Zero Trust
22/12/23 16:15
Le terme Zero Trust se trouve quasiment partout aujourd'hui et il est vrai que cette approche exerce un attrait croissant. La promotion en est faite comme la solution garantissant la sécurité des ressources dans des environnements devenus très hybrides et très distribués et faisant appel à des infrastructures très hétérogènes. Le terme est fortement employé au niveau marketing par les éditeurs et constructeurs du domaine de l’IT sans que cela renforce la compréhension globale, chacun y allant de sa propre définition collant parfaitement à ses solutions.
Le concept appliqué au domaine de la cybersécurité repose sur l'idée fondamentale que les organisations ne devraient faire confiance à aucun utilisateur, appareil, ou processus à l'intérieur ou à l'extérieur de leur système d’information. Pour faire simple et synthétique, Zero Trust est un cadre de sécurisation des systèmes d’information modernes : distribués, avec des utilisateurs nomades et hybrides, faisant largement appel au cloud et ne maitrisant pas l’intégralité de ces actifs (BYOD). Il impose comme principe de base qu’aucun utilisateur ou application ne doit être considéré comme fiable par défaut. La doctrine associée intègre la notion de l’accès basé sur le moindre privilège, ainsi que la conception que la confiance ne peut s’établir que par rapport au contexte : l’identité de l’utilisateur, le lieu à partir duquel il se connecte, le terminal qu’il utilise et la posture de sécurité associée, le service auquel il souhaite accéder, l’heure à laquelle cela se produit…. Tout étant contrôlé à chaque étape.
Les évolutions fortes des usages accompagnées par celles des technologies ont remis en question le modèle de défense périmétrique traditionnellement déployé. Les environnements hétérogènes mettant en œuvre le cloud sous différentes formes, le télétravail et l’utilisation de moyens personnels pour accéder aux ressources des organisations réduisent le contrôle et la maitrise des systèmes d’information. Les frontières du celui-ci deviennent floues, il est impossible de garantir qu’aucun de ses composants ne sera jamais compromis. C’est la fin des zones de confiances, et par conséquent, sans zones de confiances, il devient impossible de définir un périmètre et encore moins de le défendre. Tout cela se passe en même temps que le niveau de menace augmente, que les attaques se font plus sophistiquées et plus efficaces et ainsi les mesures de cyberdéfense couramment utilisées en mode de protection périmétrique comme le cloisonnement, le filtrage via des pare-feux ou les VPN, rencontrent des limites.
Contrairement à cette approche traditionnelle de la sécurité informatique centrée sur la protection périmétrique, le modèle zero trust assume que les menaces peuvent survenir de n'importe où, même de l'intérieur du réseau, d’autant que la notion d’intérieur et extérieur liée à celle de zone de confiance devient elle aussi floue. Cette nouvelle approche va permettre de définir les principaux principes du modèle qui sont essentiellement :
· Aucune confiance implicite : aucun utilisateur ou appareil ne doit être considéré comme digne de confiance par défaut. Même les utilisateurs authentifiés et les appareils approuvés doivent faire l'objet d'une vérification continue. Dans le cas de la défense périmétrique classique, les utilisateurs une fois connectés sont pourvus de droits importants leur permettant d’accéder à de larges ressources sans contrôles ni cloisonnements une fois la session établie : ils sont considérés de plein droit comme de confiance. C’est une rupture importante dans la démarche.
· Vérification continue : Les utilisateurs, les appareils et les processus font l'objet d'une vérification constante de leur légitimité. Cela peut inclure l'authentification multi-facteurs, l'évaluation de l'état de sécurité des appareils, et la surveillance des activités pour détecter tout comportement suspect.
· Accès basé sur le besoin : Les utilisateurs n'ont accès qu'aux ressources dont ils ont besoin pour accomplir leurs tâches spécifiques. L'accès excessif est minimisé pour réduire les opportunités pour les attaquants potentiels (en théorie, même en dehors du modèle zero trust, le bon sens voudrait que ce soit déjà le cas, la pratique démontre le contraire). Nous retrouvons d’ailleurs ici la notion du besoin d’en connaitre comme base de l’attribution des droits.
· Isolation des segments : Le réseau est segmenté en zones restreintes, et les communications entre ces zones sont strictement contrôlées. Cela limite la propagation potentielle d'une attaque à travers le réseau (là encore, les notions de segmentation, voire de micro-segmentation sont prônées depuis longtemps et même avant l’apparition du modèle zero trust).
