Sécurité informatique : Comment faire décoller le zero trust

Le terme zero trust, ou confiance zéro, est aujourd'hui sur toutes les lèvres, mais qu'est-ce qui se cache derrière cette nouvelle approche de la sécurité et comment poser les bases du zero trust ?

La confiance et le contrôle

Pour traduire zero trust en langage de tous les jours, on pourrait dire : on ne fait confiance à personne. Même si cette interprétation n’est pas fausse, elle peut être cause de confusion. Alors, de quoi s’agit-il précisément ? Les concepts classiques de la confiance en informatique sont aujourd’hui obsolètes. L’objectif initial de trust no one est de balayer les structures dépassées et de remettre en question les anciennes approches en termes de sécurité. Il faut maintenant y ajouter "tout vérifier" car la simple existence d’un utilisateur ou d’un service dans un environnement informatique n’est plus une reconnaissance suffisante. Quelqu’un ou quelque chose pourrait se faufiler dans l’espace sécurisé.

Avec zero trust, la confiance inhérente ou supposée n’existe plus. On se base plutôt sur une inversion des preuves. Toutes les personnes et tous les éléments doivent pouvoir être identifiés à tout moment, avant toute interaction. La sécurité est garantie par des contrôles qui sont exercés non seulement à un endroit mais également ailleurs. Avec zero trust, il y a donc un changement de paradigme. Ce changement requiert des approches différentes en matière de sécurité informatique ; toutefois, cela ne veut pas dire que vous ne pouvez plus faire confiance à rien du tout.

Les gens, les outils, les partenaires

La pierre d’angle, l’élément central du changement de paradigme, c’est le facteur humain. Tout d’abord, il faut des experts qui comprennent parfaitement le zero trust. Que signifie le zero trust pour la société, pour le modèle d’entreprise, ou simplement pour le développement des logiciels ou l’interaction avec les fournisseurs ? Ces experts sont le fondement de la réussite du passage au zero trust. Ils sont les ambassadeurs de la nouvelle approche de la sécurité informatique et jettent les ponts entre l’ancien monde et le nouveau monde.

Si ces experts ne sont pas disponibles en interne, il faut envisager des prestataires de services et des partenaires. En effet, la connaissance et l’expérience ne se créent pas en un clin d’œil. Cela dit, attendre n’est pas une option. Il faut lancer les premières étapes du zero trust le plus tôt possible.

Ensuite, il s’agit de faire évoluer l’expertise, ce qui peut se faire soit par des experts supplémentaires, soit par des outils ou logiciels appropriés. Les connaissances et l’expérience peuvent ainsi être « moulées » en code de manière réitérable et compréhensible. Autre avantage : la mise en œuvre et l’application de l’approche zero trust ne nécessitent pas de connaissances approfondies et réduisent considérablement les confusions et les erreurs.

Isolation, séparation et reproductibilité

Il est toujours préférable de tester les nouvelles idées et approches dans un environnement sécurisé ou isolé comme, par exemple, un nouveau projet ou un service dédié, même dans les deux sens pour ce dernier. Le logiciel doit être considéré comme totalement isolé et indépendant. Quelles mesures de sécurité informatique sont en place ? Quels points d’accès le logiciel ouvre-t-il ou ferme-t-il au niveau du réseau, et lesquels ailleurs ? Quelles interfaces sont nécessaires pour les autres services ou les utilisateurs ? Sont-elles simplement facultatives ? Y a-t-il d’autres options pour améliorer la sécurité informatique interne de l’application ?

Les experts recommandent de traiter le service comme s’il était exécuté dans un environnement de réseaux hostiles et peu fiables. L’isolation ou la séparation de l’application sont essentielles. D’une part, cette focalisation simplifie la vue d’ensemble et d’autre part, elle permet de mieux identifier les dépendances externes. En d’autres termes, dans un contexte de sécurité informatique : quelle relation de confiance n’est pas sous le contrôle de l’application ou du logiciel ? Dans quels cas un contrôle d’identité séparé est-il requis ?

Un autre point important est la reproductibilité. Il s’agit ici de la production des environnements de test respectifs. Toutefois, la création d’environnements zero trust clairement définis est presque plus importante encore. La reproductivité désigne la mise en œuvre, de manière compréhensible et comparable, des nouvelles approches et des nouveaux principes informatiques.  Elle concerne non seulement les environnements des développeurs mais également des tests et de la production.

Les outils fonctionnels, c’est permis

L’automatisation joue un rôle très important dans la reproductivité. En fait, elle est le réel catalyseur de la mise en œuvre et de l’adaptation du zero trust. L’utilisateur ou le développeur ne doit plus se soucier uniquement de la sécurité informatique car les outils d’automatisation se chargent d’une partie de ces tâches. Par exemple, ils créent les politiques de sécurité pour les nouvelles machines virtuelles ou testent les nouvelles versions des logiciels.

Toute personne qui développe des applications a déjà dû faire face au problème des mots de passe en clair dans le code source. Grâce au logiciel, ces failles de sécurité peuvent être détectées et éliminées. Des balayages automatisés garantissent que rien ne passera inaperçu. Résultat : la sécurité informatique et donc le zero trust sont faciles à mettre en place. Si l’intégration dans les divers processus est bien faite, la mise en œuvre des directives et approches modernes de sécurité se fait sans même que l’on s’en aperçoive.

