Les interactions entre réseau et sécurité se renforcent. Après l'intégration des antivirus de Trend Micro dans ses équipements (lire DI n° 597), Cisco s'attaque au poste client. À condition que le flux d'informations passe par un routeur, il en contrôle l'état (bon niveau de patch, antivirus à jour, absence de logiciels espions) avant d'autoriser sa connexion au réseau de l'entreprise. L'initiative Network Admission Control (NAC) répond à l'évolution des virus et des vers, comme l'explique Philippe Cunningham, chargé du développement de l'activité sécurité chez Cisco France : « Les attaques orientées applications sont bien traitées par les coupe-feu et les antivirus, mais la limite de ces protections tient aux problèmes de mise à jour des postes clients, ainsi qu'à la multiplication des attaques qui visent directement le réseau. Or, il suffit qu'une machine se connecte et se voit attribuer une adresse IP pour qu'elle infecte le réseau. Il faut donc déployer un mécanisme de protection qui maintienne en périphérie les menaces et qui permette au réseau de prendre les décisions de protection idoines. »

Pour ce faire, Cisco propose un cadre d'exécution dédié à la sécurité. NAC est composé d'extensions intégrées aux équipements réseau et d'agents résidant sur les postes clients, les Cisco Trust Agent (CTA). Avec NAC, toute machine se connectant au réseau est mise en quarantaine sur un VLAN, où elle n'accède qu'à des ressources réduites. L'agent audite alors l'état de la machine, et expédie un rapport à l'équipement de contrôle d'accès de Cisco, le Secure Access Control Server, qui interprète cet état et décide de la suite à donner : blocage de la machine, redirection sur un service de mise à jour ou autorisation de connexion. NAC effectue ensuite des vérifications périodiques du système. « NAC va au-delà de ce qu'un antivirus sait faire, affirme Frédéric Saulet, ingénieur avant-vente chez Trend Micro France, et témoigne du fait qu'une partie du contrôle de la sécurité, celle qui concerne la protection du réseau, passe par celui-ci. Ce qui ne réduit pas le rôle de l'antivirus pour toutes les attaques de plus haut niveau. NAC n'est pas un concurrent des antivirus, mais plutôt un moyen de renforcer l'application des politiques de sécurité sur les réseaux d'entreprise. »

Pour l'heure, Cisco a intégré NAC uniquement sur ses routeurs, avant de l'étendre à ses commutateurs et passerelles RPV en 2005, et ce, gratuitement, sous la forme de mises à jour d'entretien. Quant aux CTA, disponibles pour les seules plates-formes Windows, ils sont fournis par Cisco, mais également intégrés à VirusScan de Network Associates, à Symantec Antivirus ou encore à OfficeScan Corporate Edition de Trend Micro. L'équipementier ne compte pas tirer de bénéfices directs de NAC, mais pour Philippe Cunningham : « D'une part nous serons à même de proposer un standard à l'IEEE ou à l'IETF, sur le modèle de ce que nous avons fait avec l'extension de VMPS (VLAN Membership Policy Server) au standard 802.1x, d'autre part nous amènerons un certain nombre de contrats de services à nos partenaires intégrateurs autour de NAC. »

La demande pour ce type de technologies existe, qu'il s'agisse de sécuriser l'accès distant ou local. Trend conduit déjà un déploiement de NAC sur 12000 postes d'utilisateurs distants pour un grand compte. Nortel mène actuellement à bien un déploiement sur réseau local pour une grande administration européenne avec une technologie concurrente. « Les entreprises ont d'abord voulu sécuriser les accès distants, puis les réseaux locaux sans fil. Mais la mentalité change. Sur un campus LAN, elles se sentaient jusqu'ici en sécurité, jusqu'à ce qu'elles se rendent compte que les menaces venaient souvent de l'intérieur, de machines supposées sous contrôle », explique Rob Turner, responsable marketing produits d'entreprise chez Nortel Networks Royaume-Uni. D'autres constructeurs ont également une approche comparable, comme Netasq (lire encadré) ou Enterasys, avec Trusted End-System issu d'un partenariat avec Sygate et Zone Labs. Face à cette concurrence, Cisco n'a pas que des atouts. La première version de NAC ne contrôle que les utilisateurs externes (nomades, agences...) et pas ceux présents sur le réseau local. Une démarche qui suscite la surprise de Nortel (lire encadré). De plus, la technologie NAC ne fonctionne qu'avec les serveurs de contrôle d'accès de Cisco. « Mais la spécification NAC est ouverte, précise Philippe Cunningham, n'importe qui peut développer un serveur compatible ou des agents. » Les concurrents doivent développer pour être compatibles. Actuellement, seuls les utilisateurs d'équipements Cisco peuvent mettre en oeuvre NAC. Au final, la force de NAC tient probablement à la puissance de l'équipementier, suffisante pour imposer sa technologie en la rebaptisant standard, quitte à laisser en suspens les questions d'interopérabilité, et la cohabitation sur une même plate-forme de différents agents de contrôle.