Transport Secteur public Accès Zero Trust Gateway / SWG

Abu Dhabi Airports a remplacé le VPN par un accès basé sur l'identité sur deux aéroports.

Comment Brixio a déployé Cloudflare Zero Trust pour Abu Dhabi Airports, remplaçant les dépendances VPN par un accès basé sur l'identité pour les utilisateurs distants, en VPN et au siège, sur les aéroports Zayed International et Al Bateen.

Abu Dhabi, EAU Zayed Intl. + Al Bateen 4 min read
Abu Dhabi Airports
CONNECTIVITÉ3 → 1Scénarios unifiés sous un même modèle de sécurité
VPN0Application interne nécessitant encore un accès VPN
COUVERTURE2Aéroports sous posture Zero Trust unifiée
POPULATION100%Employés, prestataires et fournisseurs couverts par MFA + SSO

Le défi

Abu Dhabi Airports Company opère l'aéroport international Zayed et l'aéroport Al Bateen Executive, accueillant des millions de passagers chaque année. En tant qu'opérateur d'infrastructure critique, ADAC exigeait une posture de sécurité à la hauteur de la sensibilité de ses opérations.

L'architecture en place présentait plusieurs risques :

  • Dépendances VPN. Les employés et prestataires accédaient aux applications internes via VPN, ouvrant un accès réseau large et augmentant l'exposition en cas de compromission d'identifiants.
  • Sécurité hétérogène selon les modes de connexion. Les utilisateurs au siège, en VPN et en télétravail avaient des postures différentes, sans application unifiée des politiques.
  • Accès réseau au lieu d'accès applicatif. Le VPN accordait un accès réseau au lieu de restreindre l'accès aux applications nécessaires.
  • Accès des prestataires. Les sous-traitants avaient besoin d'accéder à certaines applications internes, mais l'accès VPN élargissait leur portée bien au-delà de ce qui était requis.
  • Visibilité limitée. L'équipe sécurité manquait de visibilité granulaire sur l'activité des utilisateurs et les schémas d'accès.

Ce que Brixio a déployé

Trois scénarios de connectivité, un seul modèle de sécurité

ADAC a défini trois scénarios nécessitant une protection cohérente : employés en télétravail, employés connectés via VPN, employés au siège. Brixio a conçu et déployé une architecture Cloudflare Zero Trust appliquant des politiques basées sur l'identité dans les trois cas.

Zero Trust Network Access (ZTNA)

  • Remplacement du VPN traditionnel par Cloudflare Access pour une authentification basée sur l'identité.
  • Contrôle d'accès basé sur les rôles (RBAC) : les employés et prestataires accèdent uniquement aux applications dont ils ont besoin.
  • MFA et SSO appliqués pour tous les utilisateurs.

Secure Web Gateway (SWG) avec WARP

  • Client WARP déployé sur les terminaux managés pour un trafic chiffré et inspecté.
  • Politiques de sécurité DNS appliquées quelle que soit la localisation.
  • Split tunneling et fallback domaine local configurés pour un flux de trafic optimal.

Contrôle d'accès applicatif granulaire

  • Segmentation applicative granulaire remplaçant l'accès réseau large.
  • Accès basé sur les politiques : identité de l'utilisateur, rôle, posture du terminal.
  • Accès des prestataires restreint aux applications spécifiques, pas au réseau.

Supervision et audit

  • Journalisation détaillée des accès pour le suivi et la conformité.
  • Visibilité sur les événements de sécurité pour l'équipe opérations d'ADAC.

Architecture

Trois scénarios de connectivité convergent sur un seul plan d'application Cloudflare Zero Trust.

Employé distant Domicile / mobile
Utilisateur VPN Chemin historique
Siège / sur site Réseau ADAC
Cloudflare Zero Trust
ACCESSSWGWARPMFA
Applications internes Politique par application
SaaS & cloud SSO appliqué
Systèmes prestataires Accès limité

Résultats

Après déploiement sur les deux aéroports, le modèle de sécurité a été unifié sur les trois scénarios de connectivité, et l'accès a été restreint au niveau applicatif pour toutes les populations d'utilisateurs.

Dépendances VPN éliminéesAucune application interne ne nécessite plus d'accès VPN, quelle que soit la population.
Posture de sécurité cohérentePolitique basée sur l'identité appliquée uniformément sur les chemins distant, VPN et siège.
Accès applicatif granulaireAutorisation par application remplaçant l'accès réseau large pour chaque utilisateur.
Accès tiers sécuriséPrestataires et fournisseurs limités aux seules applications scopées, jamais au réseau.
Perspective sectorielle

Le schéma ZTNA se répète chez les opérateurs d'infrastructures critiques.

Les opérations aéroportuaires sont classées en infrastructure critique dans tous les référentiels réglementaires (NIS2 en Europe, NESA aux EAU, OACI à l'international). La combinaison de populations multiples (employés, prestataires, fournisseurs), de scénarios de connectivité variés (distant, siège, VPN) et d'exigences de sécurité strictes rend ce déploiement représentatif des défis des opérateurs d'infrastructures critiques.

NIS2 NESA EAU OACI
Voir nos services professionnelsCybersécurité pour le secteur public
Votre environnement Cloudflare, audité

Découvrez où en est votre posture Zero Trust aujourd'hui.

Lancez un Snapshot gratuit pour cartographier votre exposition, identifier les écarts d'accès basé sur l'identité et obtenir une feuille de route priorisée par un partenaire Cloudflare ASDP.

Obtenir un audit Cloudflare gratuit Parler à un spécialiste