Le Zero Trust, c’est quoi ?
Les entreprises accélèrent leurs initiatives de transformation digitale face à l’évolution rapide des environnements de travail et au nombre croissant de collaborateurs en télétravail. Pour réussir les efforts de transformation numérique, fondamentaux pour l’entreprise, il faut que les collaborateurs soient efficaces et qu’ils aient accès à chaque application et à chaque outil dont ils ont besoin pour faire leur travail.
Toutefois, les leaders de la sécurité sont confrontés à la difficulté de trouver un équilibre entre la sécurité de l’entreprise et la productivité des employés, en fournissant un accès aux ressources à tout moment et depuis n’importe où. Pour trouver cet équilibre, les organisations doivent faire entièrement confiance à l’identité des employés qui demandent un accès pour s’assurer que seuls les bons utilisateurs ont accès aux ressources de l’entreprise qu’ils sont autorisés à utiliser.
Pour y répondre, les organisations s’orientent vers une nouvelle approche axée sur l’identité, plutôt que vers une stratégie de sécurité qui s’appuie sur le réseau de l’entreprise, permettant à l’entreprise d’être productive, sécurisée et agile. Le Zero Trust est un concept stratégique qui encourage les équipes en charge de la sécurité à s’appuyer moins sur la sécurité du périmètre réseau et plus sur l’identité de l’utilisateur ainsi que sur des procédures et des technologies sécurisées pouvant être appliquées directement aux ressources de l’entreprise.
Zero Trust Networks d’O’Reilly Media offre probablement la description la plus succincte des principes de l’approche Zero Trust :
Poursuivez-la lecture pour découvrir pourquoi les entreprises adoptent une stratégie Zero Trust pour lancer leurs initiatives de transformation numérique et comment votre organisation peut faire ses premiers pas vers une approche axée sur l’identité afin de sécuriser les ressources de l’entreprise.
Avant que le Zero Trust ait un nom, le concept de dé-périmètrisation a été vanté dès 2004 par le Jericho Forum. Ce groupe de travail, qui inclut des Responsables de la sécurité des systèmes d'information, a élaboré les Commandements du Jericho Forum qui définissaient les « zones et principes devant être observés pour planifier une future dépérimétrisation ».
À l’automne 2010, le terme Zero Trust a été introduit pour la première fois par l’analyste John Kindervag de Forrester Research, dans une série de rapports qui a commencé par « No More Chewy Centers: Introducing The Zero Trust Model Of Information Security ». Une série de trois rapports a été publiée pour décrire le concept, l’architecture et les cas d’étude pour le Zero Trust, ainsi qu’une première directive :
D’un point de vue pratique, cela signifie que toutes les formes de confiance implicite et d’autorisations qui en découlent ne sont plus valides. À l’inverse, les organisations doivent s’appuyer sur des évaluations explicites de confiance qui sont dynamiques et ancrées dans autant de sources de données que possible, avant de décider si un utilisateur doit pouvoir accéder à une ressource ou s’il faudrait l’autoriser à réaliser une transaction.
Aujourd’hui, le Zero Trust vit de ses propres ailes. De nombreux cabinets d’analystes publient régulièrement des conseils sur ce concept ; des organisations telles que Google ont publié des cas d’étude sur leur expérience de transition vers le Zero Trust, et les fournisseurs de solutions apportent aussi leurs propres contributions. Tous sont toutefois d’accord sur le fait que le monde a changé et que notre approche de la sécurité doit changer avec lui.
Pendant la première moitié de l’année 2020, les entreprises ont vu leurs bureaux se vider lorsque leurs employés sont passés en télétravail en réponse à la pandémie mondiale de COVID-19. Les organisations ont dû évaluer rapidement si leurs systèmes de gestion de l’identité et des accès (IAM) pouvaient permettre à leurs employés en télétravail d’accéder aux ressources de l’entreprise tout en étant en dehors du périmètre du réseau.
Malheureusement, l’option par défaut de longue date qui consistait à utiliser un VPN (virtual private network) pour donner un accès légitime aux employés en télétravail à chaque ressource de l’entreprise est dépassé, et n’est pas assez sécurisé lorsque tous les collaborateurs sont en télétravail. En utilisant les VPN, les organisations ne peuvent pas être sûres que l’employé qui demande un accès est bien celui qu’il prétend être et qu’il est autorisé à utiliser cette ressource.