Les pierres d’angle du succès

La mise en place du zero trust ne se fait pas toute seule. Mais avec quelques astuces, vous maîtriserez les premières étapes sans difficulté. Tout d’abord, les employés et les parties prenantes doivent bien comprendre que le pare-feu n’est plus une barrière entre le bien et le mal. Le concept d’ambassadeur mentionné plus haut, selon lequel les gens qui comprennent à la fois les nouvelles approches et les implications pour l’organisation, le modèle d’entreprise et la société, s’est avéré efficace à cet égard. En un mot, il s’agit de planter la nouvelle graine aussi efficacement que possible, car très souvent, les changements bénéfiques échouent pour cause de confusion, de manque d’information ou de mauvaise communication. Ces ressources ne doivent pas nécessairement se trouver dans votre organisation. Le plus important est que ces personnes établissent une connexion réelle avec les personnes concernées. Idéalement, il s’agira des preneurs de décisions et des leaders informels.

Ateliers, sessions de formation et groupes de discussion ouverte sont des environnements efficaces en cette matière. L’objectif minimal est d’obtenir la compréhension et l’acceptation des nouvelles approches. Dans le meilleur cas, cependant, cet effort verra émerger de nouveaux avocats, de l’enthousiasme et de nouveaux ambassadeurs. En effet, comme c’est souvent le cas, la réussite s’obtient ou se perd par les personnes. Les logiciels, les outils et les processus constituent un soutien essentiel mais ne sont pas des moteurs. Par conséquent, il faut se poser la question suivante : quelle est la meilleure manière de communiquer la nouvelle approche ? Avec zero trust, la sécurité informatique est assurée au niveau de l’utilisateur ou au niveau de la machine. Le système de protection peut se trouver à l’intérieur ou à l’extérieur du réseau, au choix. Le type de pare-feu utilisé sur le chemin réseau n’a aucune importance. Peu importe où le service ou l’utilisateur apparaît dans la topologie informatique. Le droit d’accès ou l’autorisation doit être divulgué séparément. Cette vérification comporte généralement deux volets. "Je vous prouve qui je suis et vous apportez la preuve de votre droit d’effectuer cette vérification." En termes simples : authentification et vérification mutuelles. Cela va de pair avec une gestion beaucoup plus dynamique des mots de passe et des secrets.

Le deuxième point important pour une mise en œuvre réussie du zero trust est le choix des outils et logiciels connexes appropriés. Il faut prendre en compte les éléments suivants :

●       Séparation du know ho» et du know what,

●       Les outils doivent réellement faciliter le projet et les activités quotidiennes de l’utilisateur ou du développeur,

●       Les processus et flux de travail existants doivent être réutilisables.

Selon le modèle d’entreprise, on peut satisfaire à ces conditions à l’aide de différents produits logiciels. Toute nouvelle approche requiert souvent de nouveaux outils. Toutefois, cela ne signifie pas que tout ce qui était utile avant est inutile maintenant. L’important, c’est de se poser les bonnes questions : parmi les structures, procédures, et flux de travail existants, lesquels sont capables d’assurer le zero trust ? Quels sont ceux qui peuvent être facilement adaptés ? Dans quels cas est-il inévitable de remplacer l’existant et de recommencer ? Ici, l’essentiel est de créer des passerelles. Elles connectent le facteur humain à la technologie. Très souvent, il est plus facile d’intéresser les fans de technologie par des logiciels familiers qu’avec des nouveautés.

La troisième composante d’un démarrage réussi du zero trust est le point d’entrée du nouveau concept de sécurité informatique. Idéalement, le zero trust est mis en place pour une seule application ou un seul service. On peut également envisager une sorte de projet pilote. Dans tous les cas, le principe de base est que le logiciel fonctionne dans le cloud public non sécurisé. Les garanties de sécurité traditionnelles ne sont plus valables. En fait, cette approche est très proche de la réalité. Les frontières entre les systèmes informatiques entre les quatre murs de l’utilisateur et les prestataires de cloud public sont depuis longtemps devenues floues ou sont totalement incompréhensibles. Quoi qu’il en soit, ceci facilite également le changement de paradigme dans l’esprit des utilisateurs, développeurs et preneurs de décisions.

Au cours des étapes suivantes, les experts élaborent de nouvelles directives et des approches pratiques pour la mise en œuvre. Ils effectuent ensuite un contrôle qualité. Si tout fonctionne, peut-on passer à la mise en œuvre pratique, ou faut-il craindre des effets secondaires indésirables ?

À tout le moins, les premières installations doivent inclure l’automatisation et l’utilisation d’outils informatiques appropriés. Les mots-clés déjà mentionnés sont la reproductivité, la traçabilité et l’abstraction. La sécurité informatique, et donc le zero trust qui en fait partie, ne doivent pas rendre plus difficile le travail de l’utilisateur ou du développeur. L’objectif minimum est que la nouvelle approche de la sécurité informatique n’ait aucun impact important dans les activités journalières. Idéalement, les utilisateurs et les développeurs identifieront eux-mêmes des moyens de faciliter ou d’améliorer le système, que ce soit dans leur propre travail ou même au-delà.