Zero-Trust – La sécurité au-delà de la protection périmétrique

Avec l’avènement de la digitalisation et la multiplication des menaces, la notion de confiance est au centre de plusieurs débats dans le domaine de la cybersécurité.

La protection était auparavant centrée au niveau périmétrique, qui d’ailleurs constitue la première ligne de défense : le point d’entrée et de sortie le plus protégé d’un réseau d’entreprise. D’où l’importance d’avoir une visibilité et une bonne maîtrise du trafic de données qui y transitent.

Cependant, une fois les barrières périmétriques franchies, d’autres technologies sont déployées pour le repérage des informations sensibles à dérober. Donc il s’agit non seulement d’assurer la garde des frontières mais également mettre en œuvre des dispositifs de protection supplémentaires en interne pour éviter que les cybercriminels ne contournent les dispositifs en place par des attaques sophistiquées.

Ainsi, la protection périmétrique jadis reconnue comme premier bouclier pour protéger les systèmes d’information des entreprises devient insuffisante et impose de renforcer le contrôle d’accès logique en fonction des usages et du comportement des utilisateurs. Il faut pour cela se poser certaines questions au préalable :

• Qui accède à nos informations ?
• D’où les utilisateurs accèdent-ils ?
• Pour quel usage ?
• Avec quel périphérique ?

La réponse à ces questions constitue le socle du modèle Zero-trust.

Inventée par John Kindervag, analyste chez Forrester, dans le cadre de ses recherches, la notion Zero-trust est définie comme un modèle de sécurité sans périmètre qui adopte le concept « ne jamais faire confiance, toujours vérifier ». Son objectif est d’appliquer la sécurité à l’étape de la transmission de l’information en minimisant les risques.

Il est basé sur le contrôle d’accès à travers des paramètres tels que :

• La sécurité de l’identification et de l’authentification : qui repose sur les principes comme l’authentification multi-facteur, laquelle nécessite au moins deux paramètres distincts pour qu’un utilisateur prouve son identité : quelque chose qu’il connait (Login, mot de passe, …), quelque chose qu’il possède (smartphone, badge, carte, token, …) et quelque chose qu’il est (empreintes, iris, face, …). On pourra utiliser, par exemple, la génération d’un code temporaire envoyé sur une application type Authenticator à saisir en plus du mot de passe, l’insertion d’une carte de sécurité couplé à la biométrie, etc.
• La gestion de l’autorisation d’accès aux ressources : qui consiste en la mise en place des règles permettant de définir les autorisations d’accès à travers des politiques de sécurité strictes basées sur le besoin (la justification de l’accès dans le cadre des responsabilités du bénéficiaire) et le moindre privilège (les habilitations minimales pour le besoin exprimé), ainsi que les prérequis sécuritaires pour autoriser lesdits accès. Exemple : accès uniquement depuis un smartphone d’entreprise, depuis un poste à jour avec une solution contre les logiciels malveillants, ou depuis une zone géographique précise, etc.).
• La journalisation : Il s’agira de mettre en place des outils permettant d’enregistrer les éléments associés à l’identité afin d’analyser et d’identifier les accès depuis des zones inhabituelles à des heures différentes des heures habituelles de connexion. Ces concepts permettent d’appréhender les nouveaux types d’attaques et d’agir rapidement en cas de compromission : vol de session, d’identifiant lié au contexte, menaces liées à des appareils ‘’vérolés’’ et connectés au SI (ordinateur, smartphone etc.).

Le Zero-trust à l’ère du télétravail

Avec l’augmentation des travailleurs à distance et le phénomène d’hébergement des applications privées dans le cloud, le modèle zero-trust tourne vers une approche cloud qui étend le périmètre au-delà des murs de l’entreprise.

Il faut penser à la mise en place de solutions de sécurité hautement évolutives et qui offrent aux utilisateurs un accès sécurisé aux applications, par opposition au réseau, afin de protéger efficacement les applications et les données privées contre les violations ou les abus. Citons à titre d’exemple :

• La gestion des identités et des accès
• Les solutions de gestions des accès à privilèges
• Les solutions d’authentification forte

La plupart des entreprises font recours à un modèle Zero-Trust pour bénéficier d’une visibilité totale et d’un contrôle complet sur les utilisateurs et les périphériques, lesquels accèdent de plus en plus à des applications cloud et des services de données. Il peut s’agir d’applications managées au sein de l’écosystème de l’entreprise, mais également d’applications non managées, utilisées par certains secteurs et individus de l’entreprise ou hébergées par des tiers.

D’après le rapport 2020 de Netskope, 53% des entreprises sont convaincues de leur capacité d’implémentation de l’approche Zero-Trust dans leur architecture d’accès sécurisé, alors que 47% des équipes de sécurité informatique n’ont pas la capacité de le faire. Ceci met en évidence les efforts à mettre en place par les entreprises pour mieux sécuriser l’accès à leur patrimoine informationnel. https://www.cybersecurity-insiders.com/portfolio/2020-zero-trust-report-netskope/

Globalement, le principe zero-trust représente une base importante de la sécurité des données et des applications au sein de l’entreprise même s’il faut noter que d’autres briques peuvent s’y rajouter pour renforcer davantage la sécurité.