Qu’est-ce qu’un contrôle d'accès réseau (NAC) ?

Chaque appareil qui rejoint votre réseau est une porte d'entrée potentielle. Un ordinateur portable mal patché, un objet connecté oublié dans une salle de réunion, le smartphone personnel d'un prestataire : tous peuvent servir de point d'appui à une attaque. En 2024, le coût moyen mondial d'une violation de données a atteint 4,88 millions de dollars, en hausse de 10 % sur un an (IBM, donnée mondiale). Le contrôle d'accès réseau, ou NAC, répond précisément à cette question : qui, et quoi, a le droit de se connecter à votre infrastructure, et dans quelles conditions.

‍

Le contrôle d'accès réseau (NAC), c'est quoi ?

Le contrôle d'accès réseau (Network Access Control, ou NAC) est une solution de sécurité qui vérifie l'identité et la conformité de chaque utilisateur et de chaque appareil avant de leur accorder l'accès au réseau. Il applique ensuite des règles définissant ce que chacun peut atteindre. Un appareil non conforme est bloqué, isolé ou placé en quarantaine.

Concrètement, le NAC agit comme un poste de contrôle à l'entrée du système d'information. Là où un pare-feu surveille surtout le trafic entre l'intérieur et l'extérieur, le NAC s'intéresse à ce qui se branche sur le réseau interne, qu'il s'agisse d'un poste filaire, d'un terminal en Wi-Fi ou d'un équipement connecté.

‍

Pourquoi le contrôle d'accès réseau est devenu incontournable ?

Le périmètre de l'entreprise a éclaté. Le télétravail, le BYOD (Bring Your Own Device, l'usage d'appareils personnels au travail) et la multiplication des objets connectés ont fait exploser le nombre de terminaux à surveiller. Le nombre d'appareils IoT connectés dans le monde devrait progresser de 14 % par an. Caméras, capteurs, imprimantes, écrans de visioconférence : autant d'équipements rarement protégés par un antivirus et difficiles à inventorier.

Cette surface d'attaque élargie a une valeur de marché. Le marché mondial du contrôle d'accès réseau est estimé à 5,19 milliards de dollars en 2025 et devrait atteindre 14,72 milliards d'ici 2030, soit une croissance annuelle moyenne de 23,2 % (Mordor Intelligence, donnée mondiale). La progression traduit un constat simple : sans visibilité sur les appareils connectés, impossible de sécuriser quoi que ce soit. 

Le NAC redonne cette visibilité et constitue souvent le socle d'une stratégie réseau plus large, à définir en amont avec un partenaire capable de penser l'infrastructure réseau adaptée à votre entreprise.

‍

Comment fonctionne un NAC ? Les trois piliers

Un NAC repose sur trois fonctions qui s'enchaînent à chaque tentative de connexion.

‍

Identification et authentification

Avant tout accès, le NAC vérifie l'identité de l'utilisateur et de l'appareil. Cette étape s'appuie le plus souvent sur le protocole 802.1X, qui place un point de contrôle directement sur le port réseau ou la borne Wi-Fi, couplé à un serveur RADIUS qui valide les identifiants. Les identités sont généralement issues de l'annuaire de l'entreprise, ce qui rend la sécurisation des accès via Active Directory déterminante pour la fiabilité de l'ensemble.

‍

Application des politiques

Une fois l'identité validée, le NAC décide de ce que l'appareil peut atteindre. La décision dépend de règles : rôle de l'utilisateur, état de sécurité de l'appareil, localisation, horaire. Un poste dont l'antivirus est obsolète ou dont un correctif manque n'est pas forcément rejeté. Il peut être dirigé vers un VLAN de quarantaine où il se met à jour avant de rejoindre le réseau de production.

‍

Surveillance continue

Le contrôle ne s'arrête pas à la connexion. Le NAC profile les équipements, suit leur comportement en temps réel et détecte les anomalies. Si un appareil déjà admis se met à scanner le réseau ou à communiquer avec une adresse suspecte, le NAC peut l'isoler sans intervention manuelle.

