Qu’est-ce que le modèle de confiance zéro ou Zero Trust et pourquoi il est important de l’utiliser dans l’entreprise pour protéger les données contre les nouvelles menaces dans des scénarios de plus en plus complexes, hybrides et en nuage.
Jusqu’à un passé récent, on pensait que sécuriser le périmètre du réseau était suffisant pour protéger les données de l’entreprise et de ses clients. Aujourd’hui, les réseaux peuvent être locaux, dans le cloud, ou combiner les ressources disponibles dans les locaux de l’entreprise avec celles disponibles à distance. Sans parler du travail hybride en plein essor avec des employés et des contractants qui peuvent travailler de n’importe où. Un réseau n’a plus de frontière prédéfinie et son périmètre est désormais de plus en plus flou.
Le modèle de sécurité « Zero Trust » est une approche de la sécurité informatique qui implique l’élimination de la notion de « confiance implicite » dans les réseaux d’entreprise et conduit à l’adoption d’un ensemble de mesures de sécurité plus strictes.
La mise en œuvre d’un modèle de confiance zéro ou modèle Zero Trust exige une approche systémique et une planification minutieuse pour garantir une protection adéquate.
Tous les utilisateurs, à l’intérieur ou à l’extérieur du réseau de l’entreprise, doivent être authentifiés, autorisés et validés en permanence afin d’obtenir ou de conserver l’accès aux applications et aux données.
Pourquoi Zero Trust?
Le concept de confiance zéro découle du principe « ne jamais faire confiance, toujours vérifier » : l’entreprise ne doit jamais faire confiance à une entité interne ou externe, quelle que soit l’origine du trafic ou de la demande.
Une approche qui, comme nous l’avons souligné au début, va au-delà du concept traditionnel d’un périmètre réseau bien défini.
L’expression « Zero Trust » a été utilisée par Forrester en 2010 lorsqu’il a été affirmé que le modèle de sécurité périmétrique ne pouvait plus être efficace et devait évoluer en raison des technologies émergentes et des menaces qui se profilent à l’horizon. Mais en réalité, le premier à avoir utilisé le terme Zero Trust est Stephen Paul Marsh dans sa thèse de doctorat sur la sécurité informatique à l’Université de Stirling (Écosse) : c’était en 1994.
Le modèle historique consistant à fixer le périmètre d’une entreprise et à utiliser des pares-feux pour contrôler le trafic (origine et destination des données), classer et séparer les réseaux de confiance de ceux qui ne le sont pas pose des problèmes : lorsque le périmètre du réseau est violé d’une manière ou d’une autre, un attaquant dispose souvent d’une grande marge de manœuvre dans l’infrastructure informatique.
Et si ce modus operandi s’est déjà dégradé lorsque les employés et les collègues ont commencé à apporter leurs propres appareils dans l’entreprise (BYOD, Bring Your Own Device), on ne peut que constater à quel point il peut être anachronique aujourd’hui, alors que le cloud et le travail intelligent ou smart working occupent une place de plus en plus importante.
Une norme pour l’application du modèle de confiance zéro
Bien que de nombreux fournisseurs de sécurité informatique aient tenté de créer leurs propres définitions de la confiance zéro, il existe des normes reconnues qui peuvent être appliquées par toute entreprise individuelle.
Le NIST 800-207 est une norme complète, indépendante des fournisseurs, qui prend en compte le concept de « cloud-first ». L’approche de la confiance zéro doit donc tenir compte de certains principes fondamentaux :
- Toutes les sources de données et tous les services informatiques sont considérés comme des ressources.
- Toutes les communications sont sécurisées indépendamment de l’emplacement du réseau ; l’emplacement du réseau n’implique pas la confiance.
- L’accès aux ressources individuelles de l’entreprise est accordé sur la base de chaque connexion ; la confiance requise est évaluée au cas par cas avant d’accorder l’accès.
- L’accès aux ressources est déterminé par la politique, y compris l’état observable de l’identité de l’utilisateur et du système demandeur, et peut inclure d’autres attributs comportementaux.
- Grâce à ses solutions de sécurité, l’entreprise veille à ce que tous les systèmes qu’elle possède et les dispositifs associés soient dans l’état le plus sûr possible et surveille les systèmes pour s’assurer qu’ils restent protégés.
- L’authentification des utilisateurs est dynamique et strictement appliquée avant que l’accès ne soit accordé. Cette procédure s’inscrit dans un cycle constant d’accès, d’analyse et d’évaluation des menaces, d’adaptation et d’authentification continue.
Zero Trust n’est pas un produit de sécurité mais plutôt une plateforme à laquelle on peut se référer pour créer une architecture appropriée afin de protéger les données et les activités d’une entreprise.
