Pour lutter contre les menaces de sécurité et les défis de productivité posés par le travail à distance et le BYOD (Bring Your Own Device), le fournisseur de plateforme SASE (Secure Access Service Edge) Cato Networks propose une nouvelle modalité de contrôle d'accès aux applications basée sur le risque. Selon Cato Networks, avec ce contrôle, les politiques d'entreprise peuvent prendre en compte le contexte en temps réel de l'appareil afin de restreindre l'accès aux capacités des applications d'entreprise, et aux ressources Internet et cloud. Cette annonce intervient alors que les gouvernements du monde entier demandent aux entreprises d'évaluer et d'améliorer leurs défenses de cybersécurité en réponse aux tensions militaires et cyber relatives à la guerre menée par la Russie contre l’Ukraine. 

Un contrôle basé sur le contexte des dispositifs convergents

« Dans le paysage actuel des menaces, l'identité de l'utilisateur ne suffit pas à elle seule à évaluer les risques liés à l'accès réseau zero-trust (Zero-Trust Network Access, ZTNA) ou au BYOD », a indiqué Cato dans un communiqué. L'usurpation d'identité et les appareils personnels malveillants constituent des menaces de sécurité importantes. « Une solution applicative avec des capacités contextuelles est nécessaire pour maintenir un bon ratio entre productivité de l'utilisateur et atténuation des risques », a ajouté le fournisseur. Pour relever ce défi, Cato propose d’évaluer en continue le contexte des appareils avec son moteur Cato Single Pass Cloud Engine (SPACE) intégré dans sa pile logicielle native du cloud. SPACE évalue en permanence la position de l'appareil d'un utilisateur et agit dès que celui-ci n’est plus conforme. « Une fois exposés, les attributs de contexte deviennent disponibles dans toutes les capacités actuelles et futures de Cato pour permettre un contrôle granulaire de l'accès aux applications des utilisateurs », a expliqué le fournisseur. Les attributs de contexte du dispositif incluent le type de logiciel anti-malware ainsi que la présence d'un pare-feu côté client, le cryptage complet du disque et les niveaux de correctifs, avec des informations recueillies par le framework cross-plateforme OPSWAT OESIS à partir de Cato Client. 

Un accès limité aux ressources et aux capacités spécifiques

« Grâce au contexte de l'appareil, l'accès de l'utilisateur peut être limité à des ressources et des capacités spécifiques, et aux équipes IT de créer des politiques d'accès qui tiennent compte de la position de risque en temps réel des utilisateurs et de leur besoin d'accès aux ressources », a encore expliqué Cato. Parmi les cas d’usage, Cato a fourni les exemples suivants : 

- S’il travaille à distance à partir d'un appareil personnel, un utilisateur pourrait recevoir des autorisations pour télécharger vers la plateforme de collaboration mais pas pour télécharger des données, sans aucune autre ressource disponible. Et s’il travaille à partir d'un appareil d'entreprise, le même utilisateur pourrait recevoir des autorisations de téléchargement avec un accès en lecture seule aux systèmes financiers, aux systèmes ERP et CRM.

- S’il travaille à partir d'un appareil d'entreprise doté d'un programme anti-malware, un utilisateur pourrait se voir accorder un accès en lecture et en écriture à la plateforme de collaboration, aux systèmes financiers et aux partages de fichiers.

- L'accès à toutes les ressources pourrait être bloqué si les utilisateurs travaillent depuis un appareil localisé dans une zone géographique inhabituelle, une zone de conflit par exemple. 

« Nous nous réjouissons de ce partenariat avec Cato Networks », a commenté Hamid Karimi, vice-président des alliances technologiques et OEM chez OPSWAT. « L’usage du framework OESIS par la plateforme SASE convergente et native du cloud de Cato pour accéder aux métadonnées des points d'extrémité permet aux équipes IT des entreprises d'établir des politiques granulaires qui réduisent la surface d'attaque », a ajouté M. Karimi.