‍

Pré-admission et post-admission : les deux temps du contrôle

Le NAC agit à deux moments. Le contrôle pré-admission intervient avant l'entrée sur le réseau : il vérifie la conformité de l'appareil et bloque tout ce qui ne respecte pas la politique de sécurité. Le contrôle post-admission s'applique ensuite, en fonction des actions de l'utilisateur une fois connecté, pour restreindre ou couper l'accès si le comportement devient à risque. Les deux sont complémentaires : le premier filtre l'entrée, le second surveille la suite.

‍

Avec ou sans agent, in-line ou out-of-band : les modes de déploiement

Toutes les solutions NAC ne s'installent pas de la même façon, et le choix a des conséquences pratiques fortes.

Un NAC avec agent installe un logiciel sur chaque poste, ce qui permet une inspection détaillée de la conformité. Un NAC sans agent (agentless) s'appuie sur le réseau pour identifier et profiler les appareils, sans rien installer. Cette approche est souvent la seule possible pour un parc d'objets connectés ou d'équipements industriels qui n'acceptent aucun agent.

Côté architecture, un déploiement in-line place le NAC sur le chemin du trafic, tandis qu'une approche out-of-band le maintient en dehors du flux, en pilotant les commutateurs sans ralentir les échanges. Le bon choix dépend de la topologie du réseau et de l'hétérogénéité du parc, pas d'une règle universelle.

‍

NAC, pare-feu, Zero Trust : qui fait quoi ?

Ces trois briques sont souvent confondues alors qu'elles répondent à des questions différentes.
‍

Le NAC n'est pas un substitut au pare-feu et ne remplace pas une démarche Zero Trust. Il en constitue plutôt une fondation. En vérifiant l'identité et la conformité avant tout accès, le NAC applique au réseau le principe « ne jamais faire confiance, toujours vérifier » qui structure aussi des approches comme le SASE (Secure Access Service Edge). 

Pour les organisations qui réfléchissent à leur architecture de sécurité d'ensemble, comprendre les différences entre SASE et SSE aide à situer le rôle exact du NAC dans la pile.

Vous cherchez à clarifier où placer le curseur entre ces différentes couches de sécurité ? Parlez de votre projet réseau à nos experts pour cadrer l'architecture avant d'investir.

‍

{{cta-contact="/cta"}}

‍

NAC et conformité : ce que change NIS2

La directive NIS2 fait passer la sécurité réseau du statut de bonne pratique à celui d'obligation pour un nombre considérable d'organisations. En France, près de 15 000 entités seraient concernées par la directive, contre environ 500 sous le cadre NIS1 précédent (Numeum). Le texte couvre 18 secteurs, répartis entre entités « essentielles » (11 secteurs hautement critiques) et entités « importantes » (7 secteurs critiques).

NIS2 n'impose pas le NAC nommément. La directive exige en revanche une maîtrise des accès, une gestion des actifs et une capacité à détecter les incidents. Le contrôle d'accès réseau répond directement à ces trois exigences : il sait quels appareils sont présents, applique une politique d'accès et signale les comportements anormaux. Pour beaucoup d'organisations, c'est un moyen concret de documenter leur conformité, au même titre que les apports de la norme ISO 27001 en matière de sécurité.

‍

Des cas d'usage très concrets

‍

Le NAC prend tout son sens face à des situations du quotidien. Le BYOD permet d'accueillir les appareils personnels en leur ouvrant un accès restreint, séparé du réseau de production. Les objets connectés et équipements industriels, qui n'acceptent ni agent ni antivirus, sont identifiés, profilés et cantonnés à un segment dédié. Les visiteurs et prestataires reçoivent un accès temporaire et limité, automatiquement révoqué à l'échéance. Dans chacun de ces cas, le NAC évite qu'un appareil non maîtrisé ne serve de tremplin vers des ressources sensibles.

