{"id":217609,"date":"2021-04-26T07:00:30","date_gmt":"2021-04-26T06:00:30","guid":{"rendered":"https:\/\/www.stormshield.com\/?p=217609"},"modified":"2023-06-26T12:33:26","modified_gmt":"2023-06-26T11:33:26","slug":"zero-trust-network-access-avoir-confiance-en-rien","status":"publish","type":"post","link":"https:\/\/www.stormshield.com\/fr\/actus\/zero-trust-network-access-avoir-confiance-en-rien\/","title":{"rendered":"Zero Trust Network : faut-il (vraiment) n’avoir confiance en rien ?"},"content":{"rendered":"

\"Zero<\/p>\n

Le mod\u00e8le Zero Trust est en vogue. Et transporte avec lui une promesse simple\u00a0: pour s\u00e9curiser son syst\u00e8me informatique face aux cyber-menaces, il faut douter de tout et n\u2019avoir confiance en rien. Et si, au lieu d\u2019abolir la confiance, il s\u2019agissait surtout de la d\u00e9placer\u00a0?<\/strong><\/p>\n

Le p\u00e9rim\u00e8tre r\u00e9seau de l\u2019entreprise est mort, vive le Zero Trust Network\u00a0? Pouss\u00e9 par Forrester \u00e0 la fin des ann\u00e9es 2000, le mod\u00e8le de s\u00e9curit\u00e9 Zero Trust Network Access (raccourci en Zero Trust Network<\/em> ou encore Zero Trust<\/em>) est aujourd\u2019hui r\u00e9guli\u00e8rement mis en avant pour faire face aux menaces cyber et \u00e0 la disparition annonc\u00e9e du p\u00e9rim\u00e8tre du r\u00e9seau de l\u2019entreprise. Mais il est fondamental de rappeler que le ZTN n\u2019est pas une technologie, mais plut\u00f4t une approche \u2013 une philosophie presque \u2013 qui interroge notre rapport de confiance et construit un mod\u00e8le de s\u00e9curit\u00e9 avec diff\u00e9rentes briques technologiques<\/strong>. Dans une r\u00e9cente publication<\/a>, l'ANSSI pr\u00e9cise : \u00ab le Zero Trust est avant tout un concept d\u2019architecture d\u00e9di\u00e9 au renforcement de la s\u00e9curit\u00e9 d\u2019acc\u00e8s aux ressources et aux services et non pas une technologie en soi, a fortiori ce n\u2019est pas une solution logicielle tout-en-un commerciale<\/em> \u00bb. Plong\u00e9e dans les coulisses de l\u2019approche Zero Trust.<\/p>\n

Le Zero Trust est avant tout un concept d\u2019architecture d\u00e9di\u00e9 au renforcement de la s\u00e9curit\u00e9 d\u2019acc\u00e8s aux ressources et aux services et non pas une technologie en soi, a fortiori ce n\u2019est pas une solution logicielle tout-en-un commerciale<\/em><\/p>\n

Avis scientifique et technique de l'ANSSI,<\/strong> Le mod\u00e8le Zero Trust<\/pre>\n<\/blockquote>\n
Le p\u00e9rim\u00e8tre r\u00e9seau en train de dispara\u00eetre<\/h2>\n
Il y a fort longtemps, il existait une ligne rouge entre ce qui \u00e9tait \u00e0 l\u2019int\u00e9rieur du p\u00e9rim\u00e8tre du r\u00e9seau de l\u2019entreprise, donc jug\u00e9 digne de confiance, et ce qui \u00e9tait \u00e0 l\u2019ext\u00e9rieur, donc per\u00e7u comme une menace potentielle. Cette approche proposait une forme de s\u00e9curit\u00e9 physique, o\u00f9 le r\u00e9seau n\u2019\u00e9tait accessible que dans les locaux de l\u2019entreprise. Et sans acc\u00e8s aux locaux, pas d\u2019acc\u00e8s au r\u00e9seau \u2013 sauf au travers d\u2019acc\u00e8s VPN. Simple, basique.<\/p>\n
