Passer au contenu principal
Français

Évaluation de la posture NAC : Garantir la conformité des appareils gérés avant l'accès au réseau

Ce guide de référence technique propose une analyse approfondie de l'évaluation de la posture NAC, détaillant l'architecture, les normes et les stratégies de déploiement requises pour imposer la conformité des appareils gérés. Il fournit aux responsables informatiques et aux architectes réseau des informations exploitables pour atténuer les risques et garantir un accès réseau sécurisé dans les environnements d'entreprise multi-sites.

📖 6 min de lecture📝 1,352 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Bienvenue dans la série de briefings techniques de Purple. Aujourd'hui, nous abordons l'un des aspects les plus critiques sur le plan opérationnel — et souvent le plus mal compris — de la sécurité des réseaux d'entreprise : l'évaluation de la posture NAC, et plus particulièrement la manière de s'assurer que seuls les appareils gérés et conformes accèdent à votre réseau, avant même qu'ils n'aient envoyé le moindre paquet de trafic de production. Si vous êtes responsable informatique, architecte réseau ou CTO en charge d'un parc multisite — qu'il s'agisse d'un groupe hôtelier, d'une chaîne de magasins, d'un stade ou d'une organisation du secteur public —, ce sujet concerne directement votre posture de sécurité actuelle. Nous allons détailler l'architecture, les normes, les modèles de déploiement en conditions réelles et les pièges qui piègent même les équipes les plus expérimentées. C'est parti. Alors, qu'est-ce que l'évaluation de la posture NAC exactement ? Le Network Access Control, ou NAC, est le cadre global qui régit quels appareils peuvent se connecter à votre réseau et sous quelles conditions. L'évaluation de la posture est le mécanisme spécifique au sein du NAC qui interroge l'état de sécurité d'un appareil avant — ou immédiatement après — sa connexion. Voyez cela comme un bilan de santé à l'entrée. L'appareil ne doit pas seulement prouver son identité ; il doit prouver qu'il est dans un état d'intégrité suffisant pour qu'on lui fasse confiance. Cette architecture repose sur trois composants clés. Tout d'abord, le point d'application des politiques (PEP — Policy Enforcement Point). Il s'agit généralement de votre point d'accès, de votre commutateur ou de votre contrôleur sans fil. C'est le gardien qui contrôle physiquement le flux de trafic. Ensuite, le point de décision des politiques (PDP — Policy Decision Point). C'est votre moteur NAC, souvent intégré à un serveur RADIUS ou AAA. Il reçoit les données de posture, les évalue par rapport à votre politique et indique au PEP la conduite à tenir. Enfin, le moteur d'évaluation de la posture lui-même — il s'agit soit d'un agent s'exécutant sur le terminal, soit d'un mécanisme sans agent utilisant des protocoles comme SNMP, WMI ou SSH pour interroger l'appareil à distance. Désormais, la couche d'authentification qui sous-tend tout cela est la norme IEEE 802.1X. Il s'agit de la norme de contrôle d'accès réseau basé sur les ports qui existe depuis 2001, mais qui reste aujourd'hui la colonne vertébrale du NAC d'entreprise. La norme 802.1X définit trois rôles : le Supplicant — l'appareil qui tente de se connecter ; l'Authenticator — votre commutateur ou point d'accès ; et le serveur d'authentification — votre serveur RADIUS. Le Supplicant et le serveur d'authentification communiquent via EAP — l'Extensible Authentication Protocol — encapsulé dans un tunnel à travers l'Authenticator. L'EAP-TLS, qui utilise une authentification mutuelle basée sur des certificats, est la référence absolue en la matière. C'est ce que vous devez déployer si vous voulez garantir sérieusement la conformité des appareils gérés. Que vérifie réellement le contrôle de posture ? Il existe six catégories principales. Le niveau de correctif du système d'exploitation — l'appareil exécute-t-il une version d'OS prise en charge et les correctifs critiques sont-ils appliqués dans le délai défini ? L'état de la sécurité des terminaux — un agent AV ou EDR approuvé est-il installé, actif et doté de définitions à jour ? L'état du pare-feu — le pare-feu basé sur l'hôte est-il activé et sa politique intacte ? Le chiffrement du disque — le chiffrement complet du disque est-il actif et non suspendu ? La validité du certificat — l'appareil détient-il un certificat machine valide et approuvé émis par votre PKI ? Et enfin, la