Le modèle Zero Trust est un sujet de discussion majeur aujourd’hui pour les responsables de la sécurité et de l’informatique dans les entreprises de toutes tailles. Les raisons à ce phénomène sont évidentes, la pandémie de COVID-19 ayant accéléré la transformation des modes de travail bien plus vite que prévu. Cette évolution spectaculaire, générée par le recours massif au travail à distance, a engendré un large éventail de défis et d’opportunités pour les entreprises en matière de productivité, de collaboration et de gestion informatique, mais surtout de cybersécurité.
L’avènement soudain du télétravail a obligé de nombreuses entreprises à se démener pour fournir à leurs employés les ressources et le soutien nécessaires pour poursuivre leur activité professionnelle à distance. Lorsque des transitions se font aussi abruptement, il n’est pas rare que la cybersécurité recule dans l’ordre des priorités, le principal étant de permettre le travail et de limiter les impacts sur la productivité.
Il semble donc logique que le modèle Zero Trust (une méthodologie de sécurité centrée sur l’utilisateur, à la fois flexible et suffisamment rigoureuse pour s’adapter à la croissance des effectifs à distance) occupe le devant de la scène cette année. Microsoft a d’ailleurs récemment indiqué que plus de la moitié des chefs d’entreprise accélèrent leur déploiement du modèle Zero Trust.
Contrairement à la plupart des approches conventionnelles de la sécurité en entreprise, le modèle Zero Trust part du principe que chaque appareil et chaque utilisateur (sur le réseau et en dehors) représentent, jusqu’à preuve du contraire, un risque pour la sécurité. En d’autres termes, le credo est « ne jamais faire confiance, toujours vérifier », et cette approche s’appuie sur plusieurs étapes de défense pour prévenir les menaces, bloquer les mouvements latéraux et appliquer des contrôles d’accès approfondis.
Lorsqu’ils se penchent sur les stratégies Zero Trust, de nombreux clients s’interrogent sur les migrations vers le Cloud, l’élimination du réseau traditionnel, les stratégies adéquates pour établir la confiance, etc. Si ces concepts font certainement partie intégrante du processus, il existe de nombreux malentendus et obstacles qu’il faut être prêt à aborder en tant que fournisseur de services managés (MSP) de confiance. Voici plusieurs questions fréquemment posées par les clients en matière de modèle Zero Trust et la meilleure façon d’y répondre.
1 – Les utilisateurs et les appareils du réseau ne sont-ils pas intrinsèquement fiables ?
Les entreprises de toutes tailles sont souvent victimes de la superstition selon laquelle elles n’ont pas besoin de dispositifs de sécurité étendus et multiniveaux pour sécuriser les utilisateurs et les données au sein de leur réseau. Les méthodologies Zero Trust existent justement parce que dans le paysage technologique actuel, les entreprises doivent supposer par défaut que tous les utilisateurs, appareils et connexions ne sont pas dignes de confiance, quel que soit leur emplacement. En effet, il suffit d’un seul identifiant de connexion professionnel perdu ou dérobé pour qu’un attaquant puisse compromettre tout un réseau. C’est pourquoi l’authentification multifacteur avec des stratégies basées sur les risques, telles que la vérification de l’emplacement géographique, est cruciale pour la sécurité du modèle Zero Trust.
2 – L’authentification forte est-elle suffisante pour établir un cadre de sécurité Zero Trust ?
Les réseaux Zero Trust reposent sur le principe qu’aucun utilisateur ou ordinateur ne pourra accéder aux ressources de l’entreprise tant que sa légitimité n’aura pas été vérifiée. Les clients doivent valider leurs utilisateurs à l’aide d’une authentification multifacteur forte et les appareils eux-mêmes à l’aide de protections telles que l’antivirus ou les outils de détection sur les endpoints, etc. Sans les deux extrémités de cette équation, ils pourraient finir par autoriser l’accès à un employé légitime et de confiance qui travaille sur une machine partagée et non fiable. Ou alors, ils pourraient accidentellement accorder l’accès à un utilisateur malveillant profitant d’un ordinateur portable d’entreprise laissé sans surveillance pendant la pause-café d’un employé. À l’ère du travail à distance, où les entreprises disposent d’une visibilité et d’une surveillance informatiques réduites, les réseaux Zero Trust peuvent prévenir ces risques par défaut.
3 – Les réseaux domestiques des télétravailleurs ne sont-ils pas relativement sûrs ?
