Qu’est-ce que le Zero Trust ?

Le Zero Trust est une approche architecturale et un objectif en matière de sécurité du réseau, qui suppose que toute transaction, entité et identité n’est pas fiable, jusqu’à ce que la confiance soit établie et maintenue au fil du temps. Les stratégies ZT diffèrent de la vision existante selon laquelle un réseau est sécurisé, sauf si les systèmes de sécurité identifient une violation.

Sécurité au-delà de la périphérie

Au cours de la dernière décennie, les entreprises se sont de plus en plus tournées vers le numérique. Elles intègrent désormais l’architecture cloud, intègrent davantage le télétravail et ont ajouté des solutions as-a-service, entre autres changements transformationnels. Les équipes de sécurité ont fait évoluer la sécurité des réseaux en conséquence. Pour cela, elles ont souvent renforcé les protections en segmentant le réseau en zones plus petites.

Malheureusement, cette stratégie a créé davantage d’occasions pour les attaquants. Lorsque les attaquants accèdent aux informations de connexion d’un utilisateur, ils peuvent se déplacer latéralement sur le réseau, en répandant des ransomware et en acquérant des privilèges au passage.

L’authentification (MFA) multi-facteur a amélioré la résistance des données d'identification, mais a ajouté une couche d’authentification supplémentaire. Une fois à l’intérieur, les pirates bénéficient toujours d’un accès continu jusqu’à ce qu’ils se déconnectent ou jusqu’à ce que le système les déconnecte.

Les nouvelles méthodes de travail, comme le BYOD (Bring Your Own Device), le télétravail et l’architecture cloud ont ajouté un nouvel ensemble de vulnérabilités. Malheureusement, même les nouvelles protections de cybersécurité plus solides, offrant une meilleure visibilité, s'arrêtent à la périphérie du réseau de l’entreprise et sont aveugles au-delà.

Modèle de sécurité Zero Trust

L'approche ZT de la cybersécurité inverse l’ancien paradigme. La cybersécurité n’est plus définie par des segments de réseau ou par les limites du réseau d’une entreprise. La confiance n’est plus accordée en se basant sur le fait qu’une connexion ou un actif appartienne à une entreprise ou à une personne. Elle n’est pas non plus accordée selon l’emplacement physique ou sur le réseau : Internet ou réseau local.

L'approche ZT se concentre en revanche sur les ressources, les utilisateurs et les actifs individuels, qui que soient leurs propriétaires et quel que soit leur emplacement. L’authentification a lieu individuellement, pour chaque ressource d’entreprise, avant qu’un utilisateur ne reçoive une autorisation d'accès.

L’objectif ultime est d’obtenir une approche Zero Trust sur tout élément du réseau, avant qu'il ne soit vérifié.

Normes Zero Trust

Si l'on se demande quelles sont les certifications et normes Zero Trust, la réponse rapide est qu’elles n’existent pas. Le NIST (National Institute of Standards and Technology), fondé en 1901 et désormais intégré au département du commerce des États-Unis, fournit des informations sur les technologies, les mesures et les normes pour les États-Unis. Son objectif est d'augmenté la compétitivité technologique.

Le NIST crée des normes pour les pratiques de communications, de technologie et de cybersécurité. Il n'a pas encore créé de normes ni de certifications pour le Zero Trust, mais il a créé une publication spéciale, Special Publication (SP), évoquant les objectifs d’une architecture ZT.

Le résumé du document décrit le Zero Trust de la manière suivante : « Le Zero Trust est un terme qui désigne un ensemble évolutif de paradigmes de cybersécurité qui font passer les défenses de périmètres statiques, basés sur le réseau, à une concentration sur les utilisateurs, les actifs et les ressources. » Le document décrit ensuite l'approche Zero Trust en profondeur.

Confusion autour du Zero Trust

Dans le monde de la cybersécurité, il existe une certaine confusion autour de la définition de la ZT. Certains fournisseurs profitent de cette confusion pour vendre des produits étiquetés comme étant ZT. Les personnes mal informées peuvent ainsi penser, à tort, que le ZT est basé sur des produits.

Le ZT n’est pas propre à des produits, bien que ceux nouveaux et existants puissent constituer des blocs de construction pour son architecture. Le ZT constitue une approche révolutionnaire de la cybersécurité. Il s’inscrit fermement dans la manière concrète dont les organisations et les employés se connectent et travaillent ensemble aujourd’hui.

Avancer vers le Zero Trust

Si une entreprise crée son infrastructure en partant de zéro, il est possible, et peut-être même plus simple, d’identifier les flux de travail et composants essentiels, et de construire entièrement l’architecture ZT. À mesure que l’entreprise et l’infrastructure changent, la croissance peut continuer à respecter les principes de ZT sur le long terme.

