Infrastructures IT : éviter que la fusion ne tourne au cauchemar
Ça y est : à force d'efforts et après de longs tracas juridiques, l'objectif est atteint : deux entreprises ne font plus qu'une. Mission accomplie?!
Pas si vite. Car commence maintenant une tâche redoutée par de nombreuses équipes informatiques : associer deux infrastructures IT disparates pour n'en faire plus qu'une?! Et ce n'est pas gagné : il faudra de longues heures de travail et la création de processus coûteux pour fournir à deux groupes d'utilisateurs isolés une connectivité interentreprises transparente. Car l'objectif des fusions et acquisitions est de bien combiner les ressources de deux (ou plusieurs) entreprises afin de faire progresser des objectifs commerciaux communs. Et cela passe donc par un accès unifié et sécurisé à des ressources souvent disparates.
Différentes entreprises utilisent des réseaux, des architectures et des systèmes différents pour héberger et distribuer les ressources informatiques nécessaires aux métiers. L'une des premières priorités des DSI pendant et après une fusion est donc de fournir un accès facile et, surtout, sécurisé aux données, aux infrastructures et aux applications nouvellement acquises ou fusionnées, et cela de manière équivalente aux collaborateurs des deux entreprises.
Dans un monde parfait, tout cela ne serait pas un problème : toutes les entreprises acquises seraient dotées d'un plan d'intégration simple et complet. Il suffirait d'appuyer sur un bouton pour que les employés, les systèmes, les applications, les réseaux, les centres de données et les installations se synchronisent automatiquement et, presque, «?automagiquement?»?!
Des fusions IT pas si simples.
Si seulement c'était aussi simple. Dans la vraie vie, la fusion des SI est si complexe que certaines entreprises créent des équipes dédiées à la tâche et rédigent des manuels pour standardiser les activités d'intégration, afin de réaliser plus rapidement les avantages stratégiques et financiers de l'acquisition. Le message est clair : plus l'intégration des SI prend du temps et plus l'acquisition mettra du temps à être rentable.
Lorsqu'elle n'a pas été ainsi (bien) préparée, l'intégration d'infrastructures IT peut s'avérer extraordinairement complexe et souvent plus coûteuse que l'évaluation initiale ne le prévoyait, souvent par manque de préparation.
Et pendant ce temps, les employés doivent se débrouiller avec des systèmes disparates et isolés qui ne permettent pas nécessairement une communication transparente entre les utilisateurs.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Cette approche d'intégration ad hoc donne rarement un résultat acceptable. Le coût de l'intégration des technologies existantes en un réseau cohérent est plus souvent un cauchemar à estimer et à piloter. Les cycles annuels d'actualisation des budgets ne tiennent souvent pas compte de cette intégration, et les fonds alloués à la mise à jour du matériel, des systèmes et des applications sont insuffisants pour prendre en charge de tels projets. Il en résulte des efforts permanents de maintenance pour de multiples réseaux disparates, ce qui constitue non seulement un cauchemar en termes de coûts et de ressources, mais aussi un risque en termes de cohérence de la protection et de l'évaluation des risques.
Pour toutes ces raisons, les entreprises qui tentent d'intégrer les infrastructures de réseau et de sécurité existantes après une acquisition ou une fusion ont souvent recours à des moyens « créatifs » pour permettre aux utilisateurs d'accéder aux ressources de réseaux disparates - des efforts certes méritoires, mais qui sont très souvent contraires à la politique de sécurité et qui risquent mettre à mal les pare-feux et autres protocoles de sécurité.
Outre les problèmes de sécurité, ces solutions improvisées s'avèrent aussi être un cauchemar pour les équipes du support technique, qui passent d'innombrables heures à essayer d'identifier et de résoudre les problèmes dus à la translation d'adresses IP (NAT), au routage et aux règles de pare-feu.
Le VPN, une fausse bonne idée??
L'une des solutions de contournement souvent mises en oeuvre à ce stade est celle de l'accès VPN, qui permet finalement d'offrir à des utilisateurs hors le SI de l'entreprise un accès à son réseau et ses applications. Cela fonctionne le plus souvent, mais peut mettre à rude épreuve les ressources du réseau, surtout lorsque le nombre d'utilisateurs VPN augmente.
Pire encore, l'augmentation du nombre de points d'accès et de connexions VPN étend la surface d'attaque des deux réseaux.
L'accès VPN est donc finalement un piètre substitut à la connectivité directe entre les deux entités. Sa gestion est coûteuse et comporte des risques. Et bien sûr, le fait de traiter plus d'une acquisition à la fois complique encore ces problèmes (il faut alors établir de multiples liens VPN croisés)
Mieux vaut ne rien faire converger?!
La réponse (peu intuitive) à ces difficultés est en réalité de ne pas faire converger les réseaux en premier lieu.
À la place, il est plus utile d'ajouter des connecteurs à chaque centre de données du réseau, d'ajouter un agent logiciel à l'appareil de chaque utilisateur, et de définir ensuite de manière centralisée des politiques qui permettent aux utilisateurs de se connecter aux applications dont ils ont besoin, accessibles depuis l'un ou l'autre des réseaux (ou depuis n'importe quel endroit d'où les utilisateurs peuvent se connecter, que ce soit leur domicile ou en déplacement).