Certains clients pourraient tomber dans le piège de croire que les réseaux domestiques des employés sont plus sûrs que les environnements publics partagés. Toute entreprise qui envisage de mettre en place un dispositif de sécurité de type « Zero Trust » doit se défaire de cette idée préconçue. En réalité, les réseaux domestiques des utilisateurs ne sont pas intrinsèquement plus sûrs ou moins risqués que les cafés, les aéroports ou tout autre site de travail à distance. Les problèmes potentiels sont nombreux, notamment les routeurs dont les configurations par défaut ne sont pas sécurisées, les connexions Wi-Fi ouvertes, les invités et visiteurs extérieurs, etc. Dans le cadre d’une approche Zero Trust, les entreprises doivent considérer les bureaux à domicile comme des environnements non fiables et mettre en place des protections basées sur les risques, ainsi que des campagnes de sensibilisation et de formation des télétravailleurs.
4 – Est-il nécessaire d’effectuer une transition totale vers le Cloud ?
Certains clients finaux pourraient être tentés de croire qu’ils doivent déplacer tous les services vers le Cloud, ainsi que supprimer le réseau local et la nécessité d’un accès à distance ou d’un VPN. Il s’agit d’un malentendu assez courant, la majorité des entreprises conservant probablement des serveurs de domaines, d’applications et de fichiers avec un accès rapide pour les utilisateurs locaux, et parfois même leurs propres services, outils et données de recherche confidentielles. Les entreprises ne doivent pas partir du principe qu’une approche Zero Trust implique de tout transférer dans le Cloud. Tant que les entreprises disposeront d’un bureau physique, elles conserveront sans doute sur place des applications essentielles et des serveurs de fichiers partagés auxquels les utilisateurs ne pourront accéder qu’au moyen d’un VPN. Même avec la mise en œuvre d’une stratégie Zero Trust, les clients doivent considérer que le réseau central fait partie d’une infrastructure plus large d’applications professionnelles. Ils doivent donc mettre en œuvre des contrôles de sécurité pour garantir un accès à distance sécurisé, comme des UTM dotés de fonctions de filtrage et de protection, ainsi que la prise en charge de protocoles VPN modernes, comme IKEv2 avec MFA.
5 – Faut-il activer des identifiants automatiques pour offrir un accès convivial aux applications dans le Cloud ?
De nombreuses applications dans le Cloud permettent aux employés de se connecter en utilisant des comptes de réseaux sociaux tels que Facebook, Twitter, etc. Le fait de permettre aux utilisateurs de se connecter une seule fois avec ce type d’identifiants pour accéder à toutes les applications dans le Cloud représente sans nul doute un gain de temps, et certains clients pourraient croire que ce remplissage automatique d’identifiants basé sur les réseaux sociaux apporte la réponse à l’amélioration de l’expérience utilisateur. Malheureusement, ce n’est pas certain du tout et cela va bien au-delà des principes du modèle Zero Trust, qui consistent à gérer les risques. Les clients qui autorisent le remplissage automatique d’identifiants ou l’authentification unique pour leurs services dans le Cloud doivent utiliser un système de gestion des identifiants contrôlé par l’entreprise, comme les fournisseurs d’identité et les relations de confiance avec les applications dans le Cloud à l’aide de protocoles tels que le SAML. Fonctionner avec des identifiants contrôlés par l’utilisateur revient essentiellement à déléguer la gestion des identifiants aux employés, et cela expose le client à des risques d’attaque par bourrage d’informations d’identification et à de nombreux autres risques de sécurité.
Les stratégies de sécurité de type Zero Trust deviendront de plus en plus incontournables et répandues à mesure que l’ère du télétravail se développera, et les MSP ont devant eux tout un éventail de possibilités pour aider leurs clients à agir pour le mieux. Cette approche permet de vérifier qui, quoi, quand, où et comment les utilisateurs accèdent aux ressources et applications sensibles. Elle fournit les informations nécessaires pour gérer efficacement les risques et limiter l’exposition aux incidents de sécurité. La plupart des clients de MSP ont sans doute abordé le sujet plus d’une fois au cours des derniers mois, et si cela n’est pas encore le cas de tous les clients, ça ne saurait tarder. Il est essentiel de considérer les sujets de discussion ci-dessus comme un point de départ et de s’assurer que l’équipe est prête à commencer à guider ses clients dans leur parcours vers la sécurité dite Zero Trust.
___________________
Par Pascal Le Digol, Country Manager France, WatchGuard