Le modèle Zero Trust est en vogue. Et transporte avec lui une promesse simple : pour sécuriser son système informatique face aux cyber-menaces, il faut douter de tout et n’avoir confiance en rien. Et si, au lieu d’abolir la confiance, il s’agissait surtout de la déplacer ?
Le périmètre réseau de l’entreprise est mort, vive le Zero Trust Network ? Poussé par Forrester à la fin des années 2000, le modèle de sécurité Zero Trust Network Access (raccourci en Zero Trust Network ou encore Zero Trust) est aujourd’hui régulièrement mis en avant pour faire face aux menaces cyber et à la disparition annoncée du périmètre du réseau de l’entreprise. Mais il est fondamental de rappeler que le ZTN n’est pas une technologie, mais plutôt une approche – une philosophie presque – qui interroge notre rapport de confiance et construit un modèle de sécurité avec différentes briques technologiques. Dans une récente publication, l'ANSSI précise : « le Zero Trust est avant tout un concept d’architecture dédié au renforcement de la sécurité d’accès aux ressources et aux services et non pas une technologie en soi, a fortiori ce n’est pas une solution logicielle tout-en-un commerciale ». Plongée dans les coulisses de l’approche Zero Trust.
Le Zero Trust est avant tout un concept d’architecture dédié au renforcement de la sécurité d’accès aux ressources et aux services et non pas une technologie en soi, a fortiori ce n’est pas une solution logicielle tout-en-un commerciale
Avis scientifique et technique de l'ANSSI, Le modèle Zero Trust
Le périmètre réseau en train de disparaître
Il y a fort longtemps, il existait une ligne rouge entre ce qui était à l’intérieur du périmètre du réseau de l’entreprise, donc jugé digne de confiance, et ce qui était à l’extérieur, donc perçu comme une menace potentielle. Cette approche proposait une forme de sécurité physique, où le réseau n’était accessible que dans les locaux de l’entreprise. Et sans accès aux locaux, pas d’accès au réseau – sauf au travers d’accès VPN. Simple, basique.
Mais la transformation numérique a profondément modifié l’architecture des systèmes. De la généralisation des accès VPN pour sécuriser le travail à distance jusqu’aux applications (ou applicatifs) et infrastructures cloud, le périmètre du réseau de l’entreprise est aujourd’hui littéralement éclaté. À tel point que cantonner la protection de l’entreprise à son périmètre réseau n’a plus vraiment de sens.
Le casse-tête de la sécurisation des accès distants
En plus de l’essor du cloud et de la généralisation du télétravail, l’habitude du Bring Your Own Device acte la fin du périmètre du réseau de l’entreprise et soulève de nouvelles contraintes de sécurité. Avec deux priorités classiques pour sécuriser les accès distants : authentifier et autoriser les utilisateurs.
Le premier point peut être adressé (en partie) avec le VPN. En créant un tunnel d’accès sécurisé et chiffré, l’entreprise permet au collaborateur d’avoir accès aux ressources de l’entreprise, quel que soit l’endroit où elles se trouvent, et de faire transiter des données en toute sécurité. Elle délègue ainsi sa confiance au VPN qui présente de nombreux avantages : un protocole bien maîtrisé, des algorithmes de chiffrement et des tailles des clés utilisées connus, des capacités et des limites bien identifiées. L’identification et l’authentification semblent donc traités grâce aux outils de connexion à distance et aux solutions 2FA. Mais restait le problème du contrôle d’accès aux applicatifs hétérogènes et des équipements non-maîtrisés. D’où l’essor, depuis quelques années, de l’approche Zero Trust.
