Introduction

Contexte et Objectifs

Dans un contexte où les réseaux d'entreprises deviennent de plus en plus complexes, la gestion des
accès au réseau est devenue un enjeu stratégique majeur pour garantir la sécurité et l'intégrité des
systèmes d'information. Avec l'augmentation du nombre de dispositifs connectés et la multiplication
des menaces cybernétiques, les organisations doivent adopter des solutions de contrôle d'accès au
réseau (NAC) pour protéger efficacement leurs infrastructures.

Les solutions NAC permettent de réguler et de surveiller les accès aux réseaux en fonction de la
conformité des dispositifs, de l’identité des utilisateurs, et des politiques de sécurité en place. Elles
offrent des fonctionnalités telles que l'authentification, l'autorisation, et la vérification de la conformité
des appareils avant de leur accorder l'accès au réseau. De plus, elles jouent un rôle essentiel dans la
mise en œuvre de la segmentation du réseau et la protection contre les accès non autorisés ou
malveillants.

L’objectif de ce rapport est de réaliser une étude comparative des solutions NAC disponibles sur le
marché. Cette analyse vise à fournir aux décideurs un guide pratique pour choisir la solution la plus
adaptée à leurs besoins en prenant en compte des critères clés tels que :

 La scalabilité des solutions,

 Leur intégration avec d'autres systèmes de sécurité et d’infrastructure,
 La sécurité et la conformité qu’elles offrent,
 Le degré de personnalisation et de gestion des politiques,
 La facilité de déploiement, d’admission et de maintenance,
 Les modèles de licence et le coût total de possession (TCO).

Présentation des solutions NAC étudie

Les solutions contrôle d’accès au réseaux (NAC) sont des systèmes de sécurité qui régulent l'accès
aux réseaux informatiques. Ces solutions permettent de définir et d'appliquer des politiques de sécurité
afin de contrôler qui peut se connecter au réseau et quels types d'accès sont accordés en fonction des
conditions préétablies.

Les fonctionnalités principales des solutions NAC

Les solutions de contrôle d'accès réseau peuvent offrir de nombreuses capacités et niveaux de sécurité
différents, notamment le contrôle et la surveillance de l'accès, l'intégration automatisée, la découverte
d'actifs, la gestion des politiques et les intégrations tierces.

Contrôle d'accès et surveillance

Cette fonctionnalité peut accorder l'accès au niveau de granularité nécessaire pour satisfaire aux
exigences de sécurité, de risque et de conformité de l'organisation afin de bloquer, de mettre en
quarantaine et d'accorder différents degrés d'accès.

Accès et intégration automatisés des invités

La gestion et l'automatisation automatisées des accès invités doivent être en mesure de gérer le volume
et le type d'accès invités attendus par l'organisation. En outre, l'intégration automatisée des appareils
d'entreprise et BYOD doit être envisagée pour éliminer la charge de configuration et d'approbation des
équipes informatiques ou du service d'assistance.

Découverte d'actifs, visibilité et profilage des appareils

Il est important de surveiller, de sécuriser et de fournir un accès approprié à chaque nouveau point de
terminaison (postes de travail, ordinateurs portables, IoT, etc.). Les outils doivent au moins être
capables de découvrir et de gérer la majorité des types de points de terminaison et du volume
d'utilisateurs attendus pour le réseau et doivent bloquer automatiquement les appareils malveillants.

Gestion des politiques

Cette fonctionnalité doit fournir des capacités suffisantes pour définir et administrer les exigences de
configuration de sécurité, attribuer des niveaux d'accès à des groupes spécifiques et spécifier les
actions spécifiques que le NAC doit entreprendre avec les points de terminaison conformes et non
conformes.

Intégration de sécurité tierce

Les intégrations avec d’autres solutions telles que les systèmes de gestion des informations et des
événements de sécurité (SIEM) et les pare-feu de nouvelle génération (NGFW) peuvent accélérer les
réponses de sécurité, permettre des réponses plus robustes aux menaces et augmenter le contexte et
l’utilité des alertes. Certains outils NAC auront même des fonctions de sécurité intégrées pour offrir
une protection supplémentaire.

