Si les visiteurs du salon Interop New-York ont montré un grand intérêt pour les solutions et technologies de contrôle d'accès réseau (NAC - Network Access Control) présentées par les différents constructeurs, un panel d'experts de ces mêmes constructeur a rappelé qu'il est essentiel de bien évaluer ses besoins avant de prendre le train du NAC. Le marketing intensif autour du NAC attire la curiosité des utilisateurs mais pour les différents experts du panel, l'investissement dans une telle solution n'est justifiable que s'il peut être lié à des besoins réels. Comme l'expliquait en introduction le modérateur du panel de discussion, Joel Snyder, un associé du cabinet Opus One, nombre d'entreprises devraient avant tout se poser la question de savoir à quoi NAC peut leur servir. "La plupart des utilisateurs ne savent même pas ce qu'ils veulent. C'est inquiétant" constate Thomas Howard, un consultant en solutions de sécurité de Cisco. Le panel a ainsi noté qu'il faut une certaines maturité aux entreprises pour être capable de classer leurs utilisateurs en groupes et définir les politiques d'accès adéquates. Pourtant, comme l'explique David Greenstein, l'architecte en chef de StillSecure, de telles politiques devraient être définies avant le design d'une architecture NAC. Souvent les clients identifient leur risque le plus élevé et structurent leur infrastructure NAC pour s'en protéger, sans créer une hiérarchie de menaces plus large... Pour Steve Hanna, un ingénieur du Trusted Computing Group - un consortium responsable du développement de TCPA et qui travaille aussi sur un standard NAC ouvert- ce n'est pas forcément une mauvaise idée. Il recommande ainsi de "choisir quel est la menace la plus grande et de commencer les déploiements sur un échantillon d'utilisateurs ayant accès aux données les plus critiques de l'entreprise". Adopter 802.1x, un préalable aux architectures NAC Pour les membres du panel, les entreprises doivent se préparer à supporter l'authentification 802.1x, un standard utilisé par la plupart des technologies NAC comme base pour appliquer des politiques de contrôle d'accès au réseau. Le standard est notamment supporté par Microsoft dans les dernières moutures de Windows, mais il est aussi de plus en plus intégré aux périphériques réseaux tels que les téléphones IP... Se voulant pratique, Steve Hanna recommande une mise en oeuvre prudente des technologies NAC et notamment de leur composante de validation de conformité des postes clients. Pour Hanna, il faut tout d'abord démarrer en mode observation afin d'évaluer quel pourcentage des PC et portables ne se conforme pas aux politiques d'accès. "Nombre d'entreprises sont choquées de constater le pourcentage de systèmes non conformes à leurs propres recommandations". Le risque d'activer NAC en mode opérationnel sans être passé par une phase d'observation est de se retrouver avec une grande proportion d'utilisateurs coupée du réseau. "Ce n'est pas une situation agréable un lundi matin lorsque tout le monde tente d'accéder à l'e-mail", a plaisanté Hanna. De la nécessaire coopération des fournisseurs A la question de savoir quand une architecture NAC opérationnelle serait disponible chez les fournisseurs, Hanna a répondu de façon vague : "ce sera un processus graduel". Si certains composants d'une architecture NAC sont aujourd'hui disponibles chez des constructeurs comme Cisco, ils ne couvrent pas encore toutes les situations : "Il y a aura toujours des cas à part. Nous n'aurons jamais un agent magique capable de contrôler toutes les situations" explique ainsi Thomas Howard. En fait, pour Paul Mayfield, un responsable de groupe de la division Windows de Microsoft, le succès des architectures NAC repose avant tout sur la coopération entre vendeurs, car nombre d'entreprises ont des réseaux hétérogènes et ne sont pas prêtes à les confier à un seul fabricant pour profiter de son architecture NAS. "Il faudra que les clients fassent pression sur leurs fournisseurs pour régler les différents problèmes. Ce n'est plus qu'un problème d'assemblage des différentes pièces du puzzle". Mais quel puzzle ... avec Tim Greene, Network World US