Le Zero Trust, tout le monde en parle, mais tout le monde en a une définition un peu différente d’autant plus lorsque l’on s’attaque aux méthodes et moyens de le mettre en œuvre. L’occasion ici de se concentrer sur la signification première du « Zéro » de « Zéro Trust »…
Le Zero Trust est une approche de la cybersécurité basée sur la suppression de la confiance implicite donnée à chaque utilisateur, et qui vise à assurer la sécurité des entreprises. Grâce à son haut niveau d’efficacité et à sa capacité à stopper les attaques en amont, cette méthode a rapidement gagné en popularité à travers le monde. En effet, parmi les personnes interrogées dans le cadre d’une récente étude (« State of Zero Trust Transformation 2023 »), plus de 90 % ont déjà adopté une approche de sécurité Zero Trust ou prévoient de le faire au cours des douze prochains mois.
La simplicité et la particularité du modèle Zero Trust tiennent d’un fait précis : garantir que chaque session est authentifiée et vérifiée tout en supprimant le réseau du modèle de sécurité. Offrant plus de flexibilité aux entreprises, il réduit les coûts liés au réseau. En comparaison d’autres contrôles de sécurité moins dynamiques, il permet en outre de sécuriser les entreprises tout en les rendant plus agiles et efficaces.
Basée sur une confiance implicite, les réseaux traditionnels constituent une cible facile pour les cyberattaques. C’est la principale raison expliquant l’existence et l’engouement actuel pour le Zero Trust. À l’origine, les réseaux étaient uniquement conçus pour connecter des ordinateurs identifiés localement les uns aux autres. À l’époque, il s’agissait d’une révolution : établir une connectivité illimitée entre ces ordinateurs rendait l’informatique beaucoup plus efficace. Au fil du temps, un problème flagrant est toutefois apparu : rien ne permettait d’arrêter le trafic indésirable. Une fois cette vulnérabilité identifiée, on a eu recours à des pares-feux pour tenter de réduire le risque, mais plutôt que de s’attaquer à la cause première, ces derniers n’ont fait que diviser le problème en éléments plus petits et, parfois, n’ont guère apporté de valeur ajoutée.
Depuis, les architectures Zero Trust nous ont appris que toute confiance implicite devait disparaître des réseaux, qui de ce fait sont utilisés uniquement pour le transport, et non pour la sécurité.
Une “confiance zéro” en tout le monde
En soi, le terme « Confiance Zéro » est erroné et irréalisable. Il convient plutôt d’envisager le Zero Trust comme un passage de la confiance implicite à la confiance explicite : un passage de la confiance dans les réseaux à la confiance dans les personnes et les « éléments identifiables ». En substance, si une entreprise comprend à quoi elle fait confiance, il lui est plus facile de comprendre à quoi elle pourra faire confiance à l’avenir.
Le modèle de confiance du réseau, le pare-feu en particulier, échoue lorsqu’il s’agit de réseaux connectés à Internet. En revanche, un modèle de confiance doit se plier à l’appareil lui-même. La confiance dans les terminaux doit être réévaluée en permanence, grâce au rythme rapide de développement du contrôle des terminaux et des technologies d’accès Zero Trust. Par exemple, un appareil « de confiance » connecté depuis un lieu de travail peut devenir moins fiable lorsqu’il se connecte depuis un cybercafé ou le réseau wifi d’un hôtel.
Dans un modèle Zero Trust, toute activité doit passer un test de confiance à chaque étape du processus. Par exemple, les environnements cloud réduisent la confiance implicite dans l’emplacement des serveurs. La confiance dans l’environnement et la gestion des hôtes doit donc être évaluée en permanence, en particulier dans le cadre du télétravail. Cette approche Zero Trust est importante pour toutes les entreprises, quelle que soit leur taille, mais plus particulièrement pour la gestion des serveurs et l’exploitation des data centers. Alors qu’auparavant plusieurs personnes étaient impliquées dans le processus de construction d’un centre de données, une seule personne peut aujourd’hui s’en charger, et ce en un temps record. Bien que cela ait permis de gagner en agilité et de réduire les coûts, de tels avantages ont été rendus possibles par l’augmentation de la confiance implicite : il peut donc suffire d’un seul clic pour les rendre vulnérables.
Aborder la question de la fiabilité du réseau
Si l’on veut replacer le mot « zéro » dans Zero Trust, la question est de savoir si la confiance est implicite ou explicite. Il est par exemple primordial de considérer chaque câble ou port comme un accès à Internet, plutôt que de voir le réseau comme un moyen d’authentification. Par conséquent, les applications et les Workloads doivent être évalués au fur et à mesure de leur utilisation, et non au moment de leur création ou de leur installation. En renonçant au réseau comme élément du modèle de confiance, il est plus facile de décomposer et d’évaluer ce qui peut ou doit être explicitement fiable.
Une fois que ce modèle de confiance implicite a été supprimé du réseau, la réduction significative de la surface d’attaque rend les mouvements latéraux beaucoup plus difficiles à un attaquant qui serait par exemple parvenu à accéder à un Endpoint. Ce processus de vérification, de contrôle et d’application doit être appliqué en permanence pour que la confiance implicite puisse devenir explicite lorsque cela est possible. Il est important de vérifier quel contexte peut être recueilli au sujet d’une session, quels utilisateurs se cachent derrière et si ces derniers sont dignes de confiance. Le contrôle des critères de risque est un autre élément clé car, en fin de compte, une décision doit être prise concernant la fiabilité de la session.
À l’avenir, on s’attend à ce que le Zero Trust continue de chambouler le secteur de la sécurité en modifiant les rôles et les responsabilités au sein des entreprises pour mieux refléter son impact multifonctionnel. Pour l’heure, les organisations peuvent garder une longueur d’avance en éliminant la confiance implicite pour que le réseau soit aussi sûr que possible.
____________________________
Par Marc Lueck, RSSI EMEA chez Zscaler
puis