Contact Démo

SSO, ZTNA et WANUP : simplifier l’accès: oui mais sacrifier la sécurité : non

  • Yoann GUEZ, Co-Fondateur SAYSE Yoann GUEZ
  • 10 février 2025
Retour au blog
Résumez ou partagez cet article :

De plus en plus d’entreprises veulent offrir à leurs collaborateurs une expérience fluide : une seule connexion, un mot de passe unique, et tous les services deviennent accessibles. C’est le principe du SSO (Single Sign-On). Certaines organisations demandent donc que WANUP soit directement couplé à leur système d’identité (Azure AD, Okta, Google…). Mais derrière ce confort apparent, un risque majeur se cache : confondre facilité d’usage et sécurité Zero Trust.

WANUP adopte une approche différente, alignée avec le ZTNA (Zero Trust Network Access) : c’est l’authentification WANUP qui doit se faire avant même l’ouverture de session Windows ou Mac. Le tunnel sécurisé est établi dès le démarrage, garantissant que le poste reste isolé tant que l’utilisateur ne s’est pas authentifié auprès du réseau. Aucun accès local ou Internet n’est autorisé tant que cette étape n’est pas validée. C’est le principe même du Zero Trust : pas de réseau, pas d’accès, pas de confiance implicite.

À l’inverse, intégrer WANUP directement dans le SSO global de l’entreprise peut créer un effet domino dangereux. Si un compte Azure AD est compromis, l’attaquant obtient d’un coup tous les accès : messagerie, fichiers cloud… et réseau WANUP. Le contrôle local de sécurité disparaît, la segmentation n’est plus garantie, et toute la sécurité repose alors sur un seul fournisseur d’identité externe. En cas de panne, de bug ou d’attaque sur Azure ou Okta, tout le système tombe.

C’est pourquoi WANUP recommande une approche hybride mais sécurisée : on peut utiliser Azure AD ou un autre annuaire comme source d’identité (via SAML ou OpenID Connect), mais l’authentification WANUP doit rester distincte et prioritaire. Le mode “Always-On” doit être activé : impossible de se connecter au poste sans passer par WANUP. On peut y ajouter un MFA si nécessaire, mais surtout, on ne doit jamais laisser le SSO décider seul de la confiance réseau.

Conclusion
Le SSO est un formidable outil de confort, mais il ne doit jamais annuler la logique Zero Trust. Avec WANUP, l’accès au réseau reste conditionnel, segmenté et indépendant, même si l’identité peut être fédérée. C’est le bon compromis : simplicité maîtrisée, sans sacrifier la sécurité.

Demander une démo
Essayer Wanup