L’approche Zero Trust, nouveau socle des politiques de cybersécurité
Culture tech.
Les entreprises doivent reconsidérer les modèles de sécurité traditionnels : la tendance est au « Zero Trust »…
Non seulement le niveau de menace prend de l’ampleur, mais les entreprises ont augmenté leur surface d’exposition aux risques en adoptant le Cloud et en généralisant le télétravail. Ce changement de paradigme suppose de revoir la politique de cybersécurité au profit de l’approche Zero Trust.
La croissance exponentielle des menaces cyber
En hausse ces dernières années, le niveau de menace ne cesse de croître : selon un récent sondage d’OpinionWay pour le Cesin, le club des responsables de la cybersécurité, près d’une entreprise sur deux (49 %) déclare avoir subi au moins une cyberattaque avec un impact significatif.
En dépit des campagnes de sensibilisation, des exercices d’entraînement aux situations de crises et des investissements massifs dans les solutions de cybersécurité, les cybercriminels parviennent à leurs fins.
Pour 65% des dirigeants interrogés, ces attaques ont eu des impacts sur leur activité qui se sont traduits par une indisponibilité de leur site web pendant une période significative (22%) ou une perturbation de la production (24%).
Avec le Cloud et le télétravail, le château fort s’est effondré
Ces chiffres conduisent à revoir profondément l’approche de la cybersécurité. Avec la montée en puissance du Cloud et la généralisation du télétravail, le modèle dit du château fort ou de la forteresse qui consiste à dresser des murailles pour sécuriser un système d’information est caduc.
De plus en plus d’applications sont en mode SaaS, hébergées hors des murs de l’entreprise. Les utilisateurs, eux, sont devenus mobiles et se connectent indifféremment avec leur tablette, leur PC portable ou leur smartphone. Dans ce contexte de système d’information étendu, les outils dits périmétriques, de type antivirus, pare-feu et VPN, montrent leurs limites.
Sur les bases de ce constat, le modèle « Zero Trust » a vu le jour. Déjà évoqué au milieu des années 90, on doit la popularisation du terme « Zero Trust » à John Kindervag, analyste chez Forrester.
Nous devons savoir ce qui se produit dans nos réseaux. Les utilisateurs ne peuvent pas disposer d’accès selon leur bon vouloir… soit ils feront quelque chose de mal par inadvertance […], soit ils accéderont illégalement à des données qui sont en fait à leur portée.
Comme son nom l’indique, le « Zero Trust » part du postulat que l’on ne peut accorder aucune confiance par défaut à des utilisateurs, sur la seule base de leur emplacement physique ou réseau.
Le fait que Paul se soit authentifié en local sur son poste attitré ne suffit plus !
Tout individu, système ou appareil doit par conséquent être identifié, vérifié et autorisé, qu’il soit à l’extérieur ou à l’intérieur du système d’information.
Pour atteindre ces objectifs, l’approche Zero Trust prône plusieurs principes :
- Le « moindre privilège ». Il s’agit de seulement donner accès aux ressources nécessaires à l’accomplissement d’une tâche. Un administrateur n’aura par exemple que les accès nécessaires pour administrer le système concerné, mais pas l’accès à toutes les données stockées ;
- L’identification et la vérification des appareils et des utilisateurs via l’utilisation d’une solution de fédération et de certificats numériques ;
- Une authentification forte (multifactorielle, MAF) et contextuelle. On s’assure de l’identité de l’utilisateur et on adapte ses niveaux d’accès selon le contexte (emplacement, type de réseaux, type d’appareils, etc.) ;
- Un contrôle permanent des activités d’accès, d’authentification et du trafic réseau, notamment en repérant les comportements anormaux.
- Une politique stricte de patch management. La gestion des correctifs au fil de l’eau fait partie intégrante de l’approche Zero Trust.
Le chiffrement s’inscrit dans la logique du zéro trust
Vérifier et contrôler les accès est un atout majeur, mais ne garantit pas un risque zéro.
La probabilité de failles de sécurité logicielles augmente avec la taille des systèmes d’information. Actes malveillants ou erreur humaine suffisent à compromettre la confidentialité des données. La perte d’un ordinateur dans un train, le vol d’un smartphone ou tout simplement l’exposition malencontreuse de données sensibles sont malheureusement fréquents.
Si toutes les mesures doivent être prises pour éviter le vol ou la fuite de données, il est néanmoins nécessaire d’envisager que cela puisse se produire. Dans pareil cas, comment limiter les conséquences de ce type d’incident pour l’entreprise et ses clients ?
C’est là où le chiffrement entre en jeu. Ultime pièce de l’approche Zero Trust, le chiffrement systématique des données, en transit et au repos, garantit leur confidentialité même en cas de compromission. Les données chiffrées deviennent inexploitables, même placées entre de mauvaises mains. Elles sont rendues inintelligibles pour toute personne qui n’est pas en « droit d’en connaitre ».
En formulant un certain nombre de principes, le Zero Trust offre un cadre utile pour réduire les risques. Cette approche doit guider les entreprises dans leur stratégie de sécurité, mais ce n’est pas une solution clé en main. La sécurité absolue n’existe pas. Les menaces évoluent constamment. La confiance dans un système peut être remise en cause du jour au lendemain. Plus que jamais la méfiance est de mise.