Les entreprises se ruent désormais vers les initiatives de transformation numérique pour s’adapter aux changements des exigences professionnelles et aux nouveaux collaborateurs en télétravail. Il ne s’agit pas d’investissements à court terme mais d’une stratégie à long terme, comme l’a montré une enquête de Gartner réalisée auprès de dirigeants, et selon laquelle 74 % des Directeurs financiers prévoient de garder une partie de leurs collaborateurs en télétravail après le COVID.
Une stratégie Zero Trust peut aider les organisations à sécuriser les accès à distance de leurs employés en s’appuyant non plus sur le réseau de l’entreprise, mais sur une approche selon laquelle l’identité d’un utilisateur est toujours vérifiée avant d’accéder à une quelconque ressource. Adopter le Zero Trust, c’est s’assurer qu’une organisation a confiance dans l’identité de l’utilisateur qui demande accès, et permettre aux collaborateurs en télétravail d’être productifs tout en maintenant la sécurité de l’entreprise.
Le télétravail, l’adoption du cloud, l’AVPA et d’autres tendances touchant des entreprises entières créent de plus en plus de scénarios dans lesquels l’orientation du trafic vers un périmètre professionnel (par ex. pare-feu, VPN) n’est nécessaire que pour établir le fait qu’une demande d’accès émane d’une adresse IP « sécurisée ».
Ce processus, connu sous le nom de « backhauling », renforce le mythe selon lequel la sécurité basée sur le périmètre était initialement efficace. Les innombrables manières dont les acteurs malveillants attaquent les réseaux professionnels ont été bien comprises, tout comme les moyens détournés qu’ils utilisent pour pénétrer dans ces réseaux afin d’y voler des données et de perturber l’activité. Faire confiance à n’importe quel utilisateur qui a pu avoir accès au réseau affaiblit la posture de sécurité d’une entreprise de quatre manières :
Selon le rapport 2019 de Verizon’s Data Breaches Investigations Report 22 % des violations étaient liées à des attaques par hameçonnage, et 37 % d’entre elles impliquaient l’utilisation d’identifiants volés. À eux seuls, les bons identifiants sont souvent la clé vers le réseau d’une entreprise.
Selon le rapport 2019 de Symantec Internet Security Threat Report « un appareil sur 36 utilisé dans des organisations est classé à haut risque. Cela inclut les appareils ayant été rootés ou jailbreakés, ainsi que les appareils présentant un degré élevé d’incertitude sur le fait que des malwares y aient été installés ». Des utilisateurs légitimes sur des appareils compromis peuvent, par incidence, exposer des ressources sensibles à des acteurs malveillants à travers leur propre accès au réseau professionnel.
Les adresses IP aident à établir le fait qu’un utilisateur demande accès depuis un « réseau de confiance ». Mais il ne suffit pas de s’appuyer uniquement sur ces données puisque 30 % des failles impliquent des acteurs internes. Une protection insuffisante des ressources professionnelles ignore d’autres sources de risques basées sur le type d’utilisateur (service, ancienneté, privilèges), le contexte de la demande (heure de la journée, appareil, géolocalisation) ainsi que le risque de la ressource demandée (appli financière ou calendrier des congés).
Le mythe du climat de sécurité qui règne derrière le pare-feu est dangereux. Sans supposer que le réseau a déjà été victime d’une faille, les meilleures pratiques les plus courantes en matière de sécurité peuvent être retardées ou ignorées car « personne ne va accéder à cette ressource depuis l’extérieur, et dans tous les cas, c’est derrière le pare-feu ».
Les faiblesses d’un périmètre implicite ou discret basé sur une approche définie ci-dessus disparaît rapidement lorsqu’une approche Zero Trust est adoptée. Les identifiants et les appareils compromis, ainsi que les changements de contexte sont traités par des fonctionnalités qui devraient inclure une stratégie Zero Trust. Et lorsque l’on ne suppose plus que ce qui est derrière le pare-feu est sécurisé, les propriétaires des ressources et les équipes de sécurité ont tendance à évaluer les profils de sécurité et de risque de chaque ressource de manière assez attentive et régulière pour s’assurer que la protection est suffisante.