· Chiffrement : L'utilisation du chiffrement est encouragée pour sécuriser les données en transit, garantissant ainsi que même si une interception se produit, les données restent illisibles sans la clé de déchiffrement appropriée, ici encore il y a déjà longtemps que les flux ‘web’ constituant une très importante partie des flux internes et externes de organisations sont passés en https, mais le reste se doit d’être offusqué également).
· Surveillance avancée : La détection des menaces est constante, et les systèmes de surveillance sont en place pour identifier les comportements anormaux ou les activités malveillantes. Cela peut inclure l'utilisation de solutions d'apprentissage automatique pour détecter des schémas non évidents. Outre les mécanismes anciens tels que les IPS et les antimalwares, des outils comme les EDR, XDR , NDR répondent à ces enjeux.
A partir de cette description synthétique, nous constatons que le modèle de zero trust est une approche proactive qui présume que les menaces peuvent émaner de n'importe où, y compris de l'intérieur d'une organisation. En conséquence, il adopte une approche de sécurité multicouche basée sur la vérification continue, la limitation des privilèges et la surveillance constante pour réduire les risques de manière significative.
Le point important à remarquer est qu’il ne s’agit pas d’une solution ni d’un produit mais bien d’une approche, d’un cadre de référence pour penser et implémenter les règles de sécurité du système d’information. Bien entendu, cette posture nécessitera de déployer des technologies en accord avec la doctrine du Zero Trust mais ce n’est pas la technique qui fait le Zero Trust, c’est la manière de procéder. Ce modèle s’inscrit dans une logique de défense en profondeur et constitue une rupture avec la logique de protection périmétrique qui a longtemps été la norme. Il peut se voir comme une solution pour remédier aux problèmes de sécurité en transformant la notion de périmètre. Comme déjà évoqué, c’est en premier lieu une architecture renforçant la sécurité des accès aux ressources et ce n’est pas une technologie à proprement parler et certainement pas une solution sur étagère.
Pour résumer, dans le contexte d’une posture Zero Trust la confiance implicite accordée aux utilisateurs va être fortement réduite et l’authentifications n’empêchera pas les contrôles ultérieurs. Bien entendu, les protections périmétriques ne sont pas supprimées et les filtrages, segmentations et autres mécanismes de protection subsistent. Afin de réduire la confiance accordée à l’utilisateur celui-ci est soumis à des contrôles dynamiques, réguliers et granulaires. Ainsi, l’approche Zero Trust met l’utilisateur et la donnée au centre du dispositif. Ce faisant, la notion d’identité numérique se révère alors d’une importance capitale.
Le concept appliqué au domaine de la cybersécurité repose sur l'idée fondamentale que les organisations ne devraient faire confiance à aucun utilisateur, appareil, ou processus à l'intérieur ou à l'extérieur de leur système d’information. Pour faire simple et synthétique, Zero Trust est un cadre de sécurisation des systèmes d’information modernes : distribués, avec des utilisateurs nomades et hybrides, faisant largement appel au cloud et ne maitrisant pas l’intégralité de ces actifs (BYOD). Il impose comme principe de base qu’aucun utilisateur ou application ne doit être considéré comme fiable par défaut. La doctrine associée intègre la notion de l’accès basé sur le moindre privilège, ainsi que la conception que la confiance ne peut s’établir que par rapport au contexte : l’identité de l’utilisateur, le lieu à partir duquel il se connecte, le terminal qu’il utilise et la posture de sécurité associée, le service auquel il souhaite accéder, l’heure à laquelle cela se produit…. Tout étant contrôlé à chaque étape.
Les évolutions fortes des usages accompagnées par celles des technologies ont remis en question le modèle de défense périmétrique traditionnellement déployé. Les environnements hétérogènes mettant en œuvre le cloud sous différentes formes, le télétravail et l’utilisation de moyens personnels pour accéder aux ressources des organisations réduisent le contrôle et la maitrise des systèmes d’information. Les frontières du celui-ci deviennent floues, il est impossible de garantir qu’aucun de ses composants ne sera jamais compromis. C’est la fin des zones de confiances, et par conséquent, sans zones de confiances, il devient impossible de définir un périmètre et encore moins de le défendre. Tout cela se passe en même temps que le niveau de menace augmente, que les attaques se font plus sophistiquées et plus efficaces et ainsi les mesures de cyberdéfense couramment utilisées en mode de protection périmétrique comme le cloisonnement, le filtrage via des pare-feux ou les VPN, rencontrent des limites.