‍

Réussir son projet NAC : les étapes clés

Un déploiement NAC échoue rarement à cause de la technologie, mais à cause d'un défaut de préparation. Voici les étapes :

1. Cartographier le parc avant tout, pour ne découvrir aucun équipement inconnu en production. Imprimantes, caméras et automates réservent souvent des surprises.

2. Définir les politiques d'accès en partant des usages métier, pas de l'outil : qui doit accéder à quoi, et dans quelles conditions.

3. Déployer en mode observation dans un premier temps, sans blocage, pour mesurer l'impact réel des règles avant de les appliquer.

4. Activer le blocage progressivement, segment par segment, afin d'éviter de couper l'accès à des centaines d'utilisateurs du jour au lendemain.

5. Exploiter et ajuster dans la durée, car un NAC vit avec le parc qu'il surveille.

Le principal piège reste le faux positif : une règle trop stricte qui bloque des appareils légitimes érode vite la confiance des équipes. D'où l'importance de la phase d'observation.

‍

Internaliser ou déléguer l'exploitation de votre NAC ?

Un NAC n'est pas un projet que l'on installe puis que l'on oublie. Il demande une supervision continue, une mise à jour des politiques et une réaction rapide aux alertes. Toutes les DSI n'ont pas les ressources pour assurer cette exploitation en interne, surtout sur des parcs hétérogènes et multi-sites.

Chez Ozitem, nous déployons et exploitons des architectures réseau et sécurité chez nos clients, avec les principales technologies du marché (Cisco, Meraki, Fortinet, Palo Alto, Forcepoint, Cato). Confier cette supervision à un partenaire revient à appliquer au NAC la même logique que l'infogérance d'une partie du système d'information : vous gardez la maîtrise des décisions, sans porter la charge opérationnelle au quotidien. Il n'existe pas de réponse universelle. Le choix dépend de la taille de votre parc, de vos compétences internes et de votre niveau d'exigence en matière de conformité.

‍

{{cta-modernisez-votre-it-network-and-security="/cta"}}

‍

Sources

IBM, Cost of a Data Breach Report 2024, juillet 2024.

IoT Analytics, State of IoT 2025: Number of connected IoT devices growing 14% to 21.1 billion, 2025.

- Mordor Intelligence, Network Access Control Market Size, Share & 2030 Growth Trends Report, 2025.

Numeum, Directive NIS2 : quelles nouvelles exigences pour les organisations en France ?, 2025.

‍

FAQ

Quelle différence entre un NAC et un pare-feu ?

Le pare-feu filtre le trafic qui entre et sort du réseau. Le NAC contrôle quels appareils et quels utilisateurs ont le droit de se connecter au réseau interne, puis ce qu'ils peuvent y faire. Les deux sont complémentaires.

Le NAC est-il une solution Zero Trust ?

Le NAC n'est pas à lui seul du Zero Trust, mais il en constitue une fondation. En vérifiant l'identité et la conformité avant chaque accès, il applique le principe de vérification systématique au cœur du Zero Trust.

Qu'est-ce que le protocole 802.1X ?

C'est un standard d'authentification qui place un contrôle directement sur le port réseau ou la borne Wi-Fi. Couplé à un serveur RADIUS, il vérifie les identifiants d'un appareil avant de lui ouvrir l'accès.

Le NAC est-il obligatoire pour être conforme à NIS2 ?

NIS2 n'impose pas le NAC nommément. La directive exige une maîtrise des accès, une gestion des actifs et une détection des incidents, trois besoins auxquels le NAC répond directement.

Faut-il un agent sur chaque poste ?

Pas nécessairement. Un NAC sans agent identifie et profile les appareils via le réseau, ce qui est souvent la seule option pour les objets connectés et les équipements industriels qui n'acceptent aucun logiciel embarqué.