conformité de la configuration — la configuration de sécurité de l'appareil correspond-elle à votre référence définie ? En fonction du résultat de ces vérifications, votre moteur de politique NAC attribue l'un des trois états suivants. Conforme — l'appareil réussit tous les contrôles requis et bénéficie d'un accès complet au réseau, généralement à son VLAN ou rôle attribué. Conditionnel — l'appareil réussit les contrôles critiques mais échoue à un ou plusieurs contrôles non critiques ; il obtient un accès limité, peut-être uniquement à Internet, avec une notification à l'utilisateur. Et Non Conforme — l'appareil échoue à un contrôle critique et est placé dans un VLAN de quarantaine avec un accès uniquement à un portail de remédiation. Ce portail de remédiation est l'endroit où l'appareil peut télécharger des correctifs, mettre à jour les définitions AV ou recevoir des instructions pour une remédiation manuelle. Maintenant, où se situe le WPA3 dans tout cela ? Le WPA3-Enterprise, en particulier avec le mode 192 bits, renforce la couche cryptographique sous-jacente au 802.1X. Il impose le GCMP-256 pour le chiffrement et l'HMAC-SHA-384 pour l'intégrité, ce qui est particulièrement pertinent pour les environnements traitant des données de cartes de paiement ou des données personnelles sensibles dans le cadre du GDPR. Si vous gérez un environnement de vente au détail soumis au PCI DSS, ou un établissement de santé soumis aux exigences de gouvernance des données du NHS, le WPA3-Enterprise devrait figurer sur votre feuille de route pour les nouveaux déploiements. Parlons de l'évaluation de posture avec ou sans agent, car il s'agit d'un véritable point de décision architectural. L'évaluation basée sur un agent — où un client léger s'exécute sur le terminal — vous offre la visibilité la plus profonde. Vous pouvez interroger les clés de registre, les processus en cours d'exécution, les logiciels installés et l'état de sécurité en temps réel. Le compromis réside dans la lourdeur du déploiement : vous avez besoin d'un MDM ou d'une plateforme de gestion des terminaux pour déployer et maintenir l'agent sur l'ensemble de votre parc. L'évaluation sans agent utilise une interrogation basée sur le réseau — SNMP, WMI via le réseau, ou des appels API vers votre plateforme MDM. Elle est plus facile à déployer mais offre une visibilité moins profonde et est plus sensible au contournement. Pour un parc d'entreprise managé, l'approche avec agent est la bonne réponse. Pour les environnements où vous avez un mélange d'appareils managés et non managés — pensez à un centre de conférence ou au réseau d'arrière-guichet d'un hôtel — une approche hybride est plus logique. Un autre point d'architecture mérite d'être souligné : l'évaluation continue de la posture par rapport à l'évaluation ponctuelle. La plupart des implémentations NAC héritées ne vérifient la posture qu'au moment de la connexion. C'est une lacune importante. Un appareil conforme à neuf heures du matin lors de sa connexion peut voir son antivirus désactivé par un utilisateur à onze heures. Les plateformes NAC modernes prennent en charge l'évaluation continue — en réévaluant la posture à des intervalles définis ou en réponse à des événements — et en modifiant dynamiquement le niveau d'accès réseau de l'appareil sans nécessiter de reconnexion. C'est la direction vers laquelle vous devriez vous orienter. Passons maintenant à la pratique. Lors du déploiement de l'évaluation de la posture NAC, le mode de défaillance le plus courant que je constate est le passage direct au mode d'application. Ne faites pas cela. Commencez en mode surveillance — parfois appelé mode audit ou mode visibilité. Exécutez vos vérifications de posture, enregistrez les résultats, mais n'appliquez pas de politique. Exécutez cela pendant au moins deux à quatre semaines. Vous découvrirez presque certainement des appareils dont vous ignoriez l'existence sur votre réseau, et vous constaterez qu'une proportion importante de vos appareils connus échoue à une ou plusieurs vérifications de posture. Utilisez ces données pour corriger votre parc avant d'appliquer les règles. Le deuxième piège concerne l'infrastructure de certificats. L'évaluation de la posture basée sur un agent avec EAP-TLS nécessite une PKI fonctionnelle. Si vous n'en avez pas, ou si la gestion du cycle de vie de vos certificats est manuelle et ad hoc, vous subirez des pannes. Les certificats expirent. Les