Articles

 

Trust

 

 

 

 

 

 

 

 

 

 

Zero-Trust, le concept qui remet en cause la cybersécurité traditionnelle

 

 

La transformation digitale a accru la complexité de l’écosystème technologique actuel ce qui rebat les cartes des stratégies de sécurité traditionnelles. Le recours accru à l’informatique dans le cloud, le développement du télétravail et l’utilisation de moyens personnels (BYOD) pour accéder à des données professionnelles réduisent le contrôle que les entités exercent sur leurs systèmes d’information et leurs données. En parallèle, le niveau de menace augmente.

 

Le modèle Zero Trust rejette en grande partie l’approche traditionnelle de la cybersécurité, de type « château entouré de douves », qui cherche à défendre le périmètre, empêcher les attaquants d’entrer, tout en supposant que toutes les personnes et tous les éléments présents à l’intérieur du périmètre disposent d’un accès valide et ne posent ainsi aucun risque pour l’organisation. Cette approche s’appuie largement sur des mesures traditionnelles de sécurisation du système d’information, telles que les pare-feux, le cloisonnement (physique ou logique) ou les VPN, mais elle s’est avérée impuissante face à la menace posée par des acteurs malveillants situés à l’intérieur des organisations et qui ont obtenu (ou à qui l’on a donné) l’accès à des comptes à privilèges.

 

C’est l’analyste John Kindervag qui a inventé les expressions « Zero Trust » et « Zero Trust architectures » en 2010. Le Zero-Trust est un concept stratégique qui a pour but de garantir que les organisations restent parfaitement protégées au fur et à mesure de leur adaptation à de nouveaux modes de fonctionnement et de nouvelles conditions du marché.

Ce concept, « ne jamais faire confiance, toujours vérifier » a rapidement gagné en popularité et de grandes entreprises comme Google ont rapidement commencé à développer leur propre interprétation du modèle Zero Trust.

Zero Trust est centré sur la conviction que les entreprises devraient systématiquement ne jamais faire confiance à qui et à quoi que ce soit, ni à l’intérieur et ni à l’extérieur de leur périmètre réseau. Selon les modèles Zero Trust, tous les éléments et toutes les personnes qui tentent de se connecter aux systèmes d’une organisation doivent d’abord être vérifiés avant qu’un accès leur soit accordé.

 

Une description synthétique des principes sous-jacents à l’approche Zero-Trust :

  • Tout réseau est par défaut considéré comme hostile
  • Les menaces internes et externes sont présentes à tout moment sur le réseau
  • Être à l’intérieur d’un réseau interne n’est jamais un gage de confiance absolue
  • Chaque terminal, chaque utilisateur et chaque flux réseau doivent être authentifiés et autorisés

 

Les politiques de sécurité doivent être dynamiques et définies à partir d’autant de sources de données que possible

Il n’existe pas une seule technologie Zero Trust. Les stratégies Zero Trust efficaces s’appuient sur un mélange de technologies et d’approches existantes, comme l’authentification à plusieurs facteurs (MFA), la gestion des identités et des accès (IAM), la gestion des accès à privilèges (PAM) et la segmentation du réseau, pour une défense exhaustive et en profondeur. L’accès Zero Trust valorise également les stratégies de gouvernance telles que le principe du moindre privilège et demande une forte implication des différentes organisations de l’entreprise pour bien comprendre les besoins et mettre en place un accompagnement des utilisateurs

 

Lors d’un projet de transformation progressive vers un modèle Zero Trust, il conviendra de continuer d’appliquer les principes de gestion et de maîtrise des risques afin d’assurer la protection du patrimoine informationnel et applicatif : ces principes sont garants de la bonne continuité des missions et de la pérennité de l’entité.

 

Pascal Baratoux

CEO - Innovalead