Cybersécurité : Le modèle Zero Trust

Principes du « Zero Trust » : Ne faire confiance à personne

Les développements récents de la technologie et des usages ont remis en question le modèle traditionnel de défense périmétrique. L'utilisation accrue du cloud computing, la croissance du télétravail et l'utilisation de moyens personnels (BYOD) pour accéder aux données professionnelles ont réduit le contrôle des entités sur leurs systèmes d'information et leurs données. Dans le même temps, le niveau de menace a augmenté. Dans ce contexte, les mesures de sécurité traditionnelles des systèmes d'information (SI) ont leurs limites.

Contrairement aux VPN qui accordent un accès complet à un réseau local, les solutions ZTNAZero Trust Network Access » ; c’est un sous-ensemble du « Zero Trust » qui fournit un accès à distance sécurisé aux applications et aux services sur la base de politiques de contrôle d'accès définies) le refusent par défaut, ne fournissant que l'accès aux services auxquels l'utilisateur a été explicitement accordé.

« Zero Trust » est avant tout un concept architectural, axé sur l'amélioration de la sécurité d'accès aux ressources et aux services, plutôt qu'une technologie en soi, et encore moins une solution logicielle "tout-en-un" commerciale. Dans la logique de défense de périmètre traditionnelle, les utilisateurs se connectant à partir d'un réseau physique ont le droit d'accéder à un grand nombre de ressources sans appliquer des mesures de cloisonnement de base ou des contrôles ultérieurs à leur authentification et l'accès à leur session : les utilisateurs sont supposés être "de confiance".

Au lieu de cela, une approche de « Zero Trust » consiste à réduire la « confiance implicite » qui est accordée aux utilisateurs et aux activités menées par le biais des équipements de l'entité. Cependant, la "protection périmétrique" ne disparait pas : les pares-feux, les proxies, les annuaires de confiance sont toujours présents.

Pour réduire cette « confiance implicite », les contrôles deviennent réguliers, dynamiques et
granulaires :

  • L’accès aux ressources doit être accordé sur la base du besoin d’en connaître ;
  • L’accès doit être donné sur la base du plus faible niveau de privilège nécessaire pour réaliser la tâche ;
  • Les demandes d’accès doivent être contrôlées de la même manière quelles que soient leurs origines (le périmètre « intérieur » ou « extérieur » de l’entité) ;
  • La politique d’accès aux ressources doit être dynamique et prendre en compte un large nombre d’attributs (identités de l'accédant et de la ressource accédée, sensibilité des ressources sollicitées, analyse comportementale de l'utilisateur, horaires d'accès, etc.) ;
  • L’entité doit veiller à la sécurité de tous ses actifs à l’occasion des demandes d’accès et de manière récurrente durant l'usage ;
  • Les authentifications et autorisations d’accès aux ressources doivent faire l'objet de réévaluations régulières.

Plusieurs possibilités opérationnelles pour basculer vers le « Zero Trust » :

Pour les entités disposant d'un patrimoine informatique hérité et sédimenté, une transition complète vers un modèle de « Zero Trust » semble difficile car elle nécessiterait une refonte complète du système d'information.

Deux stratégies de mise en place sont proposées :

  • Le recours au modèle « Zero Trust » se fait de manière progressive en intégrant au SI « traditionnel » un ensemble de solutions de chiffrement, d’outils permettant de prévenir la fuite de données (data loss prevention), et de contrôles de conformité (type NAC).
  • Une transformation incrémentale des SI : les entités opéreront d’abord un SI hybride mettant en œuvre un modèle à mi-chemin entre le modèle « Zero Trust » et le modèle périmétrique. Une mise à jour de l'analyse de risque du SI est nécessaire avant tout déploiement : elle est revue en distinguant clairement les périmètres pouvant être intégrés au déploiement « Zero Trust » (ex : applications Web, applications cloud) et ceux qui ne le seront pas.

