Voici 3 conseils sur l’implémentation d’une architecture Zero Trust. Une implémentation qui repose sur la qualité et la diversité des données télémétriques mais aussi sur une corrélation sophistiquée des données et la séparation stricte des rôles de détection et de réponse.
L’architecture Zero Trust est devenue un pilier des stratégies de cybersécurité au sein des entreprises du monde entier, à tel point qu’elle impose à ces dernières de repenser leur approche de la sécurité des réseaux et des systèmes informatiques. Si de nombreux cadres et modèles de maturité disent intégrer une architecture Zero Trust, il reste néanmoins essentiel d’identifier et hiérarchiser les priorités stratégiques visant à concevoir des infrastructures robustes et efficaces. Voici donc trois réflexions cruciales sur la mise en œuvre de l’architecture Zero Trust.
L’architecture Zero Trust doit être guidée par la télémétrie
L’architecture Zero Trust repose fondamentalement sur la télémétrie pour fonctionner correctement. Selon le modèle proposé par le NIST SP 800-207, le point de décision politique (PDP) est en effet au cœur de cette architecture et doit être alimenté par des données de télémétrie pour être pleinement efficace. La qualité de ces données est même cruciale, puisque des informations de mauvaise qualité entraîneront des prises de décision inefficaces. Aussi, la télémétrie ne se limite-t-elle pas aux simples logs système ; elle inclut également des métriques, des événements, logs et traces distribuées (quatre bonnes pratiques logicielles également appelées, Events, Logs, et Traces ou MELT), et qui fournissent une visibilité complète sur les activités du réseau.
Cette visibilité permet de mener des enquêtes approfondies sur les activités malveillantes potentielles, de maintenir une meilleure connaissance des activités en cours, en somme, de limiter les angles morts au sein du réseau. Pour garantir une sécurité optimale, il est donc indispensable de diversifier les sources de télémétrie et d’aller au-delà des logs traditionnels, en intégrant des comportements réseau mesurés et des capacités de télémétrie gérées par des hyperviseurs.
Corréler la télémétrie pour une analyse avancée
Une approche basée sur la science des données est essentielle pour tirer pleinement parti de la télémétrie dans une architecture Zero Trust. En corrélant des données provenant de différentes sources de télémétrie (logs traditionnels, télémétrie des agents de sécurité, comportements réseaux), on obtient une vision plus précise et détaillée des activités normales ou atypiques.
Corréler ces données permet de détecter plus efficacement les anomalies et les menaces potentielles. Par exemple, un intrus cherchant à dissimuler ses activités malveillantes pourrait générer des anomalies dans les journaux systèmes et le trafic réseau, détectables grâce à une analyse corrélée. En intégrant ces différents types de télémétrie, on peut mieux classifier les comportements normaux ceux problématiques, renforçant ainsi la sécurité de l’infrastructure.
Dans ce contexte, la standardisation des formats de données au sein des différents domaines de télémétrie est également essentielle, puisqu’elle facilite l’ingestion et l’analyse des données, permettant une détection plus rapide et plus précise des tactiques, techniques et procédures (TTP) des cyberattaquants, qu’ils opèrent dans des environnements cloud ou sur site.
Toujours séparer « détection » et « réponse »
L’un des défis dans l’implémentation d’une architecture Zero Trust est la tendance à vouloir combiner les fonctions de détection et de réponse dans un seul dispositif ou service. Bien que ce modèle soit courant (ex : pare-feu, systèmes de prévention des intrusions, antivirus), il reste peu judicieux pour une architecture de ce type.
En effet, la détection et la réponse doivent être séparées pour plusieurs raisons. La capacité de réponse doit être exercée par le point de décision politique (PDP) et non par l’outil de détection lui-même, assurant ainsi l’indépendance des réponses. De plus, pour une résilience accrue, la compromission d’un contrôle ne doit pas nuire à la fois à la détection et à la réponse. Enfin, en séparant ces deux fonctions, il est possible de choisir les meilleurs outils pour chaque tâche, plutôt que de se contenter d’un compromis.
Bien que cette séparation puisse sembler contre-intuitive, elle permet pourtant de créer une infrastructure Zero Trust plus flexible et résiliente, capable de répondre efficacement aux menaces.
En conclusion, pour véritablement mettre en œuvre une architecture Zero Trust, il est impératif de se concentrer sur l’alimentation du point de décision politique par une télémétrie diversifiée et de haute qualité. La séparation des fonctions de détection et de réponse, ainsi que la corrélation avancée des données de télémétrie, sont des étapes essentielles pour renforcer la sécurité et la résilience des infrastructures. En adoptant ces stratégies, les entreprises peuvent ainsi créer un environnement Zero Trust capable de répondre efficacement aux défis de cybersécurité d’aujourd’hui et de demain.
____________________________
Par Mark Jow, EMEA Tech Lead & Evangelist chez Gigamon
puis