Zero Trust | Tout ce que les dirigeants doivent savoir
Qu’est-ce que « Zero Trust » signifie vraiment ?
Inventé en 2010 par Forrester Research,le terme Zero Trust désigne un modèle de sécurité que les entreprises peuvent déployer pour éliminer toute confiance implicite et potentiellement dangereuse entre les utilisateurs, les machines et les données. Cette approche constitue ainsi un processus de protection pour les entreprises contre toute forme de menaces et de vecteurs, quelle que soit leur provenance — du bout du monde ou du bureau voisin. À sa création, une bonne implémentation du Zero Trust reposait sur trois grands principes :
- Sécurisation de tous les accès aux ressources, indépendamment de leur emplacement
- Adoption du principe du moindre privilège et contrôle strict des accès
- Inspection et journalisation de l’ensemble du trafic
Onze ans plus tard, face à l’essor de la transformation numérique, du télétravail et des pratiques BYOD (Bring Your Own Device), ces concepts et principes ont inévitablement mûri et évolué. Suite à la décision du gouvernement fédéral américain d’imposer le Zero Trust à toutes ses administrations, de nouveaux piliers sont apparus. Ils sont exposés dans le cadre réglementaireNIST 800-207et détaillés dans le projet « Zero Trust Architecture » du NCCoE (National Cybersecurity Centre of Excellence). En bref :
- Abandon de la segmentation du réseau au profit de la protection des ressources (actifs, services, workflows et comptes réseau)
- Application distincte de l’authentification et de l’autorisation (pour les utilisateurs comme pour les appareils) pour chaque session, à l’aide d’une authentification forte
- Surveillance en continu
Pourquoi le Zero Trust revêt-il une telle importance dans la cybersécurité ?
L’adoption du Zero Trust a révolutionné le rapport des entreprises à la sécurité. Auparavant, la majorité des structures tentaient de gérer la sécurité sur le mode du filtrage. Une fois la transaction vérifiée et validée dans le sas d’entrée, sa fiabilité était intrinsèquement actée.
Seulement voilà, les vecteurs d’attaque ne proviennent pas toujours de l’extérieur. Quant à la transformation numérique et à la généralisation des modèles de travail hybrides, elles font voler en éclat l’idée même selon laquelle les ressources n’existent qu’au sein d’un périmètre protégé par des sas d’entrée. Partant de ce constat, les méthodes Zero Trust exigent de valider en permanence chaque élément de chaque interaction, où qu’elle ait lieu. Utilisateurs, appareils, applications, données... tous sont constamment passés au crible.Autrement dit, la confiance implicite n’a pas droit de cité.
Pourquoi le Zero Trust fait-il tant le buzz ?
La tendance actuelle est à la marchandisation du Zero Trust. Ainsi, de nombreux fournisseurs qualifient leurs solutions de « Zero Trust », quand bien même le Zero Trust désigne un modèle et un cadre stratégique, et non une solution produit. Conséquence, le marché de la cybersécurité regorge de fournisseurs se revendiquant comme « Le no1 du Zero Trust ».
Or, en y regardant de plus près, ces acteurs tendent à n’appliquer qu’un seul des principes du Zero Trust. Certains, par exemple, proposent la création de services de tunnellisation entre les utilisateurs et les applications qui relève du second principe d’origine : l’adoption d’une stratégie du moindre privilège et le contrôle strict des accès. Mais qu’en est-il du premier fondement du Zero Trust ? Ce même fournisseur saura-t-il assurer un accès sécurisé à toutes les ressources, indépendamment de leur emplacement ? À défaut, il accordera une confiance implicite à l’utilisateur, faisant l’impasse sur la recherche de malwares et d’exploits à l’intérieur du tunnel.
À l’inverse, d’autres fournisseurs ne couvrent que certains aspects du premier principe d’origine,en arguant que les contrôles d’identité et d’authentification sont l’essence même du Zero Trust. D’autres encore prétendront que seul le trafic Internet doit être analysé. Le problème, c’est que ces approches parcellaires du Zero Trust peuvent conduire les entreprises à accorder une confiance implicite les exposant à des vulnérabilités que les autres principes auraient dû compenser.
Nos recommandations aux dirigeants pour adopter le modèle Zero Trust
La première étape passe par une remise à plat de votre conception de la sécurité d’entreprise. Il s’agit d’abandonner l’approche du sas d’entrée au profit d’une validation continue de toutes les interactions. Pour ce faire :
- Définissez les ressources à protéger, leur emplacement et les différentes interactions dont elles vont être l’objet.
- Couvrez systématiquement tous les utilisateurs, les applications et l’infrastructure/les appareils à chaque interaction qu’ils créent.
- Gardez à l’esprit les quatre éléments qui composent une interaction : l’identité, l’accès, l’appareil/le workload et la transaction.
Deuxième étape : place à l’action. Mettez en œuvre ce changement d’approche, en commençant par vos utilisateurs, ressources et interactions les plus critiques. Ces actifs d’importance vitale pourront être directement liés à la fonction finance ou à la propriété intellectuelle de votre entreprise. Au fil du temps, élargissez votre domaine d’action à toutes les interactions. Votre plan devra détailler la progression des utilisateurs, des applications et de l’infrastructure à travers les quatre phases d’une interaction lorsqu’elles demandent une ressource.
Quant à l’étape finale de cette transformation, elle sera récurrente, puisqu’il s’agit de la gestion et du suivi du Zero Trust.
- Misez sur une surveillance en continu qui rendra compte de tous les évènements, à l’inverse de vérifications intermittentes qui peuvent laisser passer certaines infractions.
- Cherchez à améliorer le modèle en place au gré de l’évolution des normes et à élargir le champ des interactions soumises au Zero Trust.
Questions clés à poser à votre équipe pour une adoption réussie du Zero Trust
- Quels sont vos ensembles de données, vos applications et vos fonctionnalités d’importance vitale ?
- Comment sécuriser les quatre éléments d’une interaction avec les ressources en question, indépendamment de la personne ou de l’appareil à l’origine de la demande ?
- Quel plan mettre en place pour surveiller constamment les évènements importants (ex. : journalisation visant à établir une base de référence des comportements normaux et à détecter tout écart) ?
- Comment sélectionner les fournisseurs qui nous accompagneront dans la réalisation de nos objectifs Zero Trust ? Et quelles mesures complémentaires devrons-nous déployer hors produit ?
- Quelle stratégie adopter pour monter en puissance jusqu’à parvenir à couvrir toutes les ressources ? Quelle évolutivité devrons-nous exiger de nos produits et de nos équipes pour parvenir à cet objectif ?