Zero trust : effet de mode ou principe majeur de la politique de sécurité ?

Le modèle a émergé comme concept de sécurité il y a déjà plusieurs années. Au cours des douze derniers mois cependant, le paysage informatique des entreprises a été bouleversé, avec de nombreuses conséquences en matière de cybersécurité. En particulier, le passage soudain au cloud a mis les équipes de sécurité au défi.

Cela fait déjà un peu plus d'un an que les entreprises ont dû répondre aux changements et aux contraintes imposés par la pandémie de Covid-19. Du jour au lendemain, nombre d'entre elles ont dû adapter leurs processus traditionnels et numériques et se sont aventurées pour la première fois dans le cloud permettant à la fois d’assurer une continuité d’activité via le télétravail tout en bénéficiant d’une réduction des couts opérationnels IT.

Mais souvent, les équipes de sécurité ont souffert de ces changements parfois imposés dans l’urgence. Cette évolution n'a pas échappé aux cybercriminels, qui ont tenté de tirer profit de la situation. A titre d’exemple, nous avons constaté que le nombre de tentatives suspicieuses de connexion aux services cloud a triplé au cours des premiers mois de l'année dernière, avec 7,5 millions d'attaques enregistrées au cours du seul deuxième trimestre 2020. L’enjeu majeur ici est la protection des accès aux ressources et données de l’entreprise hébergés sur des environnements Cloud.

Pour pallier cette problématique, de plus en plus d'entreprises fondent leur stratégie de sécurité sur une approche zero trust. Selon une enquête récente IDG, 38% utilisaient déjà un tel modèle au moment de l'enquête, et 41% étaient en phase de mise en œuvre. Mais que signifie exactement le zero trust dans ce cas et quelle valeur ajoutée ce modèle apporte-t-il ?

En quoi consiste le zero trust ?

Comme son nom l'indique, l’approche zero trust consiste à ne pas légitimer par défaut la confiance associée à une ressource ou un utilisateur sur le réseau. L’objectif est de garder le contrôle sur l'accès au réseau et à toutes les instances qui s'y trouvent, comme les applications et les données, et de les restreindre si nécessaire - le tout sans compromettre l'expérience utilisateurs et les performances de l’environnement.

Jusqu'à présent, les périmètres réseau étaient composés de pare-feu, de VPN, de systèmes de gestion des informations et des événements de sécurité (SIEM) et d'autres outils de contrôle d'accès, entre autres, conçus pour empêcher les attaquants externes de pénétrer le réseau d’entreprise. Cependant, ce modèle est obsolète et néglige les menaces provenant de l'intérieur du périmètre d’entreprise. La complexité croissante des paysages informatiques due aux services cloud et autres applications implique qu'il est encore plus difficile pour les équipes de sécurité informatique d’assurer le suivi et la conformité de ces accès.

Les avantages du zero trust et les bonnes pratiques

Le zero trust présente de nombreux avantages : il permet de réduire le risque global dans le cloud tout en améliorant la stratégie de conformité et de gouvernance de l’entreprise. Les équipes de sécurité informatique bénéficient alors d’informations significatives et exploitables sur le comportement des utilisateurs et l'usage des appareils, ainsi que sur les processus métier et les flux et transferts de données. Cela leur permet d'identifier plus rapidement les menaces et de prévenir les intrusions malveillantes. Cette approche de la sécurité peut également être appliquée à de multiples environnements, quelle que soit l'infrastructure sous-jacente.

Avant de pouvoir mettre en œuvre une politique zero trust, toutes les données doivent être identifiées et classées selon un risque contextuel. Il est essentiel de savoir où elles se trouvent, qui y accède, et qui devrait y avoir accès à l'avenir. L'étape suivante consiste à attribuer des autorisations d'accès. Il est conseillé de les réduire au minimum. L'accès aux services et aux données critiques ou hautement sensibles ne devrait être accordé qu'aux personnes pour lesquelles elles sont nécessaires - et seulement si l'accès est approuvé sur demande et que l'identité est confirmée. En outre, il faut assurer une surveillance continue des activités sur le réseau et du comportement des utilisateurs. Cela permet d'identifier et de corriger plus rapidement les anomalies et les activités potentiellement dangereuses.

Dans le cadre de l'approche zero trust, tous les utilisateurs et appareils sont classés comme non fiables selon le principe général. L'accès au réseau et à tous les services et ressources n'est pas accordé tant que le demandeur n’a pas justifié son identité, ou est pris en compte le contexte d’accès.