La sécurité, c’est comme un pendule, en Suisse comme ailleurs !
![Image Cybersécurité : le défi du [passage à l’échelle]](https://incyber.org//wp-content/uploads/2024/09/getty-images-qozmdnkckeo-unsplash-885x690.jpg)
Le Zero Trust apparaît comme une réponse aux pratiques de BYOD
Il y a une bonne quinzaine d’années, la mode du BYOD (Bring Your Own Device) est apparue dans les grandes entreprises. Les dirigeants y voyaient beaucoup d’avantages : au lieu de fournir des ordinateurs ou des téléphones aux collaborateurs, de nombreux dirigeants estimaient que leurs équipes pouvaient utiliser le matériel de leur choix (téléphone, ordinateur, tablette…) pour travailler.
Le BYOD présentait ainsi un avantage financier significatif et permettait aussi de promouvoir une meilleure « expérience utilisateur », en particulier une grande facilité d’utilisation pour les utilisateurs, une plus grande liberté (choix du matériel, peu de contraintes pour se connecter ou pour naviguer sur Internet…).
Cependant, le BYOD présentait un véritable défi pour les professionnels de la sécurité, bien que des solutions telles que VMware et Citrix aient aidé dans un premier temps. Cette multiplication d’appareils connectés au système d’information de l’entreprise a entraîné un manque de visibilité et de contrôle. Il était alors difficile d’éviter efficacement des fuites d’information et de vérifier la conformité de ces appareils (complexité des mots de passe, antivirus, mises à jour…)
Le retour du pendule !
Aujourd’hui, compte-tenu des nombreuses attaques, avec des impacts parfois douloureux financièrement, juridiquement, et pour la réputation de l’entreprise, « C’est le retour du pendule ! », déclare Cyril Hauppert, fondateur et CEO d’Access Informer, société créée en Suisse. Le Zéro Trust peut être considéré comme une des conséquences du BYOD.
« A l’époque, en tant que responsable de sécurité informatique pour un grand groupe alimentaire, je me rappelle me sentir assez mal à l’aise devant cette décision de BYOD et de devoir faire face au risque que cela représentait, d’autant plus que les plus grands instigateurs du BYOD étaient les membres de la direction du groupe, ayant eux-mêmes un accès important à des informations confidentielles et des tâches sensibles », », ajoute Cyril Hauppert.
Le Zéro Trust, c’est quoi ?
Le Zéro Trust repose sur le principe qu’un appareil ou une entité, qu’il soit à l’intérieur ou à l’extérieur du réseau de l’entreprise, ne peut pas être considéré comme fiable ou de confiance, sans identification et autorisation explicite.
Avant le Zéro Trust, lorsque les serveurs se trouvaient dans un datacenter, ils étaient considérés comme étant dans un environnement de confiance. On appliquait ensuite des restrictions au niveau de certains ports, protocoles et éléments de configuration.
Avec le Zéro Trust, les serveurs ne peuvent pas communiquer entre eux à moins que cela soit explicitement autorisé, vérifié et mis en place. Le même principe s’applique également aux accès des comptes utilisateurs et de services dont les droits d’accès sont limités au minimum nécessaire pour leurs rôles et responsabilités.
Plus facile à dire qu’à faire ! L’effort de transition des entreprises vers le Zéro Trust peut être long et difficile. Le Zéro Trust implique également une surveillance des appareils et des utilisateurs. Un comportement « anormal » déclenche idéalement la limitation des accès et des vérifications supplémentaires, pour éviter la propagation d’une attaque potentielle.
Le Zéro Trust commence chez soi
Pour chaque fournisseur de solutions informatiques, il est primordial d’appliquer également ces grands principes de Zéro Trust aux différentes phases de développement, en commençant par limiter les composants tiers – open source ou commerciaux – au strict minimum. L’impact significatif des vulnérabilités et abus du composant open source log4j en 2021 était un bon rappel de l’importance et de l’impact des ‘supply chain attacks’.
« Nous gardons toujours à l’esprit l’incident de SolarWinds en 2020. En tant que fournisseur de solutions informatiques, la sécurité de chaque étape du processus de développement et de compilation des applications est notre plus haute priorité afin de protéger nos applications, et surtout, nos clients » souligne Cyril Hauppert.
Access Informer, l’une des entreprises innovantes de cybersécurité suisses du Campus Unlimitrust de Prilly, a développé un outil permettant une cartographie des droits accès utilisateurs au sein de l’entreprise afin de détecter des accès trop élevés, notamment entre les applications, à commencer par SAP et Active Directory.
Cet outil respecte lui-même le concept Zero Trust : en effet, la solution est entièrement pilotée par l’entreprise qui l’utilise, ce qui évite de confier les données relatives à ces autorisations à un tiers, potentiellement vulnérable.
Par ailleurs, la solution n’embarque qu’un nombre strictement limité de composants commerciaux, par exemple un connecteur certifié SAP et un composant de reporting. Aucun composant open source, ce qui limite le risque supply chain IT, et des problèmes du type Log4j et Solarwind, qui ont permis à des attaquants de s’introduire au sein de nombreuses entreprises en exploitant des vulnérabilités de fournisseurs informatiques.
Le concept Zero Trust, pour être sans faille, doit absolument être appliqué dans la conception des outils, dans l’architecture des SI, dans les processus, et bien sûr dans les comportements !