ZTNA vs VPN
Quelles sont les différences entre VPN et ZTNA ?
Le VPN (Virtual Private Network) et le ZTNA (Zero Trust Network Access) sont deux technologies utilisées pour sécuriser l'accès aux ressources informatiques. Les VPNs, combiné aux pares-feux sont aujourd'hui encore considérés comme l'état de l'art dans certaines entreprises. Néanmoins, le ZTNA renverse progressivement la tendance au travers de ses approches différentes et plus adaptées aux menaces actuelles.
“L’ANSSI a constaté en 2024 une intensification de l’exploitation de vulnérabilités affectant des équipements exposés sur Internet, parmi lesquels figurent des équipements de sécurité mis en place par de nombreuses entités pour sécuriser l’accès distant à leur SI (par exemple des pare-feux ou des passerelles VPN). Durant l’année 2024, l’ANSSI a eu connaissance de la compromission en France de plusieurs milliers d’équipements de bordure, et traité plusieurs dizaines d’incidents de sécurité liés à l’exploitation de vulnérabilités logicielles sur ces équipements qui constituent des cibles attractives pour les attaquants”
Fonctionnement
- Le VPN établit une connexion sécurisée entre un utilisateur et un réseau privé, en général, le réseau d'une entreprise.
- Le ZTNA, en revanche, crée des frontières d'accès logiques autour d'applications spécifiques plutôt que d'accorder un accès complet au réseau. Il applique des politiques de sécurité basées sur l'identité et le contexte de l'utilisateur plutôt que sur son emplacement ou son appartenance au réseau.
Portée
- Le VPN permet à l'utilisateur d'accéder à l'ensemble du réseau d'une organisation de manière sécurisée, comme s'il était physiquement connecté au réseau local.
- Le ZTNA restreint l'accès à des applications spécifiques en fonction des besoins de l'utilisateur et des politiques de sécurité définies, sans donner un accès général au réseau. Il apporte nativement une politique d'accès moindre privilèges.
Modèle de sécurité
- Le VPN repose souvent sur un modèle de sécurité de type "confiance mais vérification", où une fois que l'utilisateur est authentifié, il est généralement autorisé à accéder à toutes les ressources du réseau.
- Le ZTNA suit le modèle de sécurité "ne jamais faire confiance, toujours vérifier", où l'accès est accordé sur la base de politiques granulaires qui vérifient continuellement l'identité, le contexte et la conformité de l'utilisateur avant d'autoriser l'accès à une application spécifique.
Visibilité et contrôle
- Avec le VPN, une fois qu'un utilisateur est connecté, il peut potentiellement accéder à toutes les ressources du réseau, ce qui peut rendre difficile la surveillance et le contrôle précis de l'accès.
- Le ZTNA offre une visibilité et un contrôle plus granulaires, car il permet de restreindre l'accès à des applications spécifiques en fonction de règles de sécurité définies, ce qui permet une meilleure gestion des risques et une réduction de la surface d'attaque.
Exposition
- Le VPN expose une passerelle sur internet qui peut elle-même être vulnérable (Voir Ressources complémentaires). La passerelle VPN est logicielle ou matérielle et nécessite une maintenance à la charge de l'entreprise.
- Le ZTNA n'expose aucune ressource de l'entreprise. L'infrastructure ZTNA est, quand à elle, exposée mais est entièremment gérée et maintenue par le fournisseur. Dans le cas de Chimere, cette infrastructure ZTNA est résiliente à la compromission.
Pour conclure, le ZTNA limite l'accès à des applications spécifiques basées sur l'identité et le contexte de l'utilisateur, tandis que le VPN crée une connexion sécurisée donnant accès à l'ensemble du réseau privé de l'organisation.