Critères d'évaluation des solutions NAC

1. Scalabilité

 Nombre d'utilisateurs/dispositifs supportés : La capacité du NAC à évoluer pour gérer un

nombre croissant d’utilisateurs ou d’appareils.
 Évolutivité des fonctionnalités : Possibilité d’ajouter des modules supplémentaires ou des
fonctionnalités sans réinstallation complète.

2. Intégration

 Compatibilité avec d'autres solutions : Capacité à s'intégrer à des solutions existantes telles
que les firewalls, les solutions de gestion des identités (IAM), ou d'autres outils de sécurité.
 Interopérabilité avec des environnements hétérogènes : Compatibilité avec différents
systèmes d'exploitation (Windows, macOS, Linux, etc.), plateformes cloud et environnements
réseau (Wi-Fi, LAN, VPN).

3. Sécurité et conformité

 Authentification et autorisation : Types de mécanismes d'authentification pris en charge

(802.1X, RADIUS, TACACS+, etc.).
 Vérification de la conformité : Capacité à vérifier la conformité des dispositifs avant de leur
accorder l'accès (mise à jour des correctifs, antivirus, configuration de sécurité).
 Gestion des menaces : Fonctionnalités de détection des menaces, segmentation dynamique du
réseau, et capacité de répondre aux incidents.
4. Personnalisation et gestion des politiques

 Gestion des politiques de sécurité : Flexibilité dans la création et la gestion des politiques de
sécurité. Support pour la personnalisation selon les rôles d'utilisateurs, les types d’appareils,
les groupes, etc.
 Automatisation : Possibilité d'automatiser certaines tâches comme l'assignation des politiques
en fonction de l'appareil ou de l’utilisateur.

5. Facilité de déploiement et maintenance

 Simplicité du déploiement : Facilité avec laquelle la solution NAC peut être mise en place,
que ce soit sur site ou dans un environnement cloud.
 Maintenance et mises à jour : Facilité de gestion des mises à jour, des correctifs et des
nouvelles versions.
 Documentation et support technique : Qualité de la documentation fournie et réactivité du
support technique.

6. Expérience utilisateur et gestion

 Interface utilisateur : Simplicité d'utilisation et qualité de l'interface de gestion.

 Centralisation de la gestion : Capacité à gérer l'ensemble du réseau et des accès depuis une
plateforme centralisée.
 Visibilité et surveillance : Outils de surveillance en temps réel et de reporting.

7. Coût total de possession (TCO)

 Coût des licences : Coût initial des licences (par utilisateur, par appareil, par fonctionnalité,
etc.).
 Coûts récurrents : Coûts d'abonnement, de maintenance et de support.
 Retour sur investissement (ROI) : Temps nécessaire pour que l’investissement dans la
solution soit amorti.

8. Licence et modèles de tarification

 Flexibilité des licences : Différents types de licences proposés (par appareil, par utilisateur,
par fonctionnalité).
 Modèles d'abonnement ou licence perpétuelle : Options offertes par le fournisseur pour la
tarification et les mises à jour.

Analyse des Solutions NAC

Cisco Identity Services Engine (ISE) est une solution de contrôle d'accès réseau (NAC) complète qui
permet de gérer la sécurité et les accès réseau dans une entreprise. Voici un résumé de ses
caractéristiques , ainsi que de ses avantages et inconvénients .
Caractéristiques principales de Cisco ISE :

1. Contrôle d'accès basé sur les rôles (RBAC) : Cisco ISE permet de définir et de gérer les
politiques d'accès en fonction des rôles des utilisateurs et des appareils.
2. Posture et évaluation des appareils : Il analyse les appareils pour vérifier leur conformité
(mises à jour de sécurité, antivirus, etc.) avant de les autoriser sur le réseau.
3. Gestion des invités : ISE propose des fonctionnalités spécifiques pour permettre l'accès aux
invités avec des portails personnalisables.
4. Segmentation du réseau : Grâce à des politiques définies, il permet de segmenter le réseau en
fonction des niveaux de sécurité des utilisateurs ou des appareils.
5. Gestion des accès BYOD (Bring Your Own Device) : Prise en charge des appareils
personnels tout en appliquant des politiques de sécurité.
6. Analyse et suivi : Surveillance continue des utilisateurs, des appareils et des sessions pour
détecter les comportements anormaux.
7. Intégration avec d'autres solutions de sécurité : ISE s'intègre avec d'autres solutions Cisco
comme les pare-feux, et avec des produits tiers pour créer un réseau de sécurité complet.

