Le modèle Zero Trust a gagné en popularité auprès des organisations ces dernières années. Selon les données de 2019, 78 % des équipes de sécurité de l’information avaient mis en œuvre ce modèle ou prévoyaient au moins de le faire. Nous décortiquons le concept de Zero Trust pour voir ce qui le rend attrayant pour les entreprises.
Finis, les périmètres
La sécurité de périmètre, un terme courant dans la protection des infrastructures d’entreprise, englobe l’utilisation de contrôles approfondis pour toute tentative de connexion aux ressources de l’entreprise depuis l’extérieur de cette infrastructure. En substance, elle établit une frontière entre le réseau d’entreprise et le reste du monde. L’intérieur du périmètre (au sein du réseau d’entreprise), devient cependant une zone de confiance dans laquelle les utilisateurs, les appareils et les applications jouissent d’une certaine liberté.
La sécurité de périmètre fonctionne tant que la zone de confiance est limitée au réseau d’accès local et aux appareils fixes qui y sont connectés. Mais le concept de « périmètre » s’est estompé à mesure que le nombre de gadgets mobiles et de services sur le cloud utilisés par les employés a augmenté. De nos jours, au moins une partie des ressources de l’entreprise se trouve en dehors du bureau ou même à l’étranger. Essayer de les cacher derrière des murs, même très hauts, n’est pas pratique. Il est devenu beaucoup plus facile de pénétrer dans la zone de confiance et de s’y déplacer sans entrave.
En 2010, John Kindervag, analyste principal de Forrester Research, a proposé le concept de Zero Trust comme alternative au périmètre de sécurité. Il a proposé d’abandonner la distinction intérieur/extérieur et de se concentrer plutôt sur les ressources. Zero Trust est, par essence, une absence de zones de confiance de quelque sorte que ce soit. Dans ce modèle, les utilisateurs, les dispositifs et les applications sont soumis à des contrôles chaque fois qu’ils demandent l’accès à une ressource de l’entreprise.
Zero Trust dans la pratique
Il n’existe pas d’approche unique pour déployer un système de sécurité basé sur Zero Trust. Malgré cela, on peut identifier plusieurs principes fondamentaux qui peuvent aider à mettre en place un tel système.
La surface de protection au lieu de la surface d’attaque
Le concept Zeo Trust suppose généralement une « surface de protection », qui comprend tout ce que l’organisation doit protéger contre les accès non autorisés : données confidentielles, éléments d’infrastructure, etc. La surface de protection est significativement plus petite que la surface d’attaque qui comprend tous les éléments, processus et acteurs de l’infrastructure potentiellement vulnérables. Il est donc plus facile de s’assurer que la surface de protection soit sûre que de réduire la surface d’attaque à zéro.
Micro-segmentation
Contrairement à l’approche classique, qui prévoit une protection du périmètre externe, le modèle Zero Trust décompose l’infrastructure et les autres ressources de l’entreprise en petits nœuds, qui peuvent se limiter à un seul appareil ou à une seule application. Cela donne de nombreux périmètres microscopiques, chacun ayant ses propres politiques de sécurité et autorisations d’accès, ce qui permet une certaine souplesse dans la gestion des accès et permet aux entreprises de bloquer la propagation incontrôlable d’une menace au sein du réseau.
Le principe du moindre privilège
Chaque utilisateur ne se voit accorder que les privilèges nécessaires à l’accomplissement de ses propres tâches. Ainsi, le piratage d’un compte utilisateur individuel ne compromet qu’une partie de l’infrastructure.
Authentification
La doctrine Zero Trust stipule que toute tentative d’accès à des informations sur une entreprise doit être considérée comme une menace potentielle jusqu’à preuve du contraire. Ainsi, pour chaque session, chaque utilisateur, dispositif et application doit passer la procédure d’authentification et prouver qu’il a le droit d’accéder aux données en question.
Contrôle total
Pour qu’une mise en œuvre de Zero Trust soit efficace, l’équipe informatique doit être en mesure de contrôler chaque dispositif de travail et chaque application. Il est également essentiel d’enregistrer et d’analyser les informations relatives à chaque événement sur les terminaux et autres composants de l’infrastructure.
Les avantages de Zero Trust
En plus d’éliminer la nécessité de protéger le périmètre, qui devient de plus en plus flou à mesure que l’entreprise devient plus mobile, Zero Trust résout d’autres problèmes.
En particulier, chaque acteur du processus étant contrôlé et revérifié en permanence, les entreprises peuvent plus facilement s’adapter au changement, par exemple en supprimant les privilèges d’accès des employés qui quittent l’entreprise ou en ajustant les privilèges de ceux dont les responsabilités ont changé.
Les difficultés de la mise en œuvre de Zero Trust
La transition vers Zero Trust peut s’avérer longue et difficile pour certaines organisations. Si vos employés utilisent à la fois du matériel de bureau et des appareils personnels pour travailler, tous les équipements doivent être inventoriés ; des politiques d’entreprise doivent être mises en place sur les appareils nécessaires au travail et d’autres doivent être bloqués pour empêcher l’accès aux ressources de l’entreprise. Pour les grandes entreprises ayant des succursales dans plusieurs villes et pays, le processus prendra un certain temps.
Tous les systèmes ne sont pas égaux face à la transition vers Zero Trust. Si votre entreprise dispose d’une infrastructure complexe, par exemple, elle peut inclure des dispositifs ou des logiciels obsolètes qui ne peuvent pas prendre en charge les normes de sécurité actuelles. Le remplacement de ces systèmes prendra du temps et de l’argent.
Vos employés, y compris les membres de vos équipes informatiques et infosec, ne seront peut-être pas prêts pour ce changement de cadre. Après tout, ce sont eux qui deviendront responsables du contrôle d’accès et de la gestion de votre infrastructure.
Cela signifie que dans de nombreux cas, les entreprises peuvent avoir besoin d’un plan de transition graduel à Zero Trust. Google, par exemple, a eu besoin de sept ans pour construire le cadre BeyondCorp basé sur Zero Trust. La durée de l’implantation de Zero Trust peut être sensiblement plus courte pour les entreprises moins ramifiées, mais il ne faut pas s’attendre à ce que le processus se déroule en quelques semaines, ni même en quelques mois.
Zero Trust, la sécurité du futur
Ainsi, le passage d’un périmètre de sécurité traditionnel à une surface protégée avec Zero Trust, même en supposant l’utilisation des technologies disponibles, reste un projet complexe et lent, tant en termes d’ingénierie que de changement de mentalité des employés. Toutefois, il permettra à l’entreprise de bénéficier de dépenses réduites en matière d’infosécurité ainsi que d’une diminution du nombre d’incidents et des dommages qui y sont associés.