appareils sont reconstruits sans certificats. Planifiez votre PKI avant de planifier votre déploiement NAC. Troisièmement : la conception des VLAN. Votre VLAN de quarantaine doit être véritablement isolé — pas seulement un sous-réseau différent sur la même infrastructure physique. Il ne doit avoir accès qu'à votre portail de remédiation et, si nécessaire, à Windows Update ou à votre serveur de gestion des correctifs. Si votre VLAN de quarantaine dispose d'une route vers les systèmes de production, vous avez créé un faux sentiment de sécurité. Quatrièmement : les processus d'exception et de contournement. Chaque organisation possède des appareils qui ne peuvent pas exécuter d'agent — imprimantes, capteurs IoT, systèmes de gestion technique de bâtiment. Vous avez besoin d'un processus documenté et approuvé pour accorder un contournement d'authentification MAC à ces appareils, avec des contrôles compensatoires. Si vous ne définissez pas ce processus dès le départ, vous vous retrouverez avec une liste blanche informelle que personne ne gère et que personne n'audite. Du point de vue des normes, alignez votre politique de posture sur les benchmarks CIS pour vos plateformes de systèmes d'exploitation. Ceux-ci sont neutres vis-à-vis des fournisseurs, régulièrement mis à jour et largement acceptés comme base de référence pour la sécurité des terminaux d'entreprise. Pour les environnements PCI DSS, l'exigence 6.3 sur la gestion des correctifs et l'exigence 5.3 sur les anti-malwares correspondent directement à vos catégories de vérification de posture. Place maintenant à quelques questions rapides. L'évaluation de la posture NAC peut-elle fonctionner pour les appareils BYOD ? Oui, mais vous devez configurer un parcours de politique distinct. Les appareils BYOD passent généralement par une méthode EAP différente — EAP-PEAP avec des identifiants utilisateur plutôt que EAP-TLS avec des certificats machine — et reçoivent un segment de réseau plus restreint. Les vérifications de posture pour le BYOD sont généralement plus légères : version de l'OS, présence d'un antivirus de base, verrouillage de l'écran activé. Comment cela interagit-il avec un réseau WiFi invité ? Cela n'interagit pas, et cela ne devrait pas. Le WiFi invité est un SSID et un segment de réseau complètement distincts, isolés de votre infrastructure d'entreprise. L'évaluation de la posture NAC s'applique uniquement à votre SSID d'entreprise. Les deux réseaux ne doivent jamais partager un VLAN ni router l'un vers l'autre. Quel est le calendrier type pour un déploiement NAC complet ? Pour une entreprise de taille moyenne — disons de cinq cents à deux mille terminaux répartis sur plusieurs sites — prévoyez de douze à seize semaines, de la conception à la mise en application complète. Cela comprend la configuration de la PKI, le déploiement des agents, le mode surveillance, la remédiation et le déploiement progressif de la mise en application. En résumé : l'évaluation de la posture NAC est le mécanisme qui garantit que votre cadre de contrôle d'accès au réseau a du répondant. L'identité seule — savoir qui se connecte — ne suffit pas. Vous devez connaître l'état de sécurité de l'appareil, le valider par rapport à votre politique et appliquer des mesures en cas de non-conformité. L'architecture est mature et bien standardisée autour de 802.1X, RADIUS et EAP-TLS. Les défis de mise en œuvre sont réels mais gérables si vous suivez une approche progressive. Vos prochaines étapes immédiates : auditez votre parc actuel de terminaux pour vérifier la conformité de leur posture à l'aide de votre MDM ou de vos outils de gestion des terminaux existants. Évaluez la préparation de votre PKI. Concevez votre architecture VLAN pour les segments conformes, conditionnels et de quarantaine. Et planifiez un déploiement en mode surveillance avant de passer à la mise en application. Pour les organisations exploitant des environnements mixtes — l'arrière-guichet de l'entreprise côtoyant un réseau WiFi invité ou public — des plateformes comme Purple fournissent l'intelligence réseau et les analyses côté invité qui complètent votre déploiement NAC d'entreprise, maintenant ces deux mondes proprement séparés tout en vous offrant une visibilité totale sur les deux. Merci pour votre écoute. Explorez le guide écrit complet sur la plateforme Purple pour obtenir des schémas d'architecture, des exemples concrets et des références de configuration.