Avantages de Cisco ISE :

1. Sécurité renforcée : ISE offre une solution complète pour la gestion des accès et la
sécurisation des points finaux, notamment les risques liés aux appareils non conformes.
2. Gestion centralisée : Tout est géré à partir d'une seule plateforme, facilitant l'administration
des politiques de sécurité réseau.
3. Grande évolutivité : ISE s'adapte aux petites et grandes entreprises avec la possibilité de
gérer un grand nombre d'utilisateurs et d'appareils.
4. Personnalisation des politiques : Les politiques peuvent être personnalisées en fonction des
utilisateurs, des groupes ou des appareils.
5. Intégration étroite avec les solutions Cisco : Pour les entreprises utilisant déjà des
infrastructures Cisco, ISE s'intègre parfaitement avec les autres produits, ce qui peut réduire
les coûts et simplifier la gestion.
6. Compatibilité BYOD : Permet aux entreprises de gérer de manière sécurisée l'accès aux
appareils personnels.

Inconvénients de Cisco ISE :

1. Coût élevé : Cisco ISE est une solution coûteuse, ce qui peut être un frein pour les petites et
moyennes entreprises.
2. Complexité de configuration : L'installation et la configuration initiale peuvent être
complexes, nécessitant des compétences spécifiques en réseaux et en sécurité.
3. Consommation de ressources : ISE peut nécessiter une infrastructure matérielle et
significative pour fonctionner de manière optimale, logicielle surtout dans des environnements
étendus.
4. Intégration avec des solutions tierces : Bien qu'il puisse s'intégrer avec d'autres solutions,
cela peut parfois être plus difficile que prévu, surtout si ces solutions ne font pas partie de
l'écosystème Cisco.

1.Ivanti Policy Secure

Ivanti Policy Secure offre des fonctionnalités NAC complètes et adhère à un large éventail de normes
de conformité. La solution englobe les points de terminaison locaux et distants pour appliquer les
politiques de sécurité réseau fondamentales et contrôler l'accès au réseau pour les points de
terminaison gérés et non gérés, y compris l'IoT. La plateforme applique les politiques d'accès et
s'intègre également à d'autres produits Ivanti pour fournir un accès réseau Zero Trust et des analyses
comportementales des utilisateurs.

Caractéristiques

 Réponses automatisées aux menaces en réponse aux indicateurs de compromission

 Visibilité centralisée et gestion des politiques de tous les points de terminaison : postes de
travail, ordinateurs portables et appareils IoT (Internet des objets)
 Intégration bidirectionnelle de tiers pour améliorer la sécurité et l'audit
o Pare-feu : Checkpoint, Fortinet, Juniper, Palo Alto Networks, etc.
o Gestion des informations et des événements de sécurité (SIEM) : IBM QRadar,
Splunk, etc.
o Et plus encore : Nozomi Guardian (suivi des technologies opérationnelles et IOT
industrielles), Trellix ePolicy Orchestrator, etc.
 Analyses de comportement intégrées formées pendant la période d'apprentissage de Policy
Secure
 Intégration BYOD avec intégration de gestion mobile d'entreprise tierce ou contrôleur de
distribution d'applications virtuel (vADC)
 Options d'expérience utilisateur personnalisables telles que des logos personnalisés, des
couleurs d'arrière-plan, des salutations personnalisées pour les utilisateurs, etc.
 Segmentation dynamique du réseau en fonction du rôle de l'utilisateur et de la classification
des appareils
 Évaluation granulaire de la posture de sécurité des points d'extrémité avant d'autoriser
l'accès
 Application du NAC de couche 2 via 802.1x, authentification MAC, protocole de gestion de
réseau simple (SNMP) et protocole Secure Socket Shell (SSH)
 Application du NAC de couche 3 grâce à l'intégration avec des pare-feu, des solutions de
détection et de prévention des intrusions et des commutateurs Ethernet
 Prise en charge de RADIUS et TACACS+ pour les appareils et autres dispositifs
d'authentification multifacteur
 Intégration en libre-service pour les appareils et les utilisateurs dans les systèmes de gestion
des identités et des accès connus

