Multiplication des services SaaS, prolifération des objets connectés, complexification de l’environnement de travail hybride… Pour sécuriser cet univers, le Zero Trust émerge comme une nouvelle approche, un nouveau paradigme de cybersécurité qui fait de la défiance une posture par défaut…
Télétravail, internationalisation, shadow IT, connexions mobiles, objets connectés, réseaux ouverts… Le monde de l’entreprise contemporaine est nomade, multisupport, surconnecté. Ordinateurs, téléphones professionnels ou personnels, imprimantes, caméras de surveillance, le tout saupoudré d’une recrudescence du télétravail… le danger peut venir de partout. L’enjeu de la sécurité des données n’a donc jamais été aussi fondamental.
Ainsi, la complexification de l’environnement de travail rend nécessaire l’adaptation des cyberdéfenses. L’une des briques de base de la cybersécurité est le point de croisement entre un certain degré de confiance à allouer et une personne à qui accorder cette confiance. L’ouverture tous azimuts des Systèmes d’Information produite par la multitude d’objets connectés qui y ont accès rend cette attribution de confiance très problématique, voire impossible, à définir. Le zéro trust est désormais de mise.
Pour définir ce modèle, osons la métaphore sportive : l’évolution des stratégies de cybersécurité est comparable à celle des défenses dans le football. Pour arriver à marquer, l’équipe qui attaque cherchera à déjouer le marquage de l’équipe qui défend. Deux stratégies principales s’offrent alors aux défenseurs : le marquage individuel ou la défense en zone. La défense en zone, dans le langage de la cybersécurité, serait la défense périmétrique : on protège un espace, mais une fois l’individu entré dans le périmètre sécurisé, le contrôle s’amenuise, se fait plus lâche, voire disparaît. De son côté, le marquage individuel s’apparente aux stratégies de zéro trust : c’est l’individu qui est observé, vérifié, marqué de près.
De l’évitement à l’affrontement
Le danger vient de l’humain. Intentionné ou non, malveillant ou naïf, il est à l’origine de la majorité des cyberattaques. Dernier rempart de la chaine de sécurité lorsque l’attaque a passé toutes les défenses technologiques, c’est lui qui, la plupart du temps, ouvre la porte des Systèmes d’Information aux cybercriminels. Le premier fondement des stratégies de zéro trust est donc un principe de réalité : les attaques vont arriver, mais surtout elles vont réussir. Terminé les chimères d’une forteresse imprenable. Au feu les rêves d’un monde parfait où la fuite n’existerait plus. Une seule certitude : les attaques ont eu lieu, ont lieu, auront lieu. Plus de conditionnel, tout à l’indicatif. Question de probabilités. Dans les stratégies de cyberdéfense antérieures, l’enjeu était de se prémunir des attaques. La défense périmétrique, comparable à une forteresse, s’appliquait à protéger, comme son nom l’indique, un périmètre. Mais une fois la forteresse ébréchée, l’ennemi dans les murs avait tout loisir d’évoluer dans ce nouvel espace conquis et d’y causer de nombreux dommages.
Les stratégies basées sur le zéro trust appréhendent la menace tout autrement : au lieu de considérer la forteresse comme imprenable, il faut anticiper la brèche. Elles se concentrent donc désormais sur l’amenuisement de l’impact de ces attaques, plutôt que sur un évitement voué à l’échec.
Les limites de l’environnement technologique d’une entreprise ont évolué aussi rapidement que les menaces. Les stratégies de cyberdéfense doivent donc s’adapter à ces nouvelles frontières. L’approche des Systèmes d’Information est d’ordre plus sensible, d’autant qu’elle s’intéresse de manière très précise aux facteurs de risque plutôt qu’à une considération empirique et théorique de la cybersécurité. L’analyse est ainsi plus fine, plus adaptée à l’environnement de l’entreprise. L’identification des failles est la première étape vers l’acceptation de leur existence, pour mieux comprendre la meilleure façon de réagir.
Le premier élément constitutif d’une stratégie zéro trust est donc l’audit méticuleux et continu de l’ensemble des points d’accès à l’environnement que l’on doit sécuriser. À commencer par l’imprimante qui a toujours son code de connexion par défaut…
À l’audit succède une phase de contrôle de chacun des équipements, et la mise en place d’un chemin d’accès basé sur une authentification en continu de chaque élément pénétrant et naviguant à l’intérieur du système protégé. On va alors monitorer de façon continue les comportements à risque et l’usage des outils par l’utilisateur (merci à l’Intelligence Artificielle et au machine learning du cloud public qui permettent d’identifier ces risques et de prendre des mesures adaptées en temps réel. Plus qu’une technologie, c’est une méthode de gouvernance.
