Aller au contenu principal

SmartLink + ZTNA : la double barrière de sécurité

Le contexte

Claire est RSSI chez BioLab, un laboratoire de 90 personnes réparties entre trois sites et du télétravail. L'entreprise héberge des applications internes critiques — LIMS (gestion de laboratoire), ERP, base documentaire réglementaire — sur ses propres serveurs. Claire veut sécuriser l'accès à ces applications sans exposer le réseau interne à Internet et sans infliger un VPN classique à ses équipes.

Le problème sans SmartLink + ZTNA

Avec un VPN classique :

  • Une fois connecté au VPN, l'utilisateur accède à tout le réseau interne (modèle "château fort")
  • Si un poste est compromis, l'attaquant a accès à l'ensemble du réseau
  • Le VPN est lourd à maintenir, lent, et dégrade l'expérience utilisateur
  • Aucune granularité : impossible de donner accès à une seule application
  • Les identifiants VPN sont un vecteur d'attaque supplémentaire à gérer

Avec un ZTNA seul (Tailscale/Headscale) :

  • Le réseau est segmenté, mais l'authentification aux applications reste classique (login/mot de passe)
  • Les mots de passe des applications internes restent un maillon faible
  • Pas de visibilité sur qui accède à quoi au niveau applicatif
  • Pas de gestion centralisée des accès aux applications

La solution : SmartLink + Tailscale/Headscale

En combinant SmartLink avec un réseau Zero Trust (Tailscale ou son alternative open source Headscale), on obtient deux couches de sécurité complémentaires :

Couche 1 — SmartLink : contrôle qui peut accéder et dans quelles conditions (identité, appareil, localisation)

Couche 2 — ZTNA : contrôle à quelles machines l'utilisateur peut se connecter sur le réseau (micro-segmentation)

Avec SmartLink + ZTNA

Étape 1 — Déployer le réseau Zero Trust

Claire installe Headscale (auto-hébergé pour garder la souveraineté des données) ou active Tailscale (plan Business). Chaque serveur hébergeant une application interne rejoint le réseau Zero Trust.

Étape 2 — Connecter SmartLink comme fournisseur d'identité

Claire configure SmartLink comme fournisseur OpenID Connect (OIDC) pour Tailscale/Headscale. Désormais, pour rejoindre le réseau Zero Trust, un collaborateur doit s'authentifier via SmartLink et son VaultysID.

Étape 3 — Définir les ACL par groupe

Claire définit des règles d'accès réseau basées sur les groupes SmartLink :

  • Le groupe "Laboratoire" accède uniquement au LIMS et à la base documentaire
  • Le groupe "Finance" accède uniquement à l'ERP
  • Le groupe "Direction" accède à toutes les applications
  • Personne n'accède à un serveur auquel il n'est pas explicitement autorisé

Étape 4 — Ajouter les politiques SmartLink

Claire renforce avec les Device Access Policies de SmartLink :

  • L'accès au LIMS exige un VaultysID biométrique et un poste sur le réseau de l'entreprise ou le ZTNA
  • L'accès à l'ERP exige un navigateur à jour et un système d'exploitation pris en charge

Étape 5 — L'expérience utilisateur au quotidien

Paul, chercheur en télétravail, ouvre son navigateur :

  1. Il s'authentifie sur SmartLink avec son VaultysID (scan QR + empreinte digitale)
  2. Le client Tailscale/Headscale s'authentifie automatiquement via le SSO SmartLink
  3. Paul clique sur le LIMS dans son tableau de bord SmartLink
  4. SmartLink le connecte automatiquement à l'application via le tunnel chiffré

Tout est transparent. Paul n'a saisi aucun mot de passe ni lancé aucun VPN manuellement.

L'architecture Zero Trust en détail

Qu'est-ce que ça protège ?

MenaceVPN classiqueZTNA seulSmartLink + ZTNA
Vol d'identifiants❌ Accès total au réseau⚠️ Accès réseau limité, mais applications exposées✅ Identité cryptographique (VaultysID) + réseau segmenté
Poste compromis❌ Tout le réseau exposé⚠️ Segment réseau exposé✅ Politique d'appareil bloque les postes non conformes
Mouvement latéral❌ Libre sur tout le réseau✅ Micro-segmentation✅ Micro-segmentation + contrôle applicatif
Vol de mot de passe applicatif❌ Accès à l'application❌ Accès à l'application✅ Pas de mot de passe connu (coffre-fort)
Accès après départ⚠️ Révocation lente⚠️ Révocation réseau uniquement✅ Révocation réseau ET applicative en 1 clic
Audit de conformité❌ Logs dispersés⚠️ Logs réseau uniquement✅ Traçabilité réseau + applicative

Le principe Zero Trust appliqué

"Ne jamais faire confiance, toujours vérifier"

  1. Vérifier l'identité → VaultysID (authentification cryptographique sans mot de passe)
  2. Vérifier l'appareil → Device Access Policy SmartLink (OS, navigateur, IP)
  3. Accès au moindre privilège → ACL Tailscale/Headscale (uniquement les serveurs nécessaires)
  4. Accès applicatif contrôlé → SSO SmartLink (uniquement les applications autorisées)
  5. Chiffrement de bout en bout → Tunnel WireGuard Tailscale/Headscale
  6. Surveillance continue → Logs SmartLink + logs ZTNA combinés

Tailscale ou Headscale ?

CritèreTailscaleHeadscale
HébergementCloud (Tailscale Inc.)Auto-hébergé
Souveraineté des donnéesDonnées chez Tailscale100 % sous votre contrôle
Facilité de mise en œuvreTrès simpleRequiert compétences d'administration
CoûtPayant (plan Business requis pour SSO)Gratuit et open source
SupportSupport commercialCommunauté
Intégration SmartLinkSSO OIDC + WebFingerSSO OIDC

Les deux options sont entièrement compatibles avec SmartLink via OpenID Connect.

Ce que ça change

Sans cette combinaisonAvec SmartLink + ZTNA
VPN = accès total au réseauMicro-segmentation par utilisateur et par application
Identifiants VPN + mots de passe applicatifsAuthentification unique VaultysID
Applications internes exposées sur InternetApplications invisibles depuis Internet
Révocation lente et incomplèteRévocation instantanée réseau + applicative
Logs dispersés et incompletsTraçabilité complète de bout en bout
Sécurité périmétrique (château fort)Sécurité Zero Trust (vérification continue)

Fonctionnalités utilisées