Les contours du concept de Zero Trust restent encore variables selon qui les emploie. Il désigne tour à tour une philosophie, un framework, une architecture, des outils, voire un standard en devenir, mais dans tous les cas, c’est une approche de la sécurité informatique qui devient proéminente. Il faut savoir l’actionner.

Introduit en 2009 par John Kindervag de Forrester, le concept de Zero Trust se résume en ces termes : « ne jamais faire confiance, toujours vérifier » (« never trust, always verify »).

À bien des égards, le Zero Trust est avant tout une philosophie qui doit interroger sur les actions à mener pour protéger les actifs de l’entreprise et déterminer le niveau de confiance à accorder aux utilisateurs. L’Extended Zero Trust pousse ce concept encore plus loin, en mettant l’accès aux données au centre des considérations et en s’appuyant sur quatre piliers : identité, équipements, réseau, applications.

Pourquoi le Zero Trust est-il si populaire aujourd’hui ?

Auparavant, l’essentiel de l’infrastructure informatique des entreprises était internalisé. Avec la montée du Cloud et du nomadisme, cela est de moins en moins vrai. Les données, autant que les applications, résident de plus en plus souvent hors des murs de l’entreprise, quand elles ne sont pas complètement externalisées. La sécurité périmétrique est donc de moins en moins pertinente.

Aujourd’hui, en cas d’attaque, le RSSI va vérifier que les procédures légales ont été respectées et que la faille détectée a bien été corrigée ou résolue. Ce n’est pas une réponse suffisante, car c’est faire l’impasse sur les autres dégâts potentiellement causés par le pirate : prise de contrôle de comptes utilisateurs ou du serveur Active Directory, destruction, exfiltration ou chiffrement des données, etc. Le Zero Trust réduit ou supprime ces risques.

Les bonnes pratiques du Zero Trust sont clairement expliquées dans la documentation de Forrester sur le sujet. Toutefois, il est essentiel d’y ajouter un mode d’emploi ou une procédure pratique pour sa mise en application. Des propositions d’approche partent des frameworks existants tels que le NIST en y ajoutant des contrôles de type Zero Trust pour en faire une solution concrète et simple à déployer.

Mise en application

Afin de mettre en application le Zero Trust, deux aspects sont à prendre en compte.

Le premier est stratégique et organisationnel. Il s’agit ici de déterminer l’ensemble des contrôles qu’il faudrait ajouter à l’infrastructure de sécurité existante pour atteindre le niveau de maturité Zero Trust visé. Cette phase se concentre sur les mesures à prendre pour chaque cas d’usage. Pour un accès distant, il peut s’agir de renforcer les contrôles de l’antivirus et les procédures d’authentification, de réduire les privilèges ou de ne donner accès qu’à une partie des données. Ces actions sont ensuite traduites en projets.

Le second aspect est technique, avec la mise en œuvre des outils nécessaires pour chaque cas d’usage. En général, l’entreprise possède déjà les outils requis, mais ne les utilise pas à cet effet. Il est également nécessaire de mettre en place un moteur central intelligent, qui va évaluer en temps réel le niveau de risque, l’impact de ce risque et choisir alors d’ouvrir ou non l’accès aux ressources demandées (données, applications, voire équipements). Ce cerveau, c’est le Central Security Engine, ou CSE.

Faire fonctionner le Central Security Engine

Prenons le cas d’un utilisateur cherchant à accéder à une facture.

  1. Le premier élément évalué est le niveau de confiance qui peut être accordé à l’utilisateur. Il pourra par exemple être diminué si ce dernier n’a pas employé d’authentification multifacteur pour s’identifier.
  2. Second élément, le niveau de confiance de l’équipement servant à la connexion. Est-ce un ordinateur personnel, ou celui de l’entreprise ? A-t-il déjà été utilisé par le passé pour des tentatives d’intrusion ? La dernière analyse antivirus est-elle récente ?
  3. Troisième élément, la sensibilité de la donnée demandée. Est-elle critique ou non ? Est-il logique qu’elle soit demandée dans ce contexte et par cet utilisateur ?
  4. Quatrième élément, le niveau de sécurité de l’application qui cherche à accéder à cette donnée. A-t-elle été développée dans les règles de l’art (Security by design, SecDevOps…) ? Des failles y ont-elles récemment été repérées ?
  5. Dernier élément enfin, le réseau utilisé pour accéder à cette donnée : est-ce un réseau de confiance ? Le réseau domestique de l’utilisateur ? Le réseau d’un hôtel situé à l’étranger ?

Fort de tous ces facteurs, le CSE va calculer un niveau de risque global et les implications de ce risque, avant de déterminer si l’utilisateur peut accéder ou non à la donnée demandée. Le CSE évaluera ainsi chaque demande, de chaque utilisateur, à chaque instant.

Le rôle de l’intelligence artificielle

Grâce à l’intelligence artificielle, le CSE est également capable de détecter plus efficacement les comportements anormaux et les situations à risque. Ainsi, si le comportement d’un utilisateur change subitement, des contre-mesures pourront être prises : demande d’un facteur d’authentification complémentaire, restriction de l’accès aux données, etc. Et lorsqu’une suspicion d’attaque de grande envergure est repérée, d’autres mesures seront mises en place : renforcement des contrôles antivirus, passage en lecture seule des données critiques, etc. Le tout en lien avec les outils de détection des incidents, de surveillance et de réponse aux incidents.

Le RSSI n’avancera pour sa part plus à l’aveugle, le CSE pouvant lui communiquer des informations précieuses sur l’attaque, ses conséquences, le risque encouru… et même des prévisions sur les prochaines actions de l’attaquant.

Vers l’émergence d’un standard

L’idée générale du Zero Trust est de construire un système de défense en profondeur, où les outils de sécurité ne travaillent plus de façon indépendante, mais sous la houlette d’un chef d’orchestre intelligent chargé de prendre les décisions et d’appliquer les mesures nécessaires pour répondre à chaque situation, à chaque instant.

À l’heure actuelle, d’autres concepts issus du modèle Zero Trust ne sont pas encore appliqués. Nous sommes encore dans une phase d’expérimentation où chacun développe son propre modèle, sa propre politique et ses propres infrastructures de sécurité. Avec le temps et la multiplication des retours du terrain, des bonnes pratiques et des standards devraient toutefois rapidement émerger.
___________________

Par El Amine Hamis, Architecte Sécurité chez IBM France