Mais la transformation num\u00e9rique a profond\u00e9ment modifi\u00e9 l\u2019architecture des syst\u00e8mes. De la g\u00e9n\u00e9ralisation des acc\u00e8s VPN pour s\u00e9curiser le travail \u00e0 distance jusqu\u2019aux applications (ou applicatifs) et infrastructures cloud, le p\u00e9rim\u00e8tre du r\u00e9seau de l\u2019entreprise est aujourd\u2019hui litt\u00e9ralement \u00e9clat\u00e9. \u00c0 tel point que cantonner la protection de l\u2019entreprise \u00e0 son p\u00e9rim\u00e8tre r\u00e9seau n\u2019a plus vraiment de sens.<\/p>\n
 <\/p>\n
Le casse-t\u00eate de la s\u00e9curisation des acc\u00e8s distants<\/h2>\n
En plus de l\u2019essor du cloud et de la g\u00e9n\u00e9ralisation du t\u00e9l\u00e9travail, l\u2019habitude du Bring Your Own Device<\/em> acte la fin du p\u00e9rim\u00e8tre du r\u00e9seau de l\u2019entreprise et soul\u00e8ve de nouvelles contraintes de s\u00e9curit\u00e9. Avec deux priorit\u00e9s classiques pour s\u00e9curiser les acc\u00e8s distants\u00a0: authentifier et autoriser les utilisateurs<\/strong>.<\/p>\n
Le premier point peut \u00eatre adress\u00e9 (en partie) avec le VPN. En cr\u00e9ant un tunnel d\u2019acc\u00e8s s\u00e9curis\u00e9 et chiffr\u00e9, l\u2019entreprise permet au collaborateur d\u2019avoir acc\u00e8s aux ressources de l\u2019entreprise, quel que soit l\u2019endroit o\u00f9 elles se trouvent, et de faire transiter des donn\u00e9es en toute s\u00e9curit\u00e9. Elle d\u00e9l\u00e8gue ainsi sa confiance au VPN qui pr\u00e9sente de nombreux avantages\u00a0: un protocole bien ma\u00eetris\u00e9, des algorithmes de chiffrement et des tailles des cl\u00e9s utilis\u00e9es connus, des capacit\u00e9s et des limites bien identifi\u00e9es. L\u2019identification et l\u2019authentification semblent donc trait\u00e9s gr\u00e2ce aux outils de connexion \u00e0 distance et aux solutions 2FA. Mais restait le probl\u00e8me du contr\u00f4le d\u2019acc\u00e8s aux applicatifs h\u00e9t\u00e9rog\u00e8nes et des \u00e9quipements non-ma\u00eetris\u00e9s. D\u2019o\u00f9 l\u2019essor, depuis quelques ann\u00e9es, de l\u2019approche Zero Trust.<\/p>\n
 <\/p>\n
Zero Trust ou la question centrale de la confiance<\/h2>\n
\u00c0 l\u2019oppos\u00e9 du VPN, qui instaure une certaine confiance dans une connexion s\u00e9curis\u00e9e entre deux entit\u00e9s, l\u2019approche Zero Trust consiste \u00e0 n\u2019avoir confiance... en rien. Cette approche va donc remettre en question le r\u00e9seau pour chercher \u00e0 ma\u00eetriser qui acc\u00e8de \u00e0 quoi et quand. Autrement dit, l\u2019approche Zero Trust repose sur une v\u00e9rification des acc\u00e8s, des identit\u00e9s et des privil\u00e8ges \u00e0 chaque acc\u00e8s \u2013 y compris au sein du r\u00e9seau de l\u2019entreprise. \u00ab\u00a0Le ZTN a pour promesse la confiance z\u00e9ro<\/em>, explique St\u00e9phane Pr\u00e9vost<\/strong>, Product Marketing Manager\u00a0Stormshield. Mais c\u2019est impossible\u00a0! Il faut forc\u00e9ment se raccrocher \u00e0 quelque chose de tangible pour pouvoir donner un acc\u00e8s \u00e0 quelque chose de sensible<\/em>\u00a0\u00bb. En clair, quelle confiance accorder en fonction de la sensibilit\u00e9 des informations ou de l\u2019environnement \u00e0 prot\u00e9ger\u00a0?<\/p>\n
Le ZTN a pour promesse la confiance z\u00e9ro, mais c\u2019est impossible\u00a0! Il faut forc\u00e9ment se raccrocher \u00e0 quelque chose de tangible pour pouvoir donner un acc\u00e8s \u00e0 quelque chose de sensible<\/em><\/p>\n
St\u00e9phane Pr\u00e9vost<\/strong>, Product Marketing Manager\u00a0Stormshield<\/pre>\n<\/blockquote>\n
