune contrainte liée à la planification de capacité, et les mises à jour automatiques assurent une protection continue. Le déploiement se fait en quelques minutes, plutôt qu’en plusieurs mois. Lorsque votre équipe basée à Minneapolis doit accéder à une application hébergée à Londres, elle peut s’y connecter directement, sans passer par des centres de données intermédiaires.

5. Adopter une approche progressive simplifie la mise en œuvre initiale.

Rien n’est plus perturbant pour une équipe informatique que de devoir démanteler une infrastructure encore opérationnelle. Une approche progressive du déploiement ZTNA permet de maintenir l’utilisation du VPN existant durant la phase de transition. En ciblant en priorité l’accès des tiers, sous-traitants et collaborateurs à distance, vous traitez dès le départ le risque le plus critique, ce qui permet d’obtenir des résultats rapides et de réduire immédiatement la surface d’attaque.

L’intégration de la Threat Intelligence pour analyser l’ensemble du trafic, combinée à la mise en place d’un DLP pour détecter et sécuriser les données sensibles exposées, permet de renforcer votre posture de sécurité. Cette approche s’inscrit dans votre environnement de données existant et prépare le terrain pour un déploiement progressif du ZTNA à l’échelle de votre organisation. Le déploiement peut s’effectuer par service, par site ou selon des groupes d’utilisateurs, en fonction de vos priorités et de votre organisation.

Les résultats sont éloquents : près de 80 % des clients ayant mené un projet ZTNA en preuve de concept choisissent ensuite de l’adopter. Adopter une approche progressive permet de démontrer la valeur ajoutée sans exposer l’organisation à des risques. Vous pouvez même présenter cette approche comme un ‘déploiement progressif par étapes’ auprès des utilisateurs réticents au VPN, qu’ils soient satisfaits du statu quo ou qu’ils n’aient pas encore perçu pleinement les bénéfices du ZTNA.

Faites le choix d’une sécurité pérenne et évolutive.

La migration d’une infrastructure VPN vers le ZTNA permet de corriger les vulnérabilités de sécurité structurelles avant qu’elles ne se transforment en incidents majeurs. Nous évoluons désormais dans un environnement marqué par le travail à distance et hybride, ainsi que par des partenariats reposant sur l’accès numérique. Il est désormais essentiel de repenser la gestion des accès aux ressources et aux données, en adoptant une sécurité centrée sur les applications, reposant sur une vérification continue.