Figure 2 : Zero Trust réduit les périmètres réseau en micropérimètres, qui appliquent des mesures de sécurité à chaque catégorie de ressource en fonction des risques.
Zero Trust garantit que les bonnes questions soient posées en fonction du profil de risque de l’utilisateur et de la ressource à laquelle il souhaite accéder :
Pendant l’authentification
Pendant l’autorisation
Pendant les transactions
Pendant l’accès aux données
Le rôle de l’intelligence dans le Zero Trust
Les déploiements avancés de Zero Trust vont bien au-delà du fait de ne pas faire confiance aux réseaux. Ils suppriment également la notion de confiance binaire (Je vous fais confiance ou non) et dénient l’idée de confiance pour une durée prédéterminée. Selon le cinquième principe du Zero Trust d’après O’Reilly, « les règles doivent être dynamiques et calculées depuis autant de sources de données que possible » ; c’est un concept qui est communément connu comme l’utilisation de signaux de risques ou intelligence.
Les architectures en Zero Trust évaluent les risques numériques en utilisant une variété de signaux et en appliquant les décisions relatives au contrôle des accès en s’appuyant sur la sortie de ces signaux. Le niveau variable de confiance fourni par ces signaux peut conduire un utilisateur vers plusieurs chemins d’accès adaptatifs qui peuvent inclure :
En supprimant la confiance binaire, l’expérience utilisateur a été améliorée puisque de nouveaux chemins d’accès adaptatifs augmentent les chances que les utilisateurs puissent accéder aux ressources dont ils ont besoin en diminuant globalement les frictions. Par ailleurs, l’évaluation de la confiance à chaque demande d’accès, tout comme l’observation continue du comportement pendant les sessions, garantit que la confiance ne dure jamais longtemps et qu’elle n’est pas binaire, ce qui améliore la sécurité dans les scénarios où une session ou un compte valide auraient été piratés par un acteur malveillant.
Les organisations s’activent pour faire bien plus qu’optimiser la sécurité en remplaçant la confiance dans le réseau par une stratégie Zero Trust. Les entreprises peuvent améliorer la productivité de leurs collaborateurs avec le Zero Trust en standardisant les contrôles des accès à toutes les ressources de l’entreprise, alors que de plus en plus d’employés travaillent en dehors du réseau. En tenant compte du profil de risque de l’employé, de l’appareil et des ressources auxquelles on accède, plutôt que de déterminer uniquement si l’employé est ou non sur le réseau de l’entreprise, les organisations peuvent ouvrir de manière plus confiante l’accès aux employés à distance, pour leur permettre d’accéder aux ressources dont ils ont besoin pour faire leur travail.
Adopter une approche Zero Trust donne de l’agilité professionnelle pour garantir aux entreprises de pouvoir adopter et utiliser rapidement de nouvelles technologies et réussir leurs initiatives de transformation numérique. Les organisations peuvent profiter de l'ensemble du spectre d’options de déploiement pour l’infrastructure, les applications et les données, sans devoir recourir à un trafic backhaul à travers leur réseau. Avec le Zero trust, les entreprises peuvent choisir entre des centre de données sur site, des clouds privés, des clouds publics et tout ce qui se situe entre les deux, selon ce qui est le plus approprié à une ressource en particulier. En choisissant le déploiement le plus adapté à chaque ressource, les organisations peuvent faire des économies en optimisant les frais d’hébergement et de gestion et en réduisant les dépenses de licences pour les VPN et autres outils basés sur le périmètre. Enfin, la comptabilité avec les « micro-segments » peut être réglée pour garantir que tout ce qui hébergé au sein de ce segment a les contrôles exigés par chaque régime de compatibilité appliqué de manière standard.
Le cadre des fonctionnalités présenté ci-dessous a été élaboré avec l’aide des analystes du secteur, des clients, des leaders d’opinion et des partenaires pour guider les échanges sur le Zero Trust et aider les organisations à réfléchir à leurs approches en matière de sécurité.
Six catégories de contrôles sont essentielles pour une architecture de sécurité Zero Trust. Ensemble, elles procurent une approche de défense en profondeur pour sécuriser les ressources de l’entreprise, quel que soit l’endroit où elles sont déployées et qui a besoin d’y accéder.