header_image.png

Synthèse

Pour les responsables informatiques d'entreprise qui gèrent des environnements multi-sites complexes, l'identité seule ne suffit plus comme critère d'accès au réseau. Savoir qui se connecte est secondaire par rapport à la connaissance de l' état de sécurité de l'appareil utilisé. L'évaluation de la posture de contrôle d'accès au réseau (NAC) est le mécanisme qui comble cette lacune, garantissant que seuls les appareils gérés et conformes accèdent à l'infrastructure de l'entreprise avant même de transmettre le moindre paquet de trafic de production.

Ce guide fournit une référence technique complète sur la conception, le déploiement et la gestion de l'évaluation de la posture NAC. Nous y explorons l'architecture sous-jacente — y compris 802.1X, RADIUS et EAP-TLS —, évaluons les compromis entre l'interrogation avec et sans agent, et présentons une stratégie de déploiement progressif qui minimise les perturbations opérationnelles. Que vous sécurisiez un siège social, un réseau de points de vente distribués ou des opérations d'arrière-guichet dans l'hôtellerie, la mise en œuvre d'une évaluation rigoureuse de la posture est une étape essentielle pour atténuer les risques et faire respecter la conformité.

Écoutez notre podcast de briefing technique de 10 minutes ci-dessous pour un aperçu décisionnel des concepts clés et des pièges de déploiement les plus courants.

Analyse technique approfondie

L'architecture de l'évaluation de la posture

Le contrôle d'accès au réseau (NAC) régit la connectivité des appareils, mais l'évaluation de la posture est l'interrogation spécifique de l'état de sécurité d'un appareil. L'architecture repose sur trois composants principaux fonctionnant de concert :

  1. Point d'application des politiques (PEP - Policy Enforcement Point) : Il s'agit du gardien physique ou logique — généralement un point d'accès sans fil, un port de commutateur ou un contrôleur LAN sans fil. Le PEP contrôle physiquement le flux de trafic en fonction des instructions du moteur de politique.
  2. Point de décision des politiques (PDP - Policy Decision Point) : Souvent intégré à un serveur RADIUS ou AAA, le PDP est le cerveau de l'architecture NAC. Il reçoit les données de posture, les évalue par rapport aux politiques de conformité définies et émet des directives d'application au PEP.
  3. Moteur d'évaluation de la posture : Ce composant collecte les données de santé réelles de l'appareil final. Il peut s'agir d'un agent s'exécutant localement sur l'appareil ou d'un mécanisme sans agent exploitant des protocoles réseau (par exemple, SNMP, WMI) ou des intégrations d'API avec des plateformes de gestion des appareils mobiles (MDM). nac_architecture_overview.png

Le rôle de l'IEEE 802.1X et de l'EAP-TLS

Le fondement du NAC d'entreprise est la norme IEEE 802.1X, qui définit le contrôle d'accès réseau basé sur les ports. Dans ce cadre, trois rôles sont définis :

  • Supplicant (Demandeur) : L'appareil d'extrémité qui tente de se connecter.
  • Authenticator (Authentificateur) : Le PEP (commutateur ou point d'accès) facilitant la connexion.
  • Authentication Server (Serveur d'authentification) : Le serveur RADIUS validant les identifiants.

La communication entre le Supplicant et le serveur d'authentification s'effectue via le protocole EAP (Extensible Authentication Protocol), encapsulé à travers l'authentificateur. Pour les appareils d'entreprise gérés, EAP-TLS est la référence absolue. Il impose une authentification mutuelle à l'aide de certificats numériques X.509, garantissant que l'appareil et le réseau vérifient mutuellement leurs identités de manière cryptographique. Cela empêche le vol d'identifiants et les attaques par points d'accès malveillants.