Dans la pratique, la plupart des mises en œuvre de ZT s’effectueront sous forme de processus. Les organisations préserveront un certain équilibre de ZT et une sécurité basée sur le périmètre dans le temps, en mettant en œuvre progressivement des initiatives de modernisation.

La mise en place complète d'une architecture ZT peut prendre plusieurs années et regroupe différents projets discrets, avant d’atteindre l’objectif ultime du Zero Trust. Cependant, il n’y a pas de ligne d'arrivée avec le ZT. Il faut plutôt continuer à mettre en œuvre et à appliquer la stratégie de ZT au fil du temps, en prenant en compte les futurs changements de l’entreprise et de l’infrastructure.

Le développement d’un plan avant d'agir peut diviser le processus en fragments, et assurer la réussite dans le temps. Commencer par un catalogue complet de sujets, de processus métier, de flux de trafic et de cartes de dépendance vous prépare à traiter les sujets, actifs et processus métier ciblés.

Principes du Zero Trust

L’architecture ZT est un objectif et une approche dont la mise en œuvre demande du temps et de l’attention. Il ne s'agit pas d’une installation unique que vous pouvez déployer avant de passer à la suivante. Il s'agit d'une philosophie de cybersécurité soutenue par quatre principes principaux. L’un d’eux peut reposer sur une technique de sécurité en particulier, comme la MFA pour l’identité, mais la technique utilisée au fil du temps peut changer.

Trois fonctions basiques sous-tendent l’approche ZT.

  • Posture : avant la ZT, dans la sécurité basée sur le périmètre, la vérification de l’identité était rarement dans les opposés, « sûre » ou « non sûre ». L'approche ZT consiste à évaluer les identités, les appareils, les applications et l’utilisation des données, afin de détecter les risques possibles et importants. La posture est qualitative et étudie la vision d’ensemble.
  • Évaluation continue - L'approche ZT consiste à évaluer constamment toutes les transactions. Une approche précédente, la NAC (Network Admission Control), possédait cette qualité dans une moindre mesure, mais était un point d'étranglement unique, vérifiait un plus petit nombre de critères, puis accordait sa confiance. L’architecture ZT considère toutes les tentatives d'accès comme un point d'étranglement.
  • Compromis supposé - Les équipes des SOC (Security Operations Center) utilisent souvent une politique « vérifier, puis faire confiance ». Elle suppose que tout va bien jusqu'à ce que le système de sécurité émette une alerte. Le ZT part de l’hypothèse que rien n’est sûr et que rien ne doit être autorisé avant que la situation ne soit claire.

Le parcours Zero Trust

Le ZT doit être mis en œuvre progressivement et appliqué en continu. Il ne s'agit pas d’un remplacement complet ou d'un déploiement unique, qui reste ensuite en place pendant toute la durée de vie du réseau. Il s'agit d'un processus incrémentiel sur plusieurs années et projets, qui implique plusieurs aspects du réseau et nécessitera une évaluation constante, à mesure que les habitudes de travail, les technologies et les menaces évoluent.

La façon dont votre organisation met en œuvre l’approche ZT dépend de vos opérations. Vos actifs les plus précieux constituent un bon point de départ.

Le parcours ZT inclut quatre composants :

  • Gestion des identités et des accès (IAM, Identity and Access Management) - Les utilisateurs veulent bénéficier d’une authentification unique et les administrateurs recherchent une administration consolidée des utilisateurs. Pour qu’un projet IAM réussisse, il doit équilibrer le besoin de sécurité de l’organisation en matière de disponibilité, de facilité d’utilisation et d'économies. Il doit commencer par mapper les utilisateurs ayant besoin d'accéder à ces ressources et par ajouter une authentification MFA si la ressource est particulièrement sensible.
  • Gestion des accès privilégiés (PAM, Privileged Access Management) - Pour les ressources les plus sensibles, un outil de PAM tel que CyberArk, BeyondTrust ou Thycotic ajoute un niveau de sécurité supplémentaire. Cela renforce la sécurité et la visibilité.
  • Mots de passe - La philosophie relative aux mots de passe change au fil du temps. Le NIST a récemment émis de nouvelles directives. Selon son analyse, il est recommandé d'utiliser des mots de passe longs qui utilisent des mots familiers, plutôt qu’un groupe de caractères aléatoires difficiles à mémoriser. De plus, les acteurs malveillants utilisent rapidement les mots de passe compromis. Selon le NIST, changer ses mots de passe tous les 90 jours ne diminue pas les risques, contrairement à la MFA.
  • Surveillance continue - Définissez les politiques de votre organisation en matière d'accès, qu’elles soient basées sur le temps, les nouvelles demandes de ressource, les modifications de ressource ou les anomalies. L’authentification et l’autorisation doivent être appliquées de manière stricte avant l’accord d’un accès.

Recherches associées

Livre blanc Zero Trust