Avantages

 Rapports personnalisables pour le suivi des indicateurs de performance clés, l'audit et la

conformité
 Intégration des invités incluse avec la licence de base au lieu d'un module complémentaire
 Plus de 2,3 millions de profils d'appareils IoT inclus
 Coût total de possession (TCO) potentiellement inférieur pour les organisations ayant des
besoins moins complexes par rapport à des concurrents plus connus
 Connexions sécurisées pour les utilisateurs locaux et distants
 Mise en œuvre et connexion simples pour les serveurs et les équipements réseau
 Compatibilité étendue des systèmes d'exploitation : Windows, macOS, Linux, Android et
iOS
 Le déploiement et la configuration basés sur un assistant garantissent une mise en œuvre
facile et aucune étape manquée

Inconvénients

 Des processus de connexion longs , selon les clients

  La confusion entre les licences réservées, les durées de location, les procédures de rappel de
licence et la remise des licences rend difficile la prévision des coûts dans des contextes
d'utilisation variables.
 Instabilité pour certains utilisateurs de réseaux privés virtuels (VPN) ; cependant, cela
peut être dû à une configuration incorrecte où des conflits entre des intervalles de pulsation de
session incompatibles et des intervalles de vérification d'hôte créent des déconnexions
 Les capacités de vérification de l'hôte sont considérablement limitées sur les appareils
exécutant Linux, Solaris et les appareils mobiles et quelque peu limitées pour macOS
 Pas aussi vaste et robuste que des concurrents plus connus
 Faible notoriété de la marque par rapport à ses concurrents

2. ForeScout

ForeScout Platform, initialement connue sous le nom de CounterACT, est une solution NAC
indépendante des fournisseurs qui permet une installation sans interruption pour une intégration fluide
avec les périphériques réseau et un déploiement rapide dans les environnements actuels. Elle fournit
également diverses intégrations tierces établies. Les versions les plus récentes incluent plusieurs
modules qui fournissent des inventaires d'actifs en temps réel, des contrôles basés sur des politiques et
une intégration de sécurité tout en étendant les contrôles NAC au cloud et à travers les secteurs.
Les outils NAC de la plateforme Forescout offrent chacun des fonctionnalités spécifiques :