Cette approche est celle dite «?Zero Trust?», ou encore d'accès réseau sans confiance (ZTNA), et elle s'appuie exclusivement sur des politiques de connexion pour autoriser l'accès des utilisateurs aux applications et aux réseaux. Elle permet d'accélérer la résolution des fusions et acquisitions, et surtout de s'affranchir des principaux problèmes liés à la connectivité interentreprises en quelques semaines plutôt qu'en quelques mois, voire quelques années (ou jamais?!).
Ce modèle (également connu sous le nom de «?Software Defined Perimeter?», ou SDP) est un ensemble de technologies qui fonctionne sur le modèle de la confiance adaptative : la confiance n'est jamais implicite et l'accès est accordé en fonction du «?besoin d'en connaître?», selon le principe du moindre privilège. L'approche ZTNA offre ainsi aux utilisateurs une connectivité transparente et sécurisée à des applications privées sans jamais exposer le réseau, les applications ou les données à Internet. Mieux : la connectivité est directe, au plus près du client et accessible de n'importe où (ce qui permettrait même en fin de compte à l'approche ZTNA de remplacer le réseau d'entreprise souffrant d'une sécurité périmétrique dépassée, notamment par la cohabitation des applications on-premise et dans le Cloud).
Lire aussi : Le FinOps, en filigrane de l'AWS re:Invent 2024
Contrairement aux solutions reposant sur le réseau, tels les VPN ou les pare-feux, ZTNA adopte une approche fondamentalement différente pour sécuriser l'accès aux applications internes, basée sur quatre principes fondamentaux :
- Une isolation complète entre la fourniture de l'accès aux applications, qui ne dépende plus des exigences traditionnelles d'accès au réseau. Cette isolation réduit les risques tels que l'infection du réseau par des dispositifs compromis, et n'accorde l'accès aux applications qu'aux seuls utilisateurs autorisés.
- Des connexions sortantes uniquement, ce qui garantit que l'infrastructure du réseau et des applications est rendue invisible aux utilisateurs non autorisés. Les adresses IP ne sont jamais exposées à Internet, ce qui masque les ressources internes aux yeux des personnes non autorisées.
- La segmentation native des applications de la ZTNA garantit qu'une fois que les utilisateurs sont autorisés, l'accès aux applications est accordé sur une base individuelle. Les utilisateurs autorisés n'ont accès qu'à des applications spécifiques, plutôt que de se voir offrir un accès illimité à l'ensemble du réseau.
- Une approche de la sécurité centrée sur la paire utilisateur et application, plutôt que sur le réseau. Le réseau est ainsi fortement réduit et Internet devient le nouveau réseau d'entreprise, en utilisant des microtunnels TLS chiffrés de bout en bout au lieu, par exemple, de liens MPLS plus couteux.
Avec la mise en place du modèle ZTNA durant une fusion-acquisition la DSI n'aura peut-être plus jamais besoin de se préoccuper de l'intégration complète de l'infrastructure de l'entreprise acquise. La gestion de l'accès des utilisateurs aux applications autorisées (régie par des politiques centrées sur l'utilisateur et l'application) permet une segmentation des applications sans qu'il soit nécessaire de segmenter le réseau, ou de les réunir. Une fois qu'un utilisateur est ajouté à une politique et qu'une autorisation d'accès à une application lui est accordée, il peut y accéder, quel que soit le réseau sur lequel il se trouve (voire aucun?!), de manière totalement transparente.
Plus de fusion des réseaux longue, sujette à erreur et coûteuse (notamment lorsqu'il faut harmoniser des plages d'adressage IP?!). Le modèle ZTNA permet aux organisations qui y adhèrent d'ouvrir immédiatement l'accès aux ressources internes à tous leurs utilisateurs. Et si pour une raison quelconque une société mère souhaite toujours intégrer l'infrastructure acquise, ce travail peut être effectué en coulisses et sans la même urgence, puisque les utilisateurs ont déjà accès aux ressources/applications nécessaires et peuvent donc travailler normalement.
La sécurité n'est pas oubliée pour autant
L'approche ZTNA ne fait jamais confiance par défaut, que l'utilisateur soit interne ou externe au réseau. D'ailleurs, ce modèle supprime totalement la distinction entre «?interne?» et «?externe?», puisque la connectivité est sécurisée directement entre l'utilisateur et l'application. Ainsi, l'accès au réseau interne n'est pas nécessaire, mais les applications sont également invisibles depuis l'Internet public.
Avec l'approche ZTNA les équipes informatiques peuvent ainsi vraiment se concentrer sur l'intégration des données, des systèmes et des applications à leur propre rythme, selon la stratégie qui répondra le mieux aux besoins de l'entreprise, et sans subir la pression des métiers.
Car pendant ce temps les collaborateurs de chaque entreprise peuvent accéder à toutes les ressources dont ils ont besoin, où qu'elles se trouvent, et d'où qu'ils se connectent. Le tout sans intégration complexe des réseaux, sans subir les contraintes liées aux VPN, sans surcout de surconsommation de ressources réseau et sans devoir procéder à un réoutillage coûteux des architectures.
Et cerise sur le gâteau : cela fonctionne tout aussi bien en télétravail et en déplacement?!
Didier Schreiber, Expert cybersécurité - Zscaler.
Sur le même thème
Voir tous les articles Cybersécurité