Six ans après l’arrivée des premières solutions de Network Access Control sur le marché, le NAC reste une énigme. Excellente idée sur le papier, il semble pourtant difficile de trouver deux utilisateurs capables de se mettre d’accord sur ce qu’est réellement le NAC. Voire, de trouver des utilisateurs tout court ! Et pourtant les cabinets d’analystes, Gartner en tête, persistent à suivre ce marché et lui trouvent même des leaders (Cisco et Juniper aux dernières nouvelles).

C’est qu’il doit bien y avoir quelque chose…

Et ce « quelque chose », ce pourrait bien être un subtil et très récent changement de vocation du NAC. « Nous voyons la technologie évoluer vers moins de contrôle d’intégrité et plus de contrôle d’accès et d’authentification. Le NAC a tendance à devenir désormais un contrôle d’accès intelligent », observe Klaus Gheri, Vice-President product management pour l’Europe chez Barracuda.

Même constat chez l’intégrateur Nomios : « Le NAC a changé. Désormais on cherche moins à être dans les couches basses (sécuriser tel port du commutateur, tel VLAN), mais plus dans une optique d’habilitation : on se connecte par exemple à l’annuaire afin de donner des droits d’accès spécifiques à l’utilisateur. Et de ce fait on offre aussi au passage une fonctionnalité de SSO : le NAC peut décider que puisque tel utilisateur est déjà authentifié (et que son profil de connexion n’a pas changé, ndlr) il n’y a pas besoin de le ré-authentifier.  Le tout à la fois en local et dans le Cloud, via SAML qui fait au passage son retour », précise Arnaud Cassagne, Directeur technique de Nomios. Nous vous parlions de cette tendance déjà en 2009, et elle semble donc plus que jamais d’actualité.

Mais pour en arriver là, encore faut-il avoir une vision centralisée des utilisateurs et de leur rôle dans l’entreprise, ce qui n’est pas sans rappeler d’autres projets bien plus structurants… « On en arrive en fait quasiment à un projet d’IAM », reconnaît Arnaud Cassagne.

Le lien du NAC avec l’IAM est évident, jusque dans le provisionning des comptes pour de nouveaux utilisateurs.  « Je remarque – surtout à l’étranger – que le NAC est de plus en plus sollicité pour du contrôle d’accès intelligent. Il permet par exemple faire de la gestion des identités avec plus de souplesse : un prestataire muni d’un système inconnu pourra demander à sa première connexion à créer un compte temporaire, qui sera validé par le chef de projet concerné avant que l’accès à ses ressources ne soient autorisées », explique Benjamin Marandel, ingénieur avant-vente chez McAfee. Là aussi le message est clair : le NAC évolue vers un rôle de facilitateur entre le contrôle d’accès et l’identité (et donc les métiers !).

Cette mutation ne semble toutefois pas avoir encore atteint le marché français. « Ce rapport du NAC à l’identité n’est pas le cas en France. Nous voyons ici plutôt une demande pour faire du contrôle de conformité. Car si c’est généralement le VPN qui se charge désormais de faire un premier contrôle de conformité simple (état de l’antivirus, s’assurer que Windows Update est actif, etc…), il faut une véritable solution NAC si l’on veut aller plus loin, comme par exemple contrôler la présence de tel ou tel correctif spécifique. Au total nous pouvons contrôler une vingtaine de points précis », poursuit Benjamin Marandel. Il reconnaît cependant que de tels projets ne sont pas majoritaires, et que les clients intéressés par cet aspect du NAC ne le sont généralement pas, ou peu, par ses capacités de contrôle d’accès.

Et c’est peut-être ici un autre point crucial de l’évolution du NAC : la technologie se scinde en deux besoins bien distincts, avec le contrôle de conformité d’une part et le contrôle d’accès « intelligent » de l’autre. Cette dichotomie, présente dès le début, n’a d’ailleurs certainement pas aidé le NAC à trouver ses marques sur le marché. Ajoutons à cela des approches philosophiquement très différentes selon que la solution est proposée par un éditeur de logiciel ou un fabricant de matériel réseau, et le NAC avait, dès la naissance, toutes les chances de rester une technologie confuse (et nous n’aborderons pas la question de l’incompatibilité entre les solutions…). Répondre séparément à deux besoins très distincts semble donc une bonne chose pour le NAC.

Et puis cette évolution est cohérente avec celle de la menace. Lorsque les premières solutions NAC sont arrivées sur le marché, la menace venait des grandes épidémies virales (Netsky et les autres, à partir de 2004). L’objectif du NAC était alors de s’assurer de l’état de santé des ordinateurs portables à leur retour au bureau. Mais la menace est très différente aujourd’hui. Les attaques ciblées telles celles qui ont frappées RSA ou Bercy montrent que c’est un utilisateur déjà authentifié, sur le LAN, qui est susceptible d’être infecté en premier. « Le LAN n’est plus une zone sûre. Et le NAC tel qu’il a été conçu n’empêchera pas un client légitime, déjà authentifié sur le réseau, de télécharger un code malveillant. Nous devons repenser la manière dont nous utilisons cette technologie, par exemple afin de contrôler l’accès à certaines zones au sein du LAN, à l’image de bastions », ajoute Klaus Gheri.

Autre facteur de renaissance aujourd’hui pour le NAC : le BYOD (« Bring Your Own Device »). L’arrivée des terminaux mobiles personnels et de leurs OS hétéroclites remet l’accent sur le terminal, ce que le NAC sait très bien faire. « Cisco remet notamment le NAC au goût du jour grâce au BYOD, et utilise pour cela désormais son client AnyConnect. Cela permet par exemple de s’assurer que lorsqu’il est dans le réseau de l’entreprise, le client utilise la passerelle interne pour surfer (et donc bénéficie du filtrage fournit par l’entreprise, ndlr) tandis que lorsqu’il est sur un réseau externe son flux passera par le service ScanSafe de Cisco, où le proxy est alors dans le Cloud », détaille Arnaud Cassagne. L’avantage d’une telle approche, outre le fait que le client AnyConnect est dores et déjà disponible pour iOS et Android, est que la redirection des flux web et email vers une passerelle filtrante – qu’elle soit en interne ou dans le Cloud – permet de s’affranchir de l’installation d’un antivirus sur le terminal mobile (une autre technologie qui n’a jamais franchement décollé). A noter qu’outre Cisco, Juniper offre une approche similaire avec son client Pulse.

Cependant malgré toute sa (nouvelle) utilité, le NAC d’aujourd’hui restera probablement désormais une brique dans des projets plus structurants. Et il y a de bonnes chances qu’il entraîne avec lui le domaine du Mobile Devices Management (MDM). « Nous allons vers de vrais projets globaux, on arrête d’empiler des briques séparées désormais. Le NAC y est déjà, et le MDM suivra certainement », prophétise Arnaud Cassagne.