Qu'est-ce que le zero trust ?
Remarque : cet article fait partie d'une série en 5 parties sur les origines et les principes du Zero Trust.
La plupart des professionnels de la sécurité informatique connaissent le concept de Zero Trust, mais beaucoup ont du mal à l'expliquer aux décisionnaires et aux parties prenantes. L'explication la plus simple du concept de Zero Trust réside dans son nom : Zero Trust, ou ne faire confiance à personne. Il s'agit donc d'authentifier, d'autoriser et de valider en continu tous les utilisateurs, les appareils et toute autre ressource.
On pourrait s'attendre à ce que cette idée soit bien accueillie par la plupart les entreprises, grandes ou petites. Malheureusement, c'est là que les choses se corsent pour beaucoup d'équipes informatiques. Les employés hors service informatique pensent qu'il existe déjà une solution de sécurité, et ils ne veulent pas qu'on les embête avec de nouveaux identifiants et de nouvelles mesures. Les décisionnaires se demandent combien tout cela va coûter, quel va être l'impact de la mise en pratique de ce modèle sur l'entreprise et surtout, quel sera le retour sur investissement. Enfin, certaines personnes ne font tout simplement pas confiance au Zero Trust.
Les origines du Zero Trust
Les leaders informatiques du monde entier ont commencé à explorer officiellement le concept de dépérimétrisation en 2004. Un groupe, nommé le Forum Jericho, fut créé pour favoriser l'adoption d'outils comme le chiffrement et les méthodes avancées d'authentification, le but étant de réduire les frontières entre une entreprise et le monde extérieur, sans compromis avec la sécurité. Cette approche présente les avantages d'améliorer la collaboration, d'augmenter l'agilité et de réduire les coûts.
Aujourd'hui, la réussite de ces initiatives se voit dans les environnements BYOD (où les employés utilisent leurs propres appareils), l'adoption du modèle SaaS et le déploiement de l'Internet des objets (IoT). La transformation numérique sécurisée est utopique si l'on adopte une approche basée sur le périmètre.
Cela ne signifie pas que les défenses traditionnelles du périmètre, comme le pare-feu, ont été éliminées. Partout, les entreprises utilisent des pare-feux pour sécuriser et gérer les déploiements sur site et multicloud. Les WAN (Wide Area Network), comme le SD-WAN et CloudGen WAN, n'existeraient pas sans pare-feux. Les systèmes de contrôle industriel et de technologie opérationnelle ne seraient pas sécurisés sans pare-feux dédiés, qui les protègent et les connectent à un appareil de contrôle. Les mises en pratique du modèle Zero Trust peuvent changer la mission du pare-feu, mais elles ne remplacent pas le dispositif.
Expliquer le concept de Zero Trust
Il est important de comprendre qu'il n'existe pas de produit unique pouvant être déployé pour créer un environnement complet en Zero Trust. Le Zero Trust est une philosophie, et elle commence par un changement de paradigme qui s'éloigne de la sécurité traditionnelle basée sur le périmètre pour se rapprocher d'un modèle davantage basé sur la confiance. Cela signifie que les équipes informatiques doivent supposer que les vulnérabilités et les menaces découlent de relations de confiance. Toute tentative d'accès aux ressources de l'entreprise est une menace potentielle qui doit être éliminée par de multiples couches de sécurité. Ces couches de sécurité utilisent le principe du moindre privilège où les utilisateurs autorisés n'ont accès qu'à ce dont ils ont réellement besoin. Cela réduit la portée potentielle d'un détournement des privilèges par les identifiants de compte de cet utilisateur.
C'est une triste réalité, mais certains acteurs feront preuve de résistance envers les initiatives Zero Trust, tout simplement parce qu'ils n'ont pas bien appréhendé la partie « Trust » (confiance). Les employés veulent que leurs employeurs et leurs collègues leur fassent confiance, et les entreprises veulent que leurs clients et leurs partenaires commerciaux en fassent de même. Parfois, il faudra tenir compte du contexte. À chaque fois que quelqu'un se sert d'une clé pour ouvrir une serrure ou d'un mot de passe pour déverrouiller un appareil, c'est parce qu'il faut instaurer la confiance avant d'accorder un accès. Le changement de paradigme vers un réseau basé sur la confiance vise à simplifier la vie de tout le monde, et non l'inverse.
Le National Institute of Standards and Technology (NIST) (en français : « Institut national américain des normes et de la technologie ») propose une définition officielle du Zero Trust dans sa publication NIST spéciale n°800-207 :
Le Zero Trust (ZT) est un terme regroupant un ensemble évolutif de paradigmes de cybersécurité qui passe d'une approche de défense basée sur des périmètres de réseau statiques à un modèle centré sur les utilisateurs, les ressources et les actifs. […] Le Zero Trust part du principe qu'aucune confiance implicite ne doit être accordée à des actifs ou à des comptes utilisateur sur la seule base de leur localisation physique, de leur localisation sur le réseau ou sur la base de la personne qui détient tel ou tel actif… Le Zero Trust se concentre sur la protection des ressources, non pas de segments de réseau. En effet, la localisation sur le réseau n'est plus considérée comme composant principal du statut de sécurité de la ressource.
Ce document devrait être une lecture obligatoire pour quiconque souhaite mettre en place un environnement Zero Trust. Il en va de même pour le recueil de directives Zero Trust publié par la NSA américaine. Ces deux documents vous aideront à expliquer la valeur du Zero Trust et à faciliter la diffusion de cette nouvelle approche.
Dans les prochains articles de cette série, nous verrons comment les principes du Zero Trust ont simplifié la vie d'entreprises et d'employés du monde entier. Vous pouvez accéder aux autres articles de la série ici.