Zero Trust ou la question centrale de la confiance
À l’opposé du VPN, qui instaure une certaine confiance dans une connexion sécurisée entre deux entités, l’approche Zero Trust consiste à n’avoir confiance... en rien. Cette approche va donc remettre en question le réseau pour chercher à maîtriser qui accède à quoi et quand. Autrement dit, l’approche Zero Trust repose sur une vérification des accès, des identités et des privilèges à chaque accès – y compris au sein du réseau de l’entreprise. « Le ZTN a pour promesse la confiance zéro, explique Stéphane Prévost, Product Marketing Manager Stormshield. Mais c’est impossible ! Il faut forcément se raccrocher à quelque chose de tangible pour pouvoir donner un accès à quelque chose de sensible ». En clair, quelle confiance accorder en fonction de la sensibilité des informations ou de l’environnement à protéger ?
Le ZTN a pour promesse la confiance zéro, mais c’est impossible ! Il faut forcément se raccrocher à quelque chose de tangible pour pouvoir donner un accès à quelque chose de sensible
Stéphane Prévost, Product Marketing Manager Stormshield
Au lieu d’abolir la confiance, l’approche ZTN consiste plutôt à la déplacer. Vers où ? En premier lieu, l’utilisateur. Avec un principe simple : si l’utilisateur est authentifié, je peux lui faire confiance. Mais est-ce vraiment suffisant ? Quid de son lieu ou de son appareil de connexion ?
Un socle de sécurité en trois points : identité, machine et accès
Aux deux priorités classiques énoncées plus tôt, s’ajoute en fait une troisième. L’utilisateur a beau être central, la machine qu’il utilise a aussi toute son importance. « C’est le couple utilisateur/machine qui est important dans l’approche Zero Trust, explique Stéphane Prévost. Même en authentifiant un utilisateur, il reste une faille possible sur l’appareil utilisé. Il peut être infecté par un virus qui va pouvoir accéder au contenu sensible et chiffrer des données par exemple. On doit donc aussi faire confiance à la machine. » Et gérer les accès en fonction de la nature du poste de travail (professionnel ou personnel), des logiciels utilisés, de la mise à jour de ses solutions de sécurité, voire encore de l’endroit où elle se trouve (au domicile, au bureau, en mobilité…). Pour cela, les solutions de protection des postes doivent intégrer les questions de politiques contextuelles et d’adaptabilité dynamique. Et ainsi adapter la sécurité à son environnement.
C’est le couple utilisateur/machine qui est important dans l’approche Zero Trust
Stéphane Prévost, Product Marketing Manager Stormshield
L’approche Zero Trust ne se limite donc pas au simple fait d’arriver à se connecter sur le réseau de l’entreprise, mais bien d’assurer une sécurité globale, centrée sur la personne et le matériel, qui inclut l’identification de l’utilisateur et la machine, l’authentification multifacteur et la gestion des accès.
Ce dernier point suppose un certain degré de maturité des entreprises sur le sujet, notamment pour définir clairement les droits d’accès de chaque collaborateur. Et c'est là que le bât blesse, parfois. Car la gestion des droits et des accès (Identity and Access Management - IAM) ne relève pas uniquement de la DSI : les ressources humaines mais aussi les responsables de chaque service ou métier doivent avoir une idée claire des accès accordés. Chaque manager doit être capable de déterminer qui, dans son équipe, a accès à quoi, et pour faire quoi. Cela paraît simple, mais rapporté au nombre croissant d’outils qui existent dans une entreprise, la gestion fluide des privilèges de chacun⸱e – et leur mise à jour – peut vite s’apparenter à un chantier. Mais un chantier nécessaire, qui participe à la bonne sécurité de l’entreprise. La bonne nouvelle, c’est qu’une fois ce chantier réalisé, la mise en œuvre est rapide. La mauvaise, c’est que pour être en maîtrise et avoir une vision exhaustive des accès, les entreprises doivent composer avec une politique évolutive dans le temps et une forte hétérogénéité des outils de contrôles, en particulier si ses applications sont hébergées dans un cloud.