Contrairement à cette approche traditionnelle de la sécurité informatique centrée sur la protection périmétrique, le modèle zero trust assume que les menaces peuvent survenir de n'importe où, même de l'intérieur du réseau, d’autant que la notion d’intérieur et extérieur liée à celle de zone de confiance devient elle aussi floue. Cette nouvelle approche va permettre de définir les principaux principes du modèle qui sont essentiellement :
· Aucune confiance implicite : aucun utilisateur ou appareil ne doit être considéré comme digne de confiance par défaut. Même les utilisateurs authentifiés et les appareils approuvés doivent faire l'objet d'une vérification continue. Dans le cas de la défense périmétrique classique, les utilisateurs une fois connectés sont pourvus de droits importants leur permettant d’accéder à de larges ressources sans contrôles ni cloisonnements une fois la session établie : ils sont considérés de plein droit comme de confiance. C’est une rupture importante dans la démarche.
· Vérification continue : Les utilisateurs, les appareils et les processus font l'objet d'une vérification constante de leur légitimité. Cela peut inclure l'authentification multi-facteurs, l'évaluation de l'état de sécurité des appareils, et la surveillance des activités pour détecter tout comportement suspect.
· Accès basé sur le besoin : Les utilisateurs n'ont accès qu'aux ressources dont ils ont besoin pour accomplir leurs tâches spécifiques. L'accès excessif est minimisé pour réduire les opportunités pour les attaquants potentiels (en théorie, même en dehors du modèle zero trust, le bon sens voudrait que ce soit déjà le cas, la pratique démontre le contraire). Nous retrouvons d’ailleurs ici la notion du besoin d’en connaitre comme base de l’attribution des droits.
· Isolation des segments : Le réseau est segmenté en zones restreintes, et les communications entre ces zones sont strictement contrôlées. Cela limite la propagation potentielle d'une attaque à travers le réseau (là encore, les notions de segmentation, voire de micro-segmentation sont prônées depuis longtemps et même avant l’apparition du modèle zero trust).
· Chiffrement : L'utilisation du chiffrement est encouragée pour sécuriser les données en transit, garantissant ainsi que même si une interception se produit, les données restent illisibles sans la clé de déchiffrement appropriée, ici encore il y a déjà longtemps que les flux ‘web’ constituant une très importante partie des flux internes et externes de organisations sont passés en https, mais le reste se doit d’être offusqué également).
· Surveillance avancée : La détection des menaces est constante, et les systèmes de surveillance sont en place pour identifier les comportements anormaux ou les activités malveillantes. Cela peut inclure l'utilisation de solutions d'apprentissage automatique pour détecter des schémas non évidents. Outre les mécanismes anciens tels que les IPS et les antimalwares, des outils comme les EDR, XDR , NDR répondent à ces enjeux.
A partir de cette description synthétique, nous constatons que le modèle de zero trust est une approche proactive qui présume que les menaces peuvent émaner de n'importe où, y compris de l'intérieur d'une organisation. En conséquence, il adopte une approche de sécurité multicouche basée sur la vérification continue, la limitation des privilèges et la surveillance constante pour réduire les risques de manière significative.
Le point important à remarquer est qu’il ne s’agit pas d’une solution ni d’un produit mais bien d’une approche, d’un cadre de référence pour penser et implémenter les règles de sécurité du système d’information. Bien entendu, cette posture nécessitera de déployer des technologies en accord avec la doctrine du Zero Trust mais ce n’est pas la technique qui fait le Zero Trust, c’est la manière de procéder. Ce modèle s’inscrit dans une logique de défense en profondeur et constitue une rupture avec la logique de protection périmétrique qui a longtemps été la norme. Il peut se voir comme une solution pour remédier aux problèmes de sécurité en transformant la notion de périmètre. Comme déjà évoqué, c’est en premier lieu une architecture renforçant la sécurité des accès aux ressources et ce n’est pas une technologie à proprement parler et certainement pas une solution sur étagère.
Pour résumer, dans le contexte d’une posture Zero Trust la confiance implicite accordée aux utilisateurs va être fortement réduite et l’authentifications n’empêchera pas les contrôles ultérieurs. Bien entendu, les protections périmétriques ne sont pas supprimées et les filtrages, segmentations et autres mécanismes de protection subsistent. Afin de réduire la confiance accordée à l’utilisateur celui-ci est soumis à des contrôles dynamiques, réguliers et granulaires. Ainsi, l’approche Zero Trust met l’utilisateur et la donnée au centre du dispositif. Ce faisant, la notion d’identité numérique se révère alors d’une importance capitale.