 Fonctionnalités d'eyeControl
o Applique l'accès au moindre privilège pour tous les appareils gérés et non gérés
o Accès d'application granulaire basé sur la classification des appareils, la posture de
sécurité et les combinaisons d'utilisateurs (employés, invités, sous-traitants, etc.)
o Permet une réponse automatisée pour contenir rapidement et efficacement les
menaces en fonction d'une politique allant de modérée (déplacement vers le réseau
invité, affectation à un VLAN d'auto-correction, application de mises à jour/correctifs
du système d'exploitation, etc.) à stricte (mise en quarantaine des actifs, désactivation
du port du commutateur, blocage de l'accès, désactivation de la carte réseau, etc.)
o Conformité automatisée des appareils grâce à des évaluations de conformité et des
flux de travail de correction
o Intégration automatisée de nouveaux appareils, y compris les terminaux BYOD
(Bring Your Own Device) et les utilisateurs invités
 Caractéristiques du segment oculaire
o Simulez les politiques mises à jour pour déterminer leur impact sur les opérations
avant l'activation
o Activez les initiatives Zero Trust avec des zones, des groupes et une micro-
segmentation du réseau en fonction des utilisateurs, des appareils et des applications
o Surveillance en temps réel des segments de réseau pour permettre une réponse
automatisée ou rapide aux violations de politique ou aux menaces de sécurité
 Fonctionnalités de eyeSight
o Surveillance et détection continues des appareils de l'entreprise lorsqu'ils se
connectent au réseau
o Inventaires d'actifs en temps réel d'appareils physiques et virtuels, y compris la
classification automatique pour une grande variété d'objets connectés (IoT), d'Internet
des technologies médicales (IoMT), de technologies opérationnelles (OT), de
technologies cloud et d'appareils industriels (IIoT)
o Le profilage passif et les évaluations des appareils fournissent des informations
approfondies sans impacter les performances ou la disponibilité
 Fonctionnalités de sécurité des dispositifs médicaux
o Détection continue des dispositifs médicaux
 o Intelligence artificielle (IA) et évaluation des risques des appareils basée sur des
règles en fonction de l'exposition du réseau, des attaques connues et de la criticité
opérationnelle
o Accès et application personnalisés pour chaque appareil médical connecté
o Rapports détaillés sur la posture de sécurité, les alertes et les risques
 Fonctionnalités d'eyeManage
o Gestion et inventaire unifiés des appareils sur tous les déploiements pour consolider
le centre de données, le cloud, la succursale, l'usine, l'IoT et l'OT dans une seule
fenêtre de gestion
o Distribution automatisée d'adresses IP, de licences Forescout, de mises à niveau et
de sauvegardes de logiciels
o Le provisionnement sans intervention de nouveaux appareils automatise l'expansion
du déploiement
 Fonctionnalités d'eyeRecover
o Clustering de basculement pour les appareils physiques et virtuels, même sur des
réseaux géographiquement dispersés grâce au basculement entre clusters et même
entre sites
o L'association haute disponibilité des appareils actifs et de secours assure une
redondance synchronisée
o Sauvegardes des appareils Forescout pour maintenir la résilience et la disponibilité
grâce à une récupération rapide des appareils défaillants

 La plateforme est également certifiée par le gouvernement FIPS 140-2, type Critères
communs, et plus encore

Avantages

 Visibilité du réseau en temps réel

 Interface utilisateur claire et facile à utiliser
 Indépendant du fournisseur, il s'intégrera à une large gamme de systèmes d'exploitation, de
logiciels de terminaux, d'équipements réseau et d'outils de sécurité tiers
 Le déploiement hors bande sans agent évite la congestion ou l'interruption des opérations
 Comprend plus de 20 techniques de découverte et de profilage passives et actives qui ne
nécessitent pas d'agents
 Plus de 1 900 versions de systèmes d'exploitation reconnues
 Plus de 7 700 fournisseurs d'appareils pris en charge
 400 fournisseurs de technologies médicales reconnus et soutenus
 Des milliers de systèmes de contrôle industriel (ICS ) et d'appareils d'automatisation qui
prennent en charge la fabrication, l'énergie, les services publics, l'exploitation minière et de
nombreuses autres industries d'infrastructure
 Plus de 12 millions d'empreintes digitales d'appareils accessibles depuis le Cloud des
appareils Forescout
 Options de connexion réseau Inline Tap actives ou passives

Inconvénients

 Les utilisateurs peuvent concevoir des politiques très complexes, ce qui peut être source de
confusion et difficile à résoudre ou à établir.
  Peut être rigide et peu pratique dans son application (la sécurité peut considérer cela comme
un point positif)
 Une expertise est requise pour le dépannage
 L'intégration avec la commutation réseau nécessite du temps et de l'expertise supplémentaires
 Les appareils utilisant plusieurs adresses IP ou MAC (par exemple, la connexion via des
routeurs sans fil, puis via un câble Ethernet) seront comptés comme plusieurs appareils
 Malgré la disponibilité de guides de licences, les licences requises pour implémenter les
fonctionnalités NAC sont difficiles à comprendre

FortiNAC
FortiNAC offre une visibilité sur le réseau permettant de voir tout ce qui est connecté au réseau, ainsi
que la possibilité de contrôler ces appareils et utilisateurs, y compris des réponses dynamiques et
automatisées. FortiNAC fonctionne bien comme un NAC de base pour les connexions filaires et sans
fil avec les employés et les utilisateurs invités sur les postes de travail traditionnels, les ordinateurs
portables, les serveurs et les appareils mobiles.