Comment mettre en œuvre le modèle Zero Trust
La mise en œuvre d’une plateforme basée sur le concept Zero Trust doit combiner correctement les technologies de protection et de vérification de l’identité, de sécurité des points de terminaison et d’authentification multifactorielle (MFA). Au cours du processus de vérification, le modèle Zero Trust doit nécessairement prendre en compte les aspects suivants :
- L’identité de l’utilisateur et le type de justificatif utilisé (accès « humain » ou programmatique/automatisé).
- Privilèges du compte utilisé sur chaque dispositif
- Matériel du terminal, versions du firmware, version du système d’exploitation et niveaux de correctifs
- Localisation géographique
- Protocole d’authentification utilisé et risques inhérents.
- Applications installées sur le terminal
- Utilisation de signaux et de modèles de référence ; données sur les précédentes détections de menaces/incidents ; reconnaissance d’activités et d’attaques suspectes.
Il n’existe pas d’approche ou de technologie unique pour mettre en œuvre le modèle de confiance zéro : on peut y parvenir en combinant des solutions de pare-feu de nouvelle génération (NGFW) qui associent le pare-feu traditionnel à des fonctions de filtrage des périphériques réseau (contrôle des applications, système intégré de prévention des intrusions (IPS), prévention des menaces et protection antivirus) avec l’authentification multifactorielle, les principes de micro-segmentation du réseau et l’attribution de privilèges minimums.
Zero Trust Roadmap est une sorte de liste de contrôle guidant les décideurs d’entreprise et les administrateurs informatiques dans l’adoption du modèle.
Développée par Cloudflare, la feuille de route couvre sept aspects considérés comme essentiels pour la sécurité de l’entreprise et des données qu’elle gère : utilisateurs, terminaux, trafic Internet, réseau, applications, prévention des pertes de données et journalisation, état stable.
Le terme « steady state » fait référence à la situation dans laquelle tous les utilisateurs et appareils de l’organisation se trouvent dans un état connu et sécurisé (nous en avons également parlé précédemment). Cela signifie que l’entreprise a réussi à établir une identité numérique pour chaque utilisateur et appareil, qu’elle a mis en place des mesures de sécurité pour protéger les actifs critiques, qu’elle a appliqué des politiques d’accès basées sur l’autorisation et qu’elle a mis en place un processus de surveillance continue pour détecter toute activité suspecte.
Dans chaque section, vous trouverez des exemples de produits logiciels qui peuvent être utilisés tout au long du parcours pour la mise en œuvre réussie du modèle de confiance zéro. Cette liste doit toutefois être considérée comme partielle, car il est possible de combiner des solutions de différents fabricants.
Vous trouverez ci-dessous une liste de produits et de services qui peuvent être utilisés pour mettre en œuvre le modèle de confiance zéro ou modèle Zero Trust :
- Solutions de gestion des identités et des accès (IAM) : pour gérer les identités des utilisateurs et les autorisations d’accès aux ressources.
- Solutions de sécurité des points d’extrémité : les solutions de sécurité des points d’extrémité permettent de protéger les appareils des utilisateurs contre les menaces telles que les logiciels malveillants, les ransomwares et les attaques de type « zero-day ».
- Pare-feu ou Firewall : pour protéger le réseau d’entreprise contre les accès non autorisés, reconnaître et bloquer le trafic potentiellement malveillant.
- Solutions de sécurité des applications : elles protègent le réseau de l’entreprise et les données stockées sur les systèmes contre les attaques qui exploitent les vulnérabilités des différentes applications. Ce niveau de protection ne doit pas se limiter aux seules vulnérabilités, car, comme nous l’avons également constaté récemment dans le cas des attaques par Kerberoasting, des configurations non sécurisées et des implémentations superficielles peuvent vous exposer à de sérieux risques d’attaque. Lorsqu’il n’y a pas de vulnérabilités non résolues, il est néanmoins essentiel de vérifier la configuration du logiciel et l’utilisation de politiques appropriées.
- Analyse comportementale : pour surveiller le comportement des utilisateurs et des applications, en détectant toute anomalie ou situation dangereuse réelle.
- Analyse des données et des journaux : l’analyse des données et des journaux permet de surveiller l’utilisation des ressources et de détecter toute activité suspecte.
- Réseau privé virtuel (VPN) : les VPN permettent aux utilisateurs d’accéder aux ressources de l’organisation de manière sécurisée et privée. Du point de vue du modèle de confiance zéro, cependant, même les dispositifs connectés par VPN ne peuvent être considérés comme intrinsèquement sûrs. Au contraire, ce serait une grave erreur de faire le contraire car toute menace sur le dispositif distant, connecté via VPN, pourrait facilement se propager dans le réseau de l’entreprise.
Constatant que la sécurité informatique est de plus en plus liée au concept de confiance zéro, Cisco a enregistré une prise de conscience croissante de cette question, également dans notre pays.