Au lieu d\u2019abolir la confiance, l\u2019approche ZTN consiste plut\u00f4t \u00e0 la d\u00e9placer<\/strong>. Vers o\u00f9\u00a0? En premier lieu, l\u2019utilisateur. Avec un principe simple\u00a0: si l\u2019utilisateur est authentifi\u00e9, je peux lui faire confiance. Mais est-ce vraiment suffisant\u00a0? Quid de son lieu ou de son appareil de connexion\u00a0?<\/p>\n
 <\/p>\n
Un socle de s\u00e9curit\u00e9 en trois points\u00a0: identit\u00e9, machine et acc\u00e8s<\/h2>\n
Aux deux priorit\u00e9s classiques \u00e9nonc\u00e9es plus t\u00f4t, s\u2019ajoute en fait une troisi\u00e8me. L\u2019utilisateur a beau \u00eatre central, la machine qu\u2019il utilise a aussi toute son importance. \u00ab\u00a0C\u2019est le couple utilisateur\/machine qui est important dans l\u2019approche Zero Trust<\/em>, explique St\u00e9phane Pr\u00e9vost. M\u00eame en authentifiant un utilisateur, il reste une faille possible sur l\u2019appareil utilis\u00e9. Il peut \u00eatre infect\u00e9 par un virus qui va pouvoir acc\u00e9der au contenu sensible et chiffrer des donn\u00e9es par exemple. On doit donc aussi faire confiance \u00e0 la machine.<\/em>\u00a0\u00bb Et g\u00e9rer les acc\u00e8s en fonction de la nature du poste de travail (professionnel ou personnel), des logiciels utilis\u00e9s, de la mise \u00e0 jour de ses solutions de s\u00e9curit\u00e9, voire encore de l\u2019endroit o\u00f9 elle se trouve (au domicile, au bureau, en mobilit\u00e9\u2026). Pour cela, les solutions de protection des postes doivent int\u00e9grer les questions de politiques contextuelles et d\u2019adaptabilit\u00e9 dynamique<\/strong>. Et ainsi adapter la s\u00e9curit\u00e9 \u00e0 son environnement.<\/p>\n
C\u2019est le couple utilisateur\/machine qui est important dans l\u2019approche Zero Trust<\/em><\/p>\n
St\u00e9phane Pr\u00e9vost,<\/strong> Product Marketing Manager Stormshield<\/pre>\n<\/blockquote>\n
L\u2019approche Zero Trust ne se limite donc pas au simple fait d\u2019arriver \u00e0 se connecter sur le r\u00e9seau de l\u2019entreprise, mais bien d\u2019assurer une s\u00e9curit\u00e9 globale, centr\u00e9e sur la personne et le mat\u00e9riel, qui inclut l\u2019identification de l\u2019utilisateur et la machine, l\u2019authentification multifacteur et la gestion des acc\u00e8s.<\/p>\n
Ce dernier point suppose un certain degr\u00e9 de maturit\u00e9 des entreprises sur le sujet<\/strong>, notamment pour d\u00e9finir clairement les droits d\u2019acc\u00e8s de chaque collaborateur. Et c'est l\u00e0 que le b\u00e2t blesse, parfois. Car la gestion des droits et des acc\u00e8s (Identity and Access Management<\/em> - IAM) ne rel\u00e8ve pas uniquement de la DSI\u00a0: les ressources humaines mais aussi les responsables de chaque service ou m\u00e9tier doivent avoir une id\u00e9e claire des acc\u00e8s accord\u00e9s. Chaque manager doit \u00eatre capable de d\u00e9terminer qui, dans son \u00e9quipe, a acc\u00e8s \u00e0 quoi, et pour faire quoi. Cela para\u00eet simple, mais rapport\u00e9 au nombre croissant d\u2019outils qui existent dans une entreprise, la gestion fluide des privil\u00e8ges de chacun\u2e31e \u2013 et leur mise \u00e0 jour \u2013 peut vite s\u2019apparenter \u00e0 un chantier. Mais un chantier n\u00e9cessaire, qui participe \u00e0 la bonne s\u00e9curit\u00e9 de l\u2019entreprise. La bonne nouvelle, c\u2019est qu\u2019une fois ce chantier r\u00e9alis\u00e9, la mise en \u0153uvre est rapide. La mauvaise, c\u2019est que pour \u00eatre en ma\u00eetrise et avoir une vision exhaustive des acc\u00e8s, les entreprises doivent composer avec une politique \u00e9volutive dans le temps et une forte h\u00e9t\u00e9rog\u00e9n\u00e9it\u00e9 des outils de contr\u00f4les, en particulier si ses applications sont h\u00e9berg\u00e9es dans un cloud.<\/p>\n