FortiNAC fournit également une segmentation du réseau et des réponses automatisées spécifiquement
destinées à la sécurité de l'IoT. FortiNAC fournit un profilage de chaque appareil sur le réseau et
permet une segmentation granulaire du réseau et des réponses automatisées aux changements d'état ou
de comportement de l'appareil.

Caractéristiques

 La découverte du réseau analyse les applications et les appareils des utilisateurs, identifie les
appareils malveillants et les anomalies des points de terminaison
 Le profilage des appareils classe les types d'actifs et la conformité actuelle avec les
politiques d'accès
 Options d'échec de l'analyse NAC :
o Avertissement aux administrateurs : accès au réseau accordé
o Avertissement aux utilisateurs : accès au réseau autorisé
o Les points de terminaison se voient refuser l'accès au réseau local virtuel étendu
(VLAN) ; les points de terminaison accèdent à un VLAN de quarantaine ou de
correction
 Intégration de la gestion des appareils avec une variété de solutions de gestion des appareils
mobiles (MDM) ou de gestion de la mobilité d'entreprise (EMM)
 Élaboration et mise en œuvre de la politique d’accès au réseau
 Segmentation du pare-feu pour isoler les points de terminaison par politique en utilisant le
pare-feu pour créer des VLAN
 L'intégration de l'Internet des objets (IoT) peut être effectuée automatiquement avec
l'approbation d'un utilisateur sponsor
 Le contournement d'adresse MAC permet un contrôle d'accès basé sur le port en fonction de
l'identifiant d'adresse MAC unique de l'appareil
 Intégration de l'API REST avec d'autres appareils
 Rapports personnalisés pour les indicateurs de performance clés, les rapports de conformité,
etc.
 L'authentification des utilisateurs (licences Plus ou Pro uniquement) peut utiliser un portail
captif ou l'agent pour vérifier les utilisateurs (en plus de leurs appareils)
 Authentification par certificat multifacteur utilisant RADIUS complet (EAP) pour les
licences Plus et Pro afin de fournir des certificats spécifiques à l'appareil
  L'intégration des invités et BYOD (licences Plus ou Pro) permet aux utilisateurs
d'authentifier les points de terminaison BYOD (Bring Your Own Device) ou les invités pour
obtenir l'accès à la totalité ou à une partie limitée du réseau
 L'authentification unique (SSO) Web et pare-feu peut être activée avec des licences pro ou
plus
 Intégration d'événements de sécurité pour les événements entrants (Pro uniquement) ou
sortants (Plus ou Pro)
 Fonctionnalités de réponse aux incidents (licence Pro uniquement) telles que la corrélation
des événements, les pistes d'audit, les flux de travail de triage guidés et la criticité et le routage
des alertes

Avantages

 Prise en charge étendue des appareils non standard qui reconnaît et contrôle plus de 2 500
appareils réseau et des millions d'appareils IoT
 Permet l'automatisation qui permet un déploiement à grande échelle et un retour sur
investissement
 Options de déploiement : appareils physiques ou virtuels, ainsi que mise en cluster et gestion
de plusieurs appareils
 Options d'analyse pour l'audit ou l'évaluation des risques
 Prend en charge plusieurs langues
 Bonne visibilité sur les appareils du réseau, y compris une vaste gamme d'appareils IoT
 Configuration simple des règles de politique et de segmentation
 Centralise l'architecture pour faciliter le déploiement et la gestion
 Prise en charge étendue de tiers via des intégrations directes et des API