Un élément à noter dans le diagramme ci-dessus est le manque perçu de lien fort entre un utilisateur et les données qu’il possède. Avec le Zero Trust, la propriété des données est primordiale et l’accès à ces données ne devrait pas être accordé, sauf si le consentement a explicitement été donné. De plus, l’accès aux données d’un utilisateur doit être basé sur une confiance numérique qui est constamment réévaluées en fonction du contexte, ainsi que du risque numérique qui existe comme niveau variable de confiance. Ces deux évaluations sont éphémères, et n’existent que dans le contexte d’une demande individuelle, qui rejoint les principes quatre et cinq de O’Reilly :
N° 4 Chaque flux d’appareil, d’utilisateur et de réseau est authentifié et autorisé.
N° 5 Les règles doivent être dynamiques et calculées depuis autant de sources de données que possible.
Chase Cunningham, analyste en chef chez Forrester, a récemment écrit au sujet de la question qu’on lui pose au moins une fois par semaine, voire presque tous les jours :
Sa réponse ? « Résolvez la question de l’IAM et de l’utilisateur ». Sans surprise, commencer par et/ou améliorer les programmes de gestion de l’identité et des accès constitue le point de départ de plusieurs organisations vers le Zero Trust. Ce qui est le plus facile pour les acteurs malveillants, et ce dont ils profitent le plus souvent, c’est un manque complet de contrôle de l’authentification et des autorisations, ou bien leur mauvaise configuration. Il y a quelques semaines de cela, cette faiblesse a été une nouvelle fois pointée par une faille touchant 885 millions de dossiers d’assurances de titres auxquels n’importe qui aurait pu accéder sans qu’aucune authentification ne soit requise.
Il est clair qu’une identification et une authentification fortes constituent un point de départ sensé, qui permet de garantir que tous les accès sont authentifiés. Mais les technologies de gestion de l’identité et des accès représentent aussi le plan de contrôle des architectures Zero Trust. Les entreprises doivent commencer par le déploiement stratégique d'uneauthentification globale et adaptative, puis utiliser cette fonctionnalités à titre de point d’administration et de décision de la politique. De nos jours, elles intègrent des signaux de risques et des points de décision des politiques pour organiser l’architecture du Zero Trust.
À l’instar d’autres approches de la sécurité de l’entreprise, il n’y a pas de point final lorsqu’il s’agit du Zero Trust. Et il peut falloir des années à une organisation pour mettre les pièces dans l’ordre afin d’adopter le tout premier principe (on suppose toujours que le réseau est hostile). Il existe fort heureusement des exemples d’organisations qui ont déjà passé des années à s’éloigner du modèle basé sur le périmètre pour se rapprocher de la sécurité Zero Trust.
En modernisant son système d’authentification qui se développait en permanence, Gates Corporation a constaté qu’il était nécessaire d’utiliser une approche axée sur l’identité pour s’assurer que ses collaborateurs, de plus en plus mobiles, aient un accès sécurisé aux ressources dont ils avaient besoin. « Le périmètre de sécurité est parti il y a déjà longtemps... mais désormais de nombreuses personnes travaillent à distance, ne sont pas sur place et sont en dehors du réseau », a déclaré Sam Masiello, RSSI chez Gates. « Vous devez étendre votre périmètre là où les gens sont. La manière dont ils accèdent aux applications de votre organisation est vraiment la manière dont vous devez réfléchir au périmètre de sécurité de vos ressources numériques ». En adoptant une autorité d’authentification centrale, Gates a pu donner à ses employés un accès sécurisé et fluide à ses ressources, depuis n’importe où.
Les entreprises doublent et accélèrent les initiatives de Zero trust pour être sures que leurs organisations restent sécurisées pendant cette période de transformation numérique et ce changement rapide vers le télétravail. Vous pouvez franchir un premier pas en adoptant une sécurité axée sur l’identité et en transformant ainsi l’approche de votre organisation à l’égard de l’identité de vos collaborateurs.
En savoir plus sur la manière de transformer l’identité des collaborateurs ne conduira pas seulement à avoir une entreprise plus sécurisée mais aussi à avoir des collaborateurs plus productifs et plus agiles pouvant apporter une incroyable valeur commerciale.