Un outil idéal pour le nomade

Plus question aujourd'hui de ne pas accorder aux employés nomades la possibilité de se connecter au réseau de l'entreprise. Il s'agit autant d'une question de confort que de productivité. Hormis le réseau privé virtuel (RPV) bâti selon le protocole IPSec, une autre solution existe maintenant, grâce à la technologie SSL. Comme avec IPSec, un tunnel est établi entre le terminal de l'employé nomade et la passerelle du site central. Et toujours comme avec IPSec, ce tunnel subit un cryptage : les données qui y transitent resteront donc indéchiffrables.En revanche, à la différence d'IPSec, le tunnel SSL a été établi au niveau 7. Il passe donc au-dessus des pare-feu. Ce qui élimine quelques soucis de connexion parfois rencontrés en IPSec. Une autre différence majeure : le client sur le PC n'est plus un logiciel spécifique, mais le navigateur web, installé par défaut sur quasiment la totalité des PC. Pour crypter les informations, il utilise la fonction SSL (Secure Socket Layer), intégrée dans tous les navigateurs. Plus de problème avec le pare-feu, ni d'installation nécessaire d'un client : le RPV SSL s'impose comme l'outil idéal pour le collaborateur nomade. D'où le développement que cette solution connaît depuis quelques années.Cependant, le RPV SSL souffre d'une limitation. Le client étant un navigateur et travaillant au niveau 7, il ne donne accès qu'à des applications de type Web-mail ou adaptées au web. Or l'accès à la messagerie ne représente plus la seule préoccupation des entreprises. Elles attendent de leurs commerciaux qu'ils envoient à distance des bons de commande, qu'ils consultent l'état des stocks et qu'ils accèdent à son PGI, ou encore que les techniciens reçoivent leurs ordres de travaux et transmettent leurs fiches d'intervention. Or toutes ces applications métier ne semblent pas prêtes, et de loin, à migrer sur le web. Et donc IPSec, qui transporte n'importe quel type de flux, conserve l'avantage.

Un sas entre PC distant et système d'information

Mais les tenants du RPV SSL ont trouvé la parade, sous la forme d'un client temporaire : applet Java ou Control Active X. Il se télécharge sans que l'usager intervienne. Une fois connecté et après authentification, ce dernier voit apparaître sur son écran la liste des ressources auxquelles il a accès. Ce qui diffère du RPV IPSec, qui, par défaut, ouvre la porte à toutes les ressources du réseau. Seul le pare-feu permet de l'entrebâiller, sans la fermer complètement. Dans le cas d'un RPV SSL, l'utilisateur aboutit à une passerelle qui termine sa session SSL. Cette passerelle agit comme un sas de sécurité entre le PC et le système d'information. C'est l'administrateur qui fixe les liens vers les ressources autorisées en fonction du profil de l'utilisateur. Lorsque ce dernier clique sur une application nécessitant un client, celui-ci est transmis.Chaque fournisseur dispose de sa panoplie. Par exemple, chez Juniper, il en existe de deux types : Secure Application Manager (SAM) pour les applications client-serveur, et Network Connect pour un accès réseau équivalant à IPSec. Aventail a même conçu un client résident (Tunnel Connect) : une fois chargé, il ne disparaît pas lors de la fermeture de la session. Les connexions ultérieures s'en trouvent facilitées. Pour ceux qui veulent conserver la simplicité du RPV SSL, il propose un client temporaire (On Demand Connect). Ces clients assurent aussi les communications en voix sur IP. Grâce aux applets Java ou aux Control Active X, le RPV SSL devient, lui aussi, un transporteur polyvalent.

Se relier aux partenaires et aux clients : un atout

Puisque le RPV SSL ne nécessite pas de client et qu'il isole le système d'information du correspondant distant, les entreprises ont vu en lui l'outil de communication parfait avec leurs clients, fournisseurs et partenaires : c'est l'extranet. Un tel réseau est impossible à réaliser en IPSec. Il faudrait en effet imposer à chacun d'eux son client IPSec. Et ce serait alors entrebâiller la porte sur le système d'information. Trop dangereux.Bien qu'il soit paré de toutes les qualités, le RPV SSL ne balaiera pas IPSec. D'abord, le parc installé est important. Ensuite, IPSec est considéré moins gourmand en bande passante que SSL ?" intéressant pour de gros trafics. Enfin, les passerelles IPSec coûtent en général moins cher que leurs homologues SSL.Les deux technologies cohabitent donc, et se partagent les tâches. IPSec s'impose pour les connexions entre sites ou les télétravailleurs équipés du PC de l'entreprise. La configuration est fixe, et le terminal géré par l'entreprise. Par contre, les nomades ou les partenaires, les sous-traitants et les clients se connectent via des RPV SSL. Mais leurs PC demeurant inconnus de l'entreprise, il s'avère nécessaire de prévenir les risques d'attaques ou d'infections virales. Une politique de sécurité doit être définie : avant d'autoriser la connexion d'un PC, vérifier qu'il est sain ; s'il ne l'est pas, le placer en quarantaine le temps de sa désinfection, voire de sa proscription.