La confiance serait-elle devenue un vœu pieux ?
Si la défense périmétrique offre une sécurité d’ensemble, les stratégies de défense zéro trust, elles, s’intéressent à toutes les composantes de l’environnement à protéger. Or, comme on l’a vu, avec la démultiplication des objets connectés, l’environnement numérique d’une entreprise est de plus en plus exposé au risque. C’est la fin de la confiance aveugle et l’avènement d’une méfiance par défaut.
Tout est dans le nom : zéro trust. En termes de cybersécurité, les stratégies efficaces ne peuvent plus reposer sur la confiance. Les failles sont trop grandes, les attaques trop nombreuses. La confiance est une dimension fondamentale des relations managériales, et pourtant elle ne peut à elle seule être le ciment d’une architecture numérique. Combien de mots de passe non sécurisés sont paramétrés ? Combien d’applications sont téléchargées et utilisées par les équipes sans validation préalable de la D.S.I de l’entreprise ? Combien de pages de conditions d’utilisations ont défilé jusqu’à la case « cocher ici pour donner votre accord », sans même être lues ?
En assumant une rupture nette avec les méthodologies de défense préalables, les stratégies zéro trust redéfinissent les fondements de la cybersécurité et sa place dans l’entreprise. Elles délogent la confiance de son piédestal, pour la reléguer en seconde place, derrière la sécurité des données et des Systèmes d’Information. Considérée (peut-être à tort) comme pilier de l’entreprise, la confiance ne suffit plus et ne sera accordée qu’après la mise en place de protocoles d’authentification forte (MFA, passwordless), d’accès conditionnels et de plans de contingence.
Ce changement de paradigme va bien au-delà des Systèmes d’Information. Elle induit un nouveau rapport entre l’organisation et les individus qui la composent, en plus d’une montée en compétences de l’ensemble des équipes aux enjeux de sécurité informatique. En tant que premiers facteurs de risque, premières brèches potentielles, ces équipes doivent comprendre et accepter les failles ouvertes par leur utilisation des outils numériques. C’est une condition sine qua none de réussite des stratégies zéro trust. Ainsi, en obligeant la redéfinition des relations entre collaborateurs, mais aussi avec les partenaires de l’entreprise, la cybersécurité devient l’autorité de référence, une forme de super DRH 2.0.
Ne confondons toutefois pas fin de la confiance et surveillance à outrance. Les stratégies zéro trust ne donnent pas tous les droits. Elles aussi sont, d’une certaine manière, « périmétriques » : elles redéfinissent simplement le périmètre d’actions et les protocoles d’accès et d’identification des utilisateurs et utilisatrices d’un système informatique et de ses composantes. Elles s’articulent d’ailleurs parfaitement avec toutes les normes RGPD et avec des protocoles de défense plus traditionnels. Quand un collaborateur est connecté à un réseau dans les locaux et sur un appareil de l’entreprise, qu’il est correctement identifié, que son comportement ne présente pas de risques, les requêtes d’authentification seront forcément moins récurrentes que s’il utilise son téléphone portable en se connectant au réseau wifi ouvert d’une gare. Elles seront également moins contraignantes. Ainsi, une sécurité qui s’adapte aux conditions de travail permet d’assurer une meilleure productivité tout en gardant une sécurité renforcée. Mais ce n’est pas parce qu’il a un usage professionnel d’un dispositif personnel que tout son contenu doit être ouvert à la D.S.I de son employeur. D’où l’importance de revenir au fondement des stratégies zéro trust : tout est une question de sensibilité et de curseur.
Finalement, les enjeux de ces stratégies relèvent autant de la sécurité des données que de l’équilibre à (re)trouver entre les équipes, les partenaires, les contextes. La fin de la confiance « par défaut » n’empêche pas la confiance tout court. Au contraire, une fois accordée, elle est encore plus forte qu’auparavant… Désormais, défiance et confiance ne sont plus vraiment des antonymes.
Une célèbre enseigne d’électroménager (univers de plus en plus connecté) a fondé son succès sur le « contrat de confiance ».
À l’ère de la cybersécurité, c’est désormais un autre contrat qui prévaut : le contrat de défiance.
____________________________
Par Cédric Minne, Team Leader Collaborative Workspace Prodware
Pour en savoir plus sur le Zero Trust :
De l’usage du mot “Zero” dans l’approche Zero Trust
Sur la voie du Zero Trust
Sécurité : une nouvelle approche du Zero Trust pour miser sur le bien-être des salariés
Le Zero Trust n’est pas un produit !
Le Zero Trust, un modèle de sécurité adapté à l’ère du travail hybride
puis