Catégories de contrôle de posture

Lorsqu'un appareil tente de se connecter, le moteur d'évaluation de la posture évalue plusieurs vecteurs critiques :

  • Gestion du système d'exploitation et des correctifs : Vérification que le système d'exploitation est pris en charge et que les correctifs critiques sont appliqués dans le respect du SLA défini.
  • Sécurité des terminaux (AV/EDR) : Confirmation que les agents antivirus ou de détection et de réponse aux menaces sur les terminaux (EDR) approuvés sont installés, actifs et disposent de définitions à jour.
  • Statut du pare-feu : S'assurer que le pare-feu de l'hôte est activé et que sa politique n'a pas été altérée.
  • Chiffrement du disque : Validation que le chiffrement complet du disque (par exemple, BitLocker, FileVault) est actif et n'est pas suspendu.
  • Validation du certificat : Vérification de la présence et de la validité du certificat de machine requis.
  • Conformité de la configuration : S'assurer que le profil de sécurité de l'appareil est conforme à la politique de l'entreprise (par exemple, délais de verrouillage de l'écran, désactivation du stockage de masse USB).

posture_compliance_checklist.png

WPA3-Enterprise et force cryptographique

À mesure que la sécurité réseau évolue, les normes cryptographiques sous-jacentes évoluent également. Le WPA3-Enterprise, en particulier lorsqu'il fonctionne en mode 192 bits, apporte des améliorations significatives par rapport au WPA2. Il impose l'utilisation de GCMP-256 pour le chiffrement et de HMAC-SHA-384 pour l'intégrité. Pour les organisations qui manipulent des données sensibles, telles que les environnements du Commerce de détail soumis à la norme PCI DSS ou les établissements de Santé soumis à une gouvernance stricte des données, la transition vers le WPA3-Enterprise est une étape nécessaire pour pérenniser l'infrastructure réseau.

Guide de mise en œuvre

Le déploiement de l'évaluation de la posture NAC nécessite une planification minutieuse afin d'éviter des pannes de réseau généralisées. L'approche progressive suivante est recommandée pour les environnements d'entreprise :

Phase 1 : Préparation de l'infrastructure et conception de la PKI

Avant d'activer les contrôles de posture, assurez-vous que votre infrastructure sous-jacente peut prendre en charge l'architecture. Si vous déployez EAP-TLS, une infrastructure à clés publiques (PKI) robuste est indispensable. Les certificats doivent être provisionnés et renouvelés automatiquement via votre MDM ou votre stratégie de groupe. La gestion manuelle des certificats entraînera inévitablement des échecs de connectivité à l'expiration de ceux-ci.

Phase 2 : Mode Surveillance (Phase de visibilité)

La phase la plus critique de tout déploiement NAC est le mode Surveillance. Dans cette phase, le système NAC évalue la posture de l'appareil et enregistre les résultats, mais n'applique pas de politique. Le PEP autorise un accès complet quel que soit le résultat de la posture.

Exécutez le mode Surveillance pendant un minimum de 2 à 4 semaines. Cela permet d'obtenir une visibilité sur l'état de conformité réel de votre parc. Vous identifierez les appareils dont les contrôles échouent en raison d'agents défectueux, de redémarrages en attente ou de mauvaises configurations. Utilisez ces données pour corriger le parc de manière proactive.

Phase 3 : Application segmentée

Une fois que le niveau de conformité de référence est acceptable, commencez l'application. Les appareils sont classés en trois états en fonction de l'évaluation de la politique :

  1. Conforme : L'appareil réussit tous les contrôles critiques et est affecté au VLAN de production avec tous les accès nécessaires.
  2. Conditionnel : L'appareil échoue à un contrôle non critique (par exemple, une mise à jour mineure de l'OS est en attente). Il peut se voir accorder un accès restreint (par exemple, Internet uniquement) et l'utilisateur est invité à y remédier dans un délai spécifique.
  3. Non conforme : L'appareil échoue à un contrôle critique (par exemple, AV désactivé). Le PEP affecte l'appareil à un VLAN de quarantaine.

Phase 4 : Architecture de remédiation

Le VLAN de quarantaine doit être strictement isolé. Il ne doit autoriser le trafic que vers un portail de remédiation, les serveurs de mise à jour nécessaires (par exemple, Windows Update, serveurs de définitions AV) et les ressources de support informatique internes. Si un appareil en quarantaine peut acheminer du trafic vers les sous-réseaux de production, l'architecture NAC a échoué.