Inconvénients

 Les agents d'analyse ont été validés uniquement par rapport aux versions en anglais des
systèmes d'exploitation pris en charge
 Nécessite des licences de support FortiCare continues pour maintenir à jour les bases de
données du réseau et des appareils IoT
 Les problèmes de correction peuvent nécessiter des correctifs manuels et des serveurs externes
pour télécharger les mises à jour
 Interface utilisateur peu intuitive et obsolète
 Fonctionne mieux avec les équipements plus récents ; les équipements plus anciens peuvent
présenter des problèmes d'intégration
 Le déploiement peut être difficile et prendre du temps

Caractéristiques

 Plusieurs méthodes d'application (RADIUS, TACACS, SNMP) prises en charge ainsi que
l'application non-RADIUS propriétaire d'OnConnect
 Options de base de données utilisateur pour Active Directory, LDAP et SQL
 L'empreinte digitale de l'appareil et l'évaluation complète de la posture identifient le type et
le nom du modèle, l'adresse MAC, l'adresse IP, le fournisseur de la carte d'interface réseau, le
système d'exploitation et la version
 Options d'intégration permettant de définir l'autorité d'intégration des appareils d'entreprise
et BYOD (Bring Your Own Device) et le nombre d'appareils intégrés par utilisateur
 Intégration en libre-service avec autorité de certification (CA) intégrée
 Les options de sécurité OnGuard définissent et appliquent les niveaux minimaux de santé
requis pour permettre l'accès réseau à un appareil
  Options d'accès invité robustes et personnalisables pour les approbations basées sur la
marque ou le sponsor pour permettre aux comptes invités temporaires en libre-service
d'accéder au réseau
 Le moteur de politique basé sur le contexte prend en charge l'application granulaire des
politiques à l'aide du rôle de l'utilisateur, du type d'appareil, de la méthode d'authentification,
de l'emplacement, de l'heure de la journée, etc.
 Prévention des intrusions sans fil
 Certifié par le gouvernement avec la validation FIPS 140-2 niveau 2/3, l'accréditation de
type Common Criteria et répertorié dans la liste des produits approuvés des capacités unifiées.
 Cyber Catalyst de Marsh Designation vérifie que ClearPass est un outil de sécurité efficace
pour réduire les risques pour huit des plus grands assureurs cyber

Avantages

 Indépendant du fournisseur : peut propager des politiques d'accès pour d'autres

fournisseurs, y compris Cisco
 Intègre les alertes de sécurité de plus de 170 solutions de sécurité et de gestion informatique
et peut servir de centre d'échange pour les alertes d'attaque
 Options de déploiement flexibles : appareils physiques ou virtuels ; autonomes ou déployés
en clusters.
 Prise en charge de l'accès au réseau filaire, sans fil et au réseau public virtuel (VPN)
 Intégration étendue de tiers
 Bloque automatiquement les appareils non autorisés et ceux qui ne répondent pas aux
normes de sécurité minimales
 Modèles de configuration de politiques intuitifs et outils de dépannage
 Prise en charge de l'authentification unique (SSO) pour Ping, Okta et plus
 Prise en charge des appareils IOT à l'aide de l'authentification par adresse MAC

Inconvénients

 Nécessite plusieurs licences pour établir un NAC fonctionnel

 Option plus chère à court terme
 Peu de soutien communautaire
 La configuration peut être complexe et difficile