La particularité des modèles Cloud
Que ce soit des infrastructures IaaS ou PaaS, des applications SaaS ou encore des infrastructures hybrides, les usages du cloud explosent dans les entreprises. Ainsi, 51% des organisations et des entreprises françaises interrogées externalisent tout ou partie de leur système d’information chez un tiers, et 7% en totalité, note le Clusif dans son édition 2020 de l’étude MIPS (Menaces informatiques et pratiques de sécurité).
Les entreprises migrent leurs propres applications personnalisées vers le cloud et/ou s'abonnent à des applications SaaS d'entreprise comme Office 365, Salesforce, Google ou d’autres. Or, une récente enquête ESG indique que les comptes et les rôles soumis à des autorisations trop permissives constituaient la principale erreur de configuration des services de cloud. Définir une politique d’accès à moindre privilège est donc essentielle en environnement cloud… mais complexe. « L’entreprise doit être capable d’identifier la personne qui se connecte à ces différentes applications », explique Stéphane Prévost. L’entreprise se retrouve alors avec différentes briques techniques et une politique d’accès très hétérogène à gérer : la politique sur le datacenter, la politique sur les sites distants, la politique sur le SaaS, sur les applications PaaS etc.
« C’est l’exhaustivité des accès qui est compliquée à traiter, estime Stéphane Prévost. Avoir une seule politique capable de déployer les droits de qui accède à quoi et quand, partout… les entreprises n’y sont pas encore ! Mais cela s’appuiera sûrement sur l’annuaire d’entreprise. »
Un annuaire comme point central de gestion des identités dans une société… voilà un sujet qui soulève la question d’une certaine dépendance envers son éditeur. Et ce, même s’il peut être renforcé par des solutions d’IAM. Les rôles appliqués aux utilisateurs requièrent de nombreuses autorisations qu’il vaut mieux limiter au moindre privilège nécessaire au fonctionnement d’un service en particulier. Autre point à surveiller : les autorisations obsolètes, qui maintiennent des accès à des personnes qui ne travaillent pourtant plus sur le projet. Le plus simple est d’y aller par pallier : commencer avec un minimum d’autorisations puis en accorder d’autres si nécessaire. Cette méthode est plus sûre que de commencer avec des autorisations trop permissives et d’essayer de les restreindre plus tard (vous risquez d’en oublier).
Pour résumer, une approche Zero Trust nécessite plusieurs prérequis :
- Contrôler le niveau de sécurité des postes de travail et équipements d’accès aux applications ;
- Définir qui accède à quoi et comment (et se reposer la question régulièrement) ;
- Déployer cette politique d’accès de façon homogène sur l’ensemble des applicatifs, parfois très hétérogènes.
Un changement de philosophie
En déplaçant la confiance sur l’identification et l’authentification de l’utilisateur, ses accès et sa machine, l’approche Zero Trust fait de l’identité un nouveau périmètre de sécurité. Cela nécessite de mettre en place des mécanismes de vérification très tôt, dès le niveau des applications métier qui avant ne s’appuyait que sur du contrôle d’accès réseau. « Cela n’empêche pas de mettre en place des bonnes pratiques autour du ZTN, comme segmenter son réseau d’entreprise en fonction du degré de confiance accordée à ses collaborateurs », souligne Stéphane Prévost. En ce sens, « les protections périmétriques ne disparaissent pas pour autant, précise l'ANSSI dans son avis scientifique et technique. Il y a toujours, par exemple, des pare-feux, des proxies, des annuaires de confiance ».
Il serait en effet illusoire de penser que le Zero Trust est une approche magique qui remplace toutes les autres approches de sécurité. En fait, il s’appuie sur les technologies existantes pour établir le bon niveau de confiance : authentification multifacteur pour avoir confiance dans l’utilisateur, VPN pour chiffrer les communications et avoir confiance dans leur transfert, analyse comportementale pour avoir confiance dans la machine utilisée etc. Avec en ligne de mire la réévaluation continue du degré de confiance à accorder. De quoi confirmer un principe immuable : la cybersécurité n’est pas un domaine figé mais un exercice de formation continu.