Bonnes pratiques

  • Évaluation continue : Le NAC hérité n'évalue la posture qu'au moment de la connexion. Les déploiements modernes doivent prendre en charge l'évaluation continue, en réévaluant la posture à des intervalles définis ou en réponse à des événements (par exemple, une alerte EDR), et en mettant à jour dynamiquement le niveau d'accès de l'appareil via un changement d'autorisation (CoA).
  • Avec agent vs. Sans agent : Pour les appareils d'entreprise gérés, une approche basée sur un agent offre la visibilité la plus approfondie et des capacités de surveillance continue. L'interrogation sans agent convient aux appareils non gérés ou aux environnements où le déploiement d'un agent est administrativement prohibitif.
  • MAC Authentication Bypass (MAB) : Les appareils incapables de supporter le 802.1X (ex. anciennes imprimantes, capteurs IoT) nécessitent le MAB. Cependant, le MAB est intrinsèquement peu sécurisé car les adresses MAC peuvent être usurpées. Les appareils MAB doivent être rigoureusement profilés et placés dans des VLAN isolés et strictement contrôlés.
  • Alignement sur les standards : Basez vos politiques de posture sur des frameworks reconnus tels que les CIS Benchmarks. Cela garantit que vos contrôles de conformité sont neutres vis-à-vis des fournisseurs et alignés sur les meilleures pratiques du secteur.
  • Isolation du trafic invité : L'évaluation de la posture NAC de l'entreprise ne doit jamais croiser les réseaux d'accès publics. Pour les établissements nécessitant les deux, utilisez une plateforme de Guest WiFi dédiée, telle que la solution de WiFi Analytics de Purple, afin de gérer l'accès public sur une infrastructure entièrement distincte.

Dépannage et atténuation des risques

Modes de défaillance courants

  1. L'application globale immédiate (effet "Big Bang") : Passer d'un accès ouvert directement à une application stricte sur l'ensemble du parc simultanément est la recette garantie d'une interruption opérationnelle. Utilisez toujours des déploiements progressifs par site ou par département.
  2. Défaillances de la PKI : Des certificats racines ou intermédiaires expirés, ou une défaillance de l'infrastructure de liste de révocation de certificats (CRL) / protocole de vérification de statut de certificat en ligne (OCSP), entraîneront des échecs d'authentification généralisés. Mettez en place une surveillance robuste pour votre PKI.
  3. Boucles de remédiation : Assurez-vous que les appareils placés dans le VLAN de quarantaine disposent réellement de l'accès réseau nécessaire pour télécharger les mises à jour requises pour devenir conformes. S'ils ne peuvent pas atteindre les serveurs de mise à jour, ils restent définitivement en quarantaine.

ROI et impact commercial

La mise en œuvre de l'évaluation de la posture NAC offre une valeur commerciale mesurable au-delà des simples indicateurs de sécurité :

  • Atténuation des risques : En veillant à ce que seuls les appareils sains accèdent au réseau, la propagation latérale des logiciels malveillants et des ransomwares est considérablement réduite, limitant ainsi la probabilité de violations de données coûteuses.
  • Vérification de la conformité : Pour les secteurs fortement réglementés comme l' Hospitality et le Transport , l'évaluation automatisée de la posture fournit une preuve continue de conformité avec des normes telles que PCI DSS et GDPR, simplifiant ainsi les processus d'audit.
  • Efficacité opérationnelle : L'automatisation du processus de quarantaine et de remédiation réduit la charge de travail du support informatique, permettant aux ingénieurs de se concentrer sur des initiatives stratégiques plutôt que sur le nettoyage manuel des terminaux infectés.

Définitions clés

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, qui fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un LAN ou un WLAN.

Le protocole fondamental qui garantit qu'un appareil doit s'authentifier avant que le port du commutateur ou le point d'accès ne laisse passer le trafic IP.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un cadre d'authentification qui utilise des certificats numériques X.509 pour une authentification mutuelle.

La norme recommandée pour les appareils d'entreprise gérés, car elle repose sur des certificats cryptographiques plutôt que sur des mots de passe facilement compromis.

Évaluation de la posture

Le processus d'évaluation de l'état de sécurité et de la configuration d'un appareil terminal par rapport à une politique d'entreprise définie.

Garantit qu'un appareil est non seulement authentifié mais également "sain" (mis à jour, chiffré, protégé) avant de se voir accorder l'accès au réseau.