Caractéristiques

 Authentification réseau Portnox RADIUS+

o Mise en œuvre en moins de 30 minutes sans aucune installation requise
o Technologie éprouvée utilisant le protocole Remote Authentication Dial-In User
Service et le proxy RADIUS intégré et le transfert RADIUS
o Ne nécessite pas de mots de passe lors de l'utilisation des caractéristiques de
l'adresse MAC de l'appareil (AKA : MAC Authentication Bypass) comme facteur
d'authentification
o Couches d'accès sélectionnables
o S'intègre aux services d'annuaire (Active Directory, LDAP)
o Groupes de sécurité faciles à définir et authentification basée sur les rôles
o Protection anti-inondation contre les attaques DDoS
o Politiques d'accès basées sur la localisation
 Administration des périphériques réseau Portnox TACACS+
o Centralise l'authentification pour plusieurs bases de données utilisateur telles que
Open LADAP, Active Directory (AD), Azure AD, Google Workspace, Okta, etc.
o Permet une autorisation granulaire avec différents niveaux de privilèges, services
autorisés, commandes, etc.
 o Consolide la comptabilité réseau pour suivre l'activité des utilisateurs (identités,
heures de démarrage/arrêt, commandes exécutées, etc.) sur tous les périphériques
réseau afin de rationaliser les audits et les rapports
o S'intègre via l'API RESTful aux solutions de gestion des informations et des
événements de sécurité (SIEM)
o Politique de risque personnalisable en fonction du mode d'accès (filaire, VPN), de
la localisation, du périphérique réseau demandé, etc.
 Portnox ZTNA
o Contrôle d'accès au réseau Zero Trust indépendant du fournisseur
o Détecte et met en quarantaine les appareils non conformes en fonction des pare-feu,
des antivirus, des applications, des clés USB, etc.
o Permet la correction des appareils non conformes
o Intégration automatique des invités et jusqu'à 50 comptes invités quotidiens ;
intégration par SMS et par parrainage également prise en charge
o Évaluation de l'appareil à l'aide de Portnox AgentP et évaluation sans agent
o Détection automatique de tous les appareils
o Surveillance du trafic et mode surveillance seule
o Redondance RADIUS multirégionale

Avantages

 Entièrement natif du cloud

 Aucun matériel n'est requis pour la maintenance, la mise à jour et la gestion, bien que des
machines virtuelles pour la sauvegarde RADIUS locale et la conservation des enregistrements
TACACS+ locaux puissent être nécessaires pour une fonctionnalité complète.
 Sans entretien et pas besoin de sauvegardes ou de sécurité particulière
 Couvre l'accès aux réseaux filaires, Wi-Fi et VPN
 Visibilité en temps réel des tentatives d'accès au réseau
 Administration, contrôle, authentification et reporting centralisés
 S'applique à tous les appareils, des ordinateurs portables gérés aux téléphones mobiles
BYOD ou même aux caméras de sécurité (IoT) ou aux capteurs de chaleur (OT)
 Indépendant du matériel réseau et ne nécessite pas de refonte du réseau
 Une gamme complète d'options allant du NAC de base au ZTNA
 Prix d'entrée bas compte tenu du coût total de possession réduit grâce à la réduction de la
main-d'œuvre nécessaire à la maintenance, à la mise à jour et à l'administration de la solution
NAC

Inconvénients

 Des décalages d'écran peuvent survenir en cas de connexions encombrées

 Des états de port incohérents ont été constatés par les clients entre les commutateurs et
Portnox
 Manque de fonctionnalités par rapport aux autres concurrents, en particulier pour les deux
options d'entrée de gamme
 Maintient une base de données plus petite d'appareils IoT , mais propose
une solution complémentaire d'empreintes digitales IoT alimentée par l'IA
 Peut être plus coûteux que les options auto-administrées pour les grandes entreprises
 Le SaaS supprime le contrôle direct de l'organisation

Caractéristiques principales
  ThreatBlock : protège les utilisateurs et les appareils contre les logiciels malveillants, les
ransomwares et les virus.
 Cryptage AES 256 bits : utilise un cryptage de tunnel de niveau militaire pour masquer le
trafic et l'activité en ligne aux utilisateurs d'Internet.
 Accès à distance intelligent : permet le partage de fichiers de point de terminaison à point de
terminaison lorsque plusieurs appareils utilisateur se connectent à NordLayer.
 Authentification : ajoute une couche de protection supplémentaire en exigeant une
authentification multifacteur pour la connexion à NordLayer.
 Provisionnement des utilisateurs : s'intègre aux principaux fournisseurs SCIM pour intégrer
et supprimer des utilisateurs dans les applications cloud, y compris la maintenance et la
suppression à mesure que leur statut ou leur rôle change.

Avantages

 Gestion du BYOD (apportez votre propre appareil)

 Profilage instantané des utilisateurs
 Licences d'utilisation transférables

Inconvénients

 Pas d'essai gratuit

 Besoin de plus d'emplacements de serveurs
 Manque d'informations sur les options de déploiement