 <\/p>\n
La particularit\u00e9 des mod\u00e8les Cloud<\/h2>\n
Que ce soit des infrastructures IaaS ou PaaS, des applications SaaS ou encore des infrastructures hybrides, les usages du cloud explosent dans les entreprises. Ainsi, 51% des organisations et des entreprises fran\u00e7aises interrog\u00e9es externalisent tout ou partie de leur syst\u00e8me d\u2019information chez un tiers, et 7% en totalit\u00e9, note le Clusif dans son \u00e9dition 2020 de l\u2019\u00e9tude MIPS<\/a> (Menaces informatiques et pratiques de s\u00e9curit\u00e9).<\/p>\n
Les entreprises migrent leurs propres applications personnalis\u00e9es vers le cloud et\/ou s'abonnent \u00e0 des applications SaaS d'entreprise comme Office 365, Salesforce, Google ou d\u2019autres. Or, une r\u00e9cente enqu\u00eate ESG<\/a> indique que les comptes et les r\u00f4les soumis \u00e0 des autorisations trop permissives constituaient la principale erreur de configuration des services de cloud. D\u00e9finir une politique d\u2019acc\u00e8s \u00e0 moindre privil\u00e8ge est donc essentielle en environnement cloud\u2026 mais complexe. \u00ab\u00a0L\u2019entreprise doit \u00eatre capable d\u2019identifier la personne qui se connecte \u00e0 ces diff\u00e9rentes applications<\/em>\u00a0\u00bb, explique St\u00e9phane Pr\u00e9vost. L\u2019entreprise se retrouve alors avec diff\u00e9rentes briques techniques et une politique d\u2019acc\u00e8s tr\u00e8s h\u00e9t\u00e9rog\u00e8ne \u00e0 g\u00e9rer\u00a0: la politique sur le datacenter, la politique sur les sites distants, la politique sur le SaaS, sur les applications PaaS etc.<\/p>\n
\u00ab\u00a0C\u2019est l\u2019exhaustivit\u00e9 des acc\u00e8s qui est compliqu\u00e9e \u00e0 traiter<\/em>, estime St\u00e9phane Pr\u00e9vost. Avoir une seule politique capable de d\u00e9ployer les droits de qui acc\u00e8de \u00e0 quoi et quand, partout\u2026 les entreprises n\u2019y sont pas encore\u00a0! Mais cela s\u2019appuiera s\u00fbrement sur l\u2019annuaire d\u2019entreprise.<\/em>\u00a0\u00bb<\/p>\n
Un annuaire comme point central de gestion des identit\u00e9s dans une soci\u00e9t\u00e9\u2026 voil\u00e0 un sujet qui soul\u00e8ve la question d\u2019une certaine d\u00e9pendance envers son \u00e9diteur. Et ce, m\u00eame s\u2019il peut \u00eatre renforc\u00e9 par des solutions d\u2019IAM. Les r\u00f4les appliqu\u00e9s aux utilisateurs requi\u00e8rent de nombreuses autorisations qu\u2019il vaut mieux limiter au moindre privil\u00e8ge n\u00e9cessaire au fonctionnement d\u2019un service en particulier. Autre point \u00e0 surveiller\u00a0: les autorisations obsol\u00e8tes, qui maintiennent des acc\u00e8s \u00e0 des personnes qui ne travaillent pourtant plus sur le projet. Le plus simple est d\u2019y aller par pallier\u00a0: commencer avec un minimum d\u2019autorisations puis en accorder d\u2019autres si n\u00e9cessaire<\/strong>. Cette m\u00e9thode est plus s\u00fbre que de commencer avec des autorisations trop permissives et d\u2019essayer de les restreindre plus tard (vous risquez d\u2019en oublier).<\/p>\n
Pour r\u00e9sumer, une approche Zero Trust n\u00e9cessite plusieurs pr\u00e9requis\u00a0:<\/p>\n