Point d'application des politiques (PEP)

L'équipement réseau (commutateur, contrôleur sans fil ou point d'accès) qui bloque ou autorise physiquement le trafic en fonction de la politique NAC.

Le composant qui exécute réellement la commande "autoriser" ou "mettre en quarantaine" émise par le serveur NAC.

Point de décision des politiques (PDP)

Le serveur central ou moteur (souvent un serveur RADIUS) qui évalue les demandes d'authentification et les données de posture pour déterminer les droits d'accès.

Le cerveau de l'opération qui détient la base de règles et décide du niveau d'accès qu'un appareil spécifique doit recevoir.

Contournement de l'authentification MAC (MAB)

Une méthode d'authentification de secours qui utilise l'adresse MAC d'un appareil comme identifiant lorsqu'il ne peut pas effectuer d'authentification 802.1X.

Utilisé pour les appareils sans interface utilisateur comme les imprimantes ou les capteurs IoT. Il est intrinsèquement faible et doit être combiné avec une segmentation réseau stricte.

Changement d'autorisation (CoA)

Une extension RADIUS qui permet au serveur NAC de modifier dynamiquement l'état d'autorisation d'une session active.

Crucial pour une évaluation continue ; si un appareil devient non conforme en cours de connexion, le CoA permet au serveur NAC de le déplacer instantanément vers un VLAN de quarantaine sans nécessiter de déconnexion.

VLAN de quarantaine

Un segment de réseau strictement isolé conçu pour accueillir les appareils non conformes, offrant un accès uniquement aux ressources de remédiation.

Empêche un appareil infecté ou vulnérable de communiquer avec les systèmes de production pendant qu'il télécharge les mises à jour ou correctifs nécessaires.

Exemples concrets

Un hôtel de 400 chambres exige que les ordinateurs portables du personnel de l'entreprise accèdent de manière sécurisée au système de gestion de propriété (PMS) administratif. Cependant, l'établissement héberge également de nombreux appareils IoT non gérés (thermostats intelligents, signalisation numérique) qui ne peuvent pas exécuter d'agent NAC.

Mettre en œuvre une politique 802.1X EAP-TLS pour tous les ordinateurs portables du personnel de l'entreprise, en imposant des contrôles de posture stricts (antivirus actif, disque chiffré, correctifs appliqués). Ces appareils sont attribués dynamiquement au VLAN d'entreprise après confirmation de leur conformité. Pour les appareils IoT, mettre en œuvre le contournement de l'authentification MAC (MAB) combiné à un profilage approfondi des appareils. Veiller à ce que ces appareils MAB soient placés dans des VLAN IoT isolés et dédiés, avec des ACL limitant leur accès uniquement aux contrôleurs spécifiques avec lesquels ils doivent communiquer. En aucun cas le VLAN IoT ne doit être routé vers le VLAN d'entreprise ou le PMS.

Commentaire de l'examinateur : Cette approche segmente correctement le réseau en fonction des capacités des appareils et de leur profil de risque. Elle impose une sécurité élevée pour les appareils gérés tout en offrant une méthode d'accès pragmatique et contrôlée pour le matériel IoT sans écran, atténuant ainsi les risques inhérents au MAB.

Une chaîne de vente au détail déploie de nouveaux terminaux de point de vente (POS) dans 50 points de vente. L'équipe informatique souhaite imposer le respect de la posture de sécurité pour répondre aux exigences PCI DSS, mais craint de perturber les opérations des magasins pendant le déploiement.

Déployer l'architecture NAC en mode d'observation (Monitor Mode) pendant 30 jours. Durant cette période, le système NAC authentifiera les terminaux POS et évaluera leur posture par rapport à la référence PCI DSS (ex. pare-feu actif, aucun logiciel non autorisé), mais enregistrera les échecs sans bloquer l'accès. L'équipe informatique examine les journaux chaque semaine, identifie les terminaux qui échouent aux contrôles et les corrige via la plateforme MDM. Une fois que le taux de conformité atteint 100 %, la politique passe en mode d'application (Enforcement Mode) site par site pendant les fenêtres de maintenance.

Commentaire de l'examinateur : L'approche progressive utilisant le mode d'observation est essentielle pour la continuité des activités. Elle permet à l'équipe de sécurité d'identifier et de résoudre les écarts de conformité sans impact sur les opérations génératrices de revenus des points de vente.

