Le modèle zero trust est-il viable pour les réseaux OT / IoT ?

Appliquer le concept de sécurité zero trust aux réseaux d'objets connectés par nature très complexes et dispersés soulève plusieurs questions et demande une approche adaptée.

L'approche du zero trust, initialement apparue aux Etats-Unis, se fait progressivement une place au sein de l'écosystème numérique français, et constitue l'une des tendances les plus marquantes pour l'année à venir. Le travail d'expertise récemment mené par le Cigref pour mieux définir ce concept et ses contours, et les bonnes pratiques associées à la réussite de sa mise en œuvre, en la démonstration.

Selon l'approche zero trust, une ZTA (zero trust architecture) doit désormais être considérée comme un composant essentiel de toute stratégie en matière de cybersécurité et de réseau. Cela impose aux entreprises d’infrastructures critiques de repenser des portions clés de leur infrastructure informatique et de leurs processus de sécurité.

Toutefois, si la ZTA est perçue par la majorité des acteurs du secteur comme une avancée significative par rapport aux approches traditionnelles en matière de sécurité, de nombreuses questions demeurent sans réponse. Quid des définitions et des différents besoins liés à la mise en place d’une ZTA en fonction des secteurs, des experts et des fournisseurs ? Le zero trust apparaît actuellement comme un état d’esprit ou une approche, plutôt qu’un ensemble explicite de fonctionnalités ou de capacités de sécurité.

Déploiement d’une ZTA : quels sont les points de vigilance ?

Le zero trust représente une évolution significative en matière d'architectures réseau et de sécurité pour diffuser et mettre en application les politiques sur l’ensemble de l’organisation. De manière générale, adopter un état d’esprit zero trust signifie partir du principe que chaque appareil et chaque utilisateur peut être compromis ou représenter une menace potentielle.  Seuls les utilisateurs, appareils, messages et flux dotés d’autorisations explicites devraient être autorisés. Même si cette approche permet de ralentir ou de bloquer la propagation de logiciels malveillants, d’empêcher les accès non autorisés et de faire face à un large éventail de cybermenaces, la mise en œuvre d’une telle approche nécessite d’opérer des transformations au niveau de l’infrastructure et de la politique d’entreprise. Elles peuvent, bien sûr, se révéler coûteuses et sont susceptibles de perturber le fonctionnement opérationnel et applicatif existant.

Alors que l’adoption du zero trust s’accélère dans les entreprises informatiques pour un grand nombre de cas d’usages et d’environnements de sécurité, les besoins spécifiques de l’OT et de l’IoT peuvent constituer un frein au déploiement de solutions zero trust génériques. En raison de la micro-segmentation (qui est un objectif courant de la stratégie zero trust), de nombreux appareils OT et IoT ont des difficultés à trouver leur place au sein d’une ZTA. Actuellement, lorsqu’un réseau OT adopte une approche zero trust, celle-ci se limite souvent à la sécurisation de scénarios d’accès à distance et vient remplacer des solutions d’accès VPN qui inspirent de moins en moins confiance, au lieu de s’étendre à l’ensemble du réseau interne et à tous les terminaux.

Un déploiement qui se prépare soigneusement

De manière générale, les entreprises doivent partir du principe que le zero trust n’a rien d’une solution clé-en-main. Pour adopter un tel modèle, il leur sera probablement nécessaire d’effectuer des mises à jour significatives sur l’ensemble de l’infrastructure et d’opérer des changements importants sur leurs applications ou leur politique de sécurité. Les nombreuses définitions et les multiples scénarios liés aux différents cas d’usage devraient inciter les acteurs à établir des priorités concernant les méthodes et les motivations liées au déploiement de leur ZTA. Ils doivent attentivement évaluer leurs besoins en matière d’accès et d’applications, tout en évitant de se référer à des lignes directrices ou des mandats spécifiques.

Une ZTA n’a pas nécessairement un effet disruptif et il n’existe pas de solution miracle permettant l’adoption immédiate du modèle zero trust par l’ensemble des environnements. Chaque entreprise peut se démarquer des lignes directrices du secteur ou des solutions offertes par les fournisseurs. Il est néanmoins essentiel de disposer d’une plateforme dotée de services de base sur lesquelles il est possible de développer un état d’esprit zero trust.

Le zero trust fait donc davantage référence à un parcours, une méthode, plutôt qu’à un but ou une finalité spécifique. Il est important de choisir une stratégie de mise en œuvre cohérente, en fonction des déploiements OT et IoT existants, en évitant le remplacement de tous les systèmes, l’installation d’un agent pour chaque équipement ou le chiffrement et le blocage soudain de l’ensemble du trafic réseau.