Plusieurs pistes sont envisageables pour intégrer à un SI « traditionnel » les principes du « Zero Trust » :

  • Une gouvernance améliorée de l’identité (l’accès aux ressources est contingenté à l’identification de l'utilisateur et de l’équipement utilisé, du statut de l’actif et de facteurs environnementaux tels que l'heure et la géolocalisation de la demande de connexion).
    En tant qu’éléments clés du modèle Zero Trust, le ou les référentiels d’identité doivent être assainis avec une politique stricte de mise à jour lors des arrivées, départs et mobilités. Ils doivent refléter fidèlement la situation courante des utilisateurs ;
  • Un cloisonnement des ressources plus granulaire et dynamique pour réunir les ressources en groupes qui ont une signification métier et le filtrage des flux entre ces groupes devient indépendant des adresses IP des ressources.
    Cette couche d’abstraction supplémentaire (ex : tags et vxlan) permet d’adapter la protection des ressources au plus juste besoin de protection, car toutes les ressources sont cloisonnées en fonction de leur rôle, de leur sensibilité et de leur exposition aux menaces ;
  • Une utilisation des moyens d’authentification à l’état de l’art, dans la mesure où l’authentification double facteur est généralement un prérequis à la mise en œuvre du modèle « Zero Trust », il est recommandé d’être attentif au choix des facteurs d’authentification et de privilégier par exemple des certificats générés par une infrastructure de gestion de clés (IGC) de confiance ou des jetons FIDO ;
  • Un renforcement des moyens de détection ; les journaux de sécurité générés doivent être judicieusement configurés puis centralisés dans un SIEM. Les équipes de supervision de la sécurité (SOC) doivent être suffisamment formées, expérimentées et dimensionnées pour réagir aux alarmes de sécurité ;
  • Une configuration à l’état de l’art quant à la sécurité des services. Par exemple, pour le chiffrement de flux, TLS doit être configuré suivant le guide TLS de l’ANSSI2 ;
  • Une conduite du changement à ne pas délaisser. Même si le modèle « Zero Trust » est vu comme un levier de simplification de l’expérience utilisateur, il ne doit pas faire oublier que les utilisateurs sont les premiers concernés par la sécurité numérique de leur entité. Les nouveaux modes d’accès, d’authentification ou d’alerte doivent être communiqués de façon claire en rappelant l’importance d’être vigilant dans l’utilisation des moyens numériques.

Le « Zero Trust » : de nouveaux risques pour le niveau global de sécurité

Le « Zero Trust », s’il est interprété de manière à rompre avec le modèle périmétrique traditionnel, est susceptible d’accroître les vulnérabilités. En particulier, le recours à des solutions logicielles nouvelles et nombreuses multiplie le risque de perte de contrôle par rapport aux solutions physiques (ex : une mauvaise installation, des erreurs de configuration ou la présence de vulnérabilités exploitées par des attaquants tiers) donnant ainsi un faux sentiment de sécurité.
L’approche « tout-en-un » des fournisseurs de solutions commerciales « Zero Trust » peut sembler attractive sur le papier, or elle ne dispense aucunement d'une réflexion autonome sur l'état de l'art de toutes les déclinaisons possibles de la démarche : chiffrement des flux, jetons d'authentification, journalisations et sensibilisation des utilisateurs. Il convient en outre de garder à l'esprit que l'adoption d'un modèle « Zero trust » et l'architecture associée ne se substituent aucunement à l'inventaire et au contrôle des terminaux clients utilisés pour accéder aux ressources et aux services.

Dans la mesure où une entité souhaiterait s’engager dans une transformation progressive vers un modèle « Zero trust », il conviendra de continuer d’appliquer les principes de gestion et de maîtrise des risques afin d’assurer la protection du patrimoine informationnel et applicatif : ces principes sont garants de la bonne continuité des missions et de la pérennité de l'entité.

#Cybersécurité #Security #Privacy #Zero Trust
Modèle Zero Trust

Benjamin Berthelot

Alternant DPO chez Solutions 909, je suis chargé de prestations RGPD auprès de nos clients, et de la rédaction d'articles sur les thèmes clés du métier : Protection des données et cybersécurité.