L'Architecture Zéro Trust : la Sécurité au-delà du Périmètre Réseau
La transformation numérique a des répercussions majeures sur l’exposition des entreprises aux cyber attaques, mais aussi sur les architectures réseau et de sécurité, qui pour s’adapter, doivent impérativement évoluer. En effet jusqu’à présent, les modèles de sécurité classiques reposaient sur un périmètre érigé autour du réseau des organisations. Tous les utilisateurs à l’intérieur de ce périmètre étaient considérés comme fiables, et tous ceux qui se trouvaient en dehors ne l’étaient pas. Mais avec la révolution numérique, les utilisateurs et les terminaux, mais aussi les applications et les données sortent progressivement du périmètre et de sa sphère de contrôle.
Prenons par exemple le cas d’un employé ou d’un partenaire qui peut accéder à une application de l’entreprise hébergée dans le cloud depuis un café, en utilisant son smartphone personnel. Cet utilisateur et son terminal ne pénètreront à aucun moment dans le périmètre, et ne seront donc soumis à aucun de ses contrôles de sécurité. Ajoutons à cela que la transformation digitale génère de nouveaux processus métier qui étendent la surface d’exposition aux risques pour les entreprises.
Il en résulte que les périmètres de sécurité réseau classiques, complexes et porteurs de risques, ne conviennent plus aux modèles économiques actuels.
Pour répondre à ce défi, un nouveau modèle est apparu, celui des réseaux zero trust, souvent associé à d’autres termes comme BeyondCorp, périmètre défini par logiciel (SDP) et micro segmentation.
Le modèle de sécurité zero trust peut être résumé de la façon suivante : aucun accès, qu’il provienne de l’intérieur ou de l’extérieur du réseau d’entreprise, n’est plus autorisé par défaut, et exige une validation. Dans ce modèle, l’accès aux ressources dépend avant tout de l’identité du demandeur, et non plus de l’endroit où il se trouve. Ainsi l’identité, qui jouait un second rôle dans l’ancien modèle de périmètre de sécurité, acquiert désormais un rôle central.
Le zero trust peut aussi être considéré comme une extension du principe du moindre privilège. Les utilisateurs (ou les services) ont uniquement accès aux ressources dont ils ont besoin spécifiquement dans un cadre professionnel, et rien de plus. Ceci permet de réaliser des contrôles beaucoup plus précis. Les VPN par exemple, fournissent généralement un accès à un réseau tout entier, ou à un segment de réseau, ce qui présente des risques évidents pour la sécurité.
Les composants du zero trust
En premier lieu, toute initiative zero trust exige d’authentifier et d’autoriser individuellement chaque utilisateur, avant qu’il ne puisse accéder aux diverses ressources. L’authentification peut s’effectuer de diverses manières, mais l’idéal est une forme quelconque d’authentification multifacteur (MFA). Cette procédure d’identification et d’autorisation doit également englober tous les utilisateurs non humains, avec la multiplication des conteneurs, micro services et autres objets connectés, ainsi que tous les terminaux utilisés.
Une fois réalisées toutes ces identifications, un système zero trust doit pouvoir vérifier ce que chaque demandeur est autorisé à faire. Ceci est possible via des liens avec l’Active Directory, d’autres annuaires LDAP ou un fournisseur d’identité tel que Ping Identity.
Enfin, chaque solution zero trust nécessite un moteur permettant de créer et de gérer des règles d’accès, ainsi qu’une couche applicative capable de garantir le respect des règles d’accès de l’entreprise, soit via des alertes, des blocages, des interruptions de services, soit via des messages invitant l’utilisateur à franchir des niveaux supérieurs d’authentification.
Une démarche en cinq étapes
Dans la pratique, une entreprise désirant mettre en œuvre une architecture zero trust doit adopter une démarche en cinq étapes successives.
1 Cesser de protéger uniquement les accès au réseau d’entreprise. De plus en plus d’applications d’entreprise sont désormais accessibles à partir d’un réseau WiFi public, donc sécuriser uniquement le réseau interne n’est plus suffisant. L’organisation devra donc protéger ses applications critiques lors de tout accès distant à partir d’Internet.
2 Authentifier le demandeur d’accès. Une authentification forte est à la base de toute architecture zero trust. Ceci veut dire qu’un utilisateur doit pouvoir authentifier plusieurs facteurs pour prouver son identité, dans l’idéal au nombre de trois : un élément qu’il connait (par exemple un mot de passe) ; un élément qu’il possède (comme un terminal) ; un élément physique (tel qu’une empreinte digitale). Mais chaque catégorie d’accès peut exiger différents niveaux d’authentification. Par exemple, pour la lecture des emails, seul un mot de passe peut suffire, alors que pour un virement bancaire, un mot de passe plus la preuve de possession d’une clé privée peuvent t être requis.
3 Authentifier et valider le terminal. Même des utilisateurs légitimes peuvent utiliser à leur insu des terminaux compromis. Ce qui peut être à l’origine d’une faille de sécurité, même si l’utilisateur est parfaitement authentifié. Une architecture zero trust implique donc l’authentification des terminaux eux-mêmes, via l’émission d’un certificat par exemple.
4 Authentifier l’application. Même si l’utilisateur et le terminal ont été authentifiés, l’application utilisée peut encore avoir été compromise, permettant à un attaquant de pénétrer dans un système stratégique. Il existe de nombreuses méthodes de validation des applications. Certaines, comme la validation de la version de l’OS, peuvent être exécutées via la gestion des terminaux. D’autres, telles que la validation client 0Auth, nécessitent de nouveaux standards de sécurité plus sophistiqués tels que Proof Key for Code Exchange (PKCE) et Token Binding.
5 Autoriser la transaction. Enfin, la transaction elle-même doit encore être autorisée. Un moteur centralisé d’autorisation doit juger si un utilisateur est autorisé ou non à effectuer chaque transaction. Sans information suffisante pour justifier une décision, la réponse par défaut doit toujours être « non ». La décision peut être basée sur des règles statiques telles que « seuls les employés peuvent envoyer des emails d’entreprise » ou dynamiques telles que « seuls les utilisateurs dont le facteur de risque est inférieur à 65 peuvent avoir accès à l’annuaire de l’entreprise. » Dans ce cas, le calcul dynamique du facteur de risque repose sur une série de variables telles qu’une analyse comportementale, l’endroit et l’heure de la demande d’accès, et la comparaison avec des scénarios d’attaque précédents.
On le voit, une architecture zero trust suppose la mise en place d’un véritable écosystème associant diverses technologies, dont la gestion des identités et des accès (IAM) est cependant la pièce maîtresse. Son implémentation exige à la fois analyse, automatisation et orchestration. Mais face à l’augmentation et la diversification des menaces, elle s’imposera pour un nombre croissant d’organisations.