Questions d'entraînement

Q1. Une solution NAC récemment déployée dans un bureau d'entreprise cause des problèmes de connectivité généralisés. Des appareils qui étaient conformes hier sont aujourd'hui placés dans le VLAN de quarantaine. Le support informatique signale que les appareils semblent sains, avec l'antivirus actif et les correctifs appliqués. Quelle est la défaillance d'architecture la plus probable ?

Conseil : Considérez le cycle de vie des identifiants utilisés dans EAP-TLS.

Voir la réponse type

La cause la plus probable est une défaillance de l'infrastructure à clés publiques (PKI). Si les certificats de machine utilisés pour l'authentification EAP-TLS ont expiré, ou si le serveur NAC ne peut pas joindre la liste de révocation de certificats (CRL) ou le répondeur OCSP, l'authentification échouera quel que soit l'état de sécurité réel de l'appareil. Le système NAC se configure par défaut sur un état de blocage ou de quarantaine.

Q2. Vous concevez l'architecture VLAN pour un nouveau déploiement NAC. L'équipe de sécurité insiste pour que le VLAN de quarantaine autorise l'accès au serveur proxy de l'entreprise afin que les utilisateurs puissent naviguer sur Internet pendant que leurs appareils se corrigent. Est-ce une conception judicieuse ?

Conseil : Évaluez le risque de permettre à un appareil potentiellement compromis d'accéder à une infrastructure partagée.

Voir la réponse type

Non, cette conception est défaillante. Autoriser un appareil en quarantaine à accéder au proxy de l'entreprise introduit un risque important. Si l'appareil est infecté par un malware, il pourrait utiliser le proxy pour établir une communication de commande et contrôle ou tenter de pivoter vers d'autres systèmes internes accessibles via le proxy. Le VLAN de quarantaine doit être strictement isolé, n'autorisant l'accès qu'à des serveurs de remédiation spécifiques (par exemple, Windows Update, serveurs de signatures antivirus) et au portail de remédiation lui-même.

Q3. Une équipe informatique hospitalière doit sécuriser l'accès réseau pour une flotte de nouvelles pompes à perfusion médicale sans fil. Ces appareils ne prennent pas en charge les supplicants 802.1X et ne peuvent pas exécuter d'agent de posture. Comment l'accès réseau doit-il être contrôlé pour ces appareils ?

Conseil : Considérez les méthodes d'authentification alternatives et le principe du moindre privilège.

Voir la réponse type

Les appareils doivent être authentifiés à l'aide du MAC Authentication Bypass (MAB). Le MAB étant intrinsèquement faible (les adresses MAC pouvant être usurpées), l'accès réseau doit être fortement restreint. Les pompes à perfusion doivent être placées dans un VLAN IoT médical dédié et isolé. Des listes de contrôle d'accès (ACL) doivent être appliquées à ce VLAN, autorisant la communication uniquement avec les serveurs de gestion centrale spécifiques requis pour leur fonctionnement, et bloquant tout autre mouvement latéral ou accès Internet.

Continuer la lecture de cette série

Gestion du WiFi pour les clients d'hôtels : Intégration du PMS, des portails et des normes de marque

Ce guide technique détaille comment concevoir des réseaux WiFi hôteliers de classe entreprise, en se concentrant sur la segmentation VLAN, l'intégration PMS pour la gestion automatisée des sessions et l'optimisation du Captive Portal pour une collecte de données conforme au GDPR.

Lire le guide →

Comment configurer un WiFi invité : Guide de configuration d'entreprise sécurisé

Ce guide de référence fournit aux responsables informatiques et aux architectes réseau un plan d'action définitif pour déployer un WiFi invité d'entreprise sécurisé. Il couvre l'architecture essentielle, la migration vers le WPA3, la segmentation VLAN et l'intégration de Captive Portal pour protéger les systèmes internes tout en collectant des données de première partie conformes.

Lire le guide →

Gestion de la bande passante pour le WiFi du personnel : lissage, QoS et réduction du trafic

Ce guide détaille les méthodes pratiques pour gérer la bande passante du WiFi du personnel dans les établissements d'entreprise. Il aborde le lissage du trafic, l'implémentation de la QoS et la manière dont le déploiement de Purple Shield réduit la charge réseau sans nécessiter de mise à niveau des infrastructures.

Lire le guide →