- Accueil
- Cybersécurité
- Zero Trust, une approche ambitieuse mais complexe
Zero Trust, une approche ambitieuse mais complexe
Le château fort s’est écroulé. Il y a encore une quinzaine d’années, les principes d’une politique de cybersécurité étaient somme toute basiques. Une entreprise n’avait qu’à dresser des murailles derrière son système d’information pour le protéger. Les postes de travail tout comme les serveurs qui hébergeaient les applications étaient sagement retranchés derrière. Les solutions dites périmétriques de type antivirus, pare-feu et VPN agissaient alors comme des gardes, analysant le trafic entrant et sortant.
Ce modèle de type forteresse a volé en éclat avec la montée en puissance du cloud. Les données de l’entreprise sont désormais disséminées dans les environnements mutualisés d’un cloud provider ou d’un éditeur en mode SaaS. En généralisant le télétravail, la crise Covid a encore fragilisé l’approche périmétrique. À leur domicile, les collaborateurs ne disposent plus du même niveau de protection qu’au bureau. Et quand ils reviennent sur site, ils utilisent fréquemment leurs terminaux personnels amplifiant le phénomène de BYOD (Bring Your Own Device).
Enfin, avec la transformation numérique, une entreprise ne vit plus en vase clos. Elle échange des informations sensibles avec son écosystème constitué de clients, de partenaires et de sous-traitants. Ce système d’information étendu augmente sa surface de risques et l’expose aux attaques par rebond.
Ce changement de paradigme invite les entreprises à revoir en profondeur leur stratégie cyber. Dans ce contexte, le concept de Zero Trust, popularisé en 2010 par John Kindervag, évangéliste en chef d’Illumio, prend un intérêt croissant. Le récent cadre réglementaire, avec NIS 2 et DORA, favorise également implicitement l’adoption du Zero Trust en prônant une surveillance continue et une gestion granulaire des accès.
« Confiance dynamique »
Comme son nom l’indique, le modèle Zero Trust consiste à n’accorder aucune confiance par défaut. Toute tentative d’accès d’un utilisateur, d’un terminal, d’un objet connecté ou d’un service numérique, qu’il soit à l’intérieur ou à l’extérieur du réseau d’entreprise, doit être scrupuleusement vérifiée. Au terme de Zero Trust, Gérôme Billois, partner chez Wavestone, préfère parler de « confiance dynamique ». « La confiance doit être renouvelée à chaque fois que l’utilisateur accède à l’information. »
Le Zero Trust repose sur 3 principes fondamentaux : se clarté :
Le modèle Zero Trust repose sur trois principes fondamentaux :
- la vérification continue, où chaque utilisateur ou appareil doit être authentifié quel que soit son emplacement ou son historique d’accès ;
- l’accès au moindre privilège, qui limite les autorisations au strict nécessaire ;
- une surveillance permanente pour détecter et répondre rapidement aux menaces.
Ces trois principes se déclinent en différentes briques technologiques que sont : la micro segmentation du système d’information, l’accès à distance basé sur l’identité avec le Zero Trust Network Access (ZTNA), et l’authentification multi-facteurs (MFA). Enfin, avec le Security Orchestration, Automation, and Response (SOAR) , une entreprise dispose d’une plateforme qui orchestre et automatise les réponses de sécurité.
Les grandes entreprises plus matures
Coûteuse et longue à mettre en place, l’approche Zero Trust n’est pas accessible à toutes les organisations. Disposant des ressources et des compétences ad hoc, les grands comptes ont été les premiers à s’outiller. Selon le dernier baromètre de la maturité cyber en France du cabinet Wavestone, publié en avril 2023, 28 % des grandes organisations ont déployé une authentification multi-facteurs, 24 % ont mis en place une micro segmentation automatique et 14 % le ZTNA.
« L’approche Zero Trust concerne les systèmes d’information complexes et de grande taille, estime Gérôme Billois. Les grandes entreprises sont plus matures sur le sujet. Elles vont modifier le référentiel d’architecture pour intégrer les principes de convergence et faire du Zero Trust « by design » pour les nouveaux projets. »
Sales Engineer Director pour l’Europe du Sud chez l’éditeur spécialisé Zscaler, Ivan Rogissart confirme. « Les grands entreprises ont un niveau de maturité plus élevé, mais aussi une exposition aux risques plus forte. Un réseau de boutiques peut, par exemple, devenir un jeu de dominos pour les cybercriminels. » Pour autant, il observe que « de plus petites entreprises sont suffisamment souples pour adopter le Zero Trust et devenir rapidement résilientes. »
MSSP et IA
La démocratisation du Zero Trust dépendra, selon Allan Camps, Senior Enterprise Account Executive chez Keeper Security, de l’offre du marché. « Les PME iront vers ce modèle si elles se voient proposer des solutions simples et accessibles financièrement ». Prêchant pour sa paroisse, il rappelle que la solution de gestion des identités et des mots de passe proposée par Keeper Security est accessible à partir de cinq utilisateurs.
Faute de compétences en interne, une PME peut, par ailleurs, se tourner vers un fournisseur de services de cybersécurité managés ou MSSP (Managed security service provider). Moyennant un forfait mensuel, ce dernier garantit la sécurisation à distance d’un système d’information, de sa supervision en 24/7 à la réponse sur incident.
En automatisant un certain nombre de tâches, l’intelligence artificielle peut également pallier l’absence d’expertise interne. « L’IA permet de détecter des « patterns » et d’établir un pré-verdict, avance Ivan Rogissart. Elle va aussi analyser les comportements des utilisateurs. Un collaborateur qui rédige, sous le radar de la DSI, une présentation PowerPoint avec son terminal personnel se verra bloquer l’accès à des données taguées comme confidentielles. »
« Effet marketing »
Ivan Rogissart met toutefois en garde contre l’effet marketing qui consiste pour certains spécialistes de la cybersécurité à se réclamer à tort du Zero Trust. « Il ne suffit pas de proposer du firewalling et du VPN », tranche-t-il. Dans une note publiée en avril 2021, l’Anssi observe également un engouement autour du Zero Trust, de la part d’éditeurs spécialisés « qui y voient la perspective de nouveaux gains. »
Plus généralement, l’Anssi estime que le modèle Zero Trust s’inscrit dans la logique de « défense en profondeur » qu’elle promeut historiquement. Pour autant, sa mise en œuvre ne peut être que progressive et, si elle suppose le recours à des solutions de sécurité nouvelle, celles-ci doivent s’intégrer dans un système global de défense sans s’y substituer.
L’Agence nationale de la sécurité des systèmes d’information ne cache pas la difficulté de la tâche. Le recours à de telles solutions est non seulement ardu, mais « leur déploiement est susceptible d’entraîner des erreurs d’installation ou de configuration, d’accroître la vulnérabilité des systèmes d’information et de donner aux entreprises un faux sentiment de sécurité. »
Résistance au changement
Au-delà des difficultés de sa mise en œuvre, le Zero Trust bute sur un certain nombre d’obstacles. À commencer par l’existant. « En termes d’architecture, les organisations en France restent encore fortement on-premise, constate Allan Camps. Le Zero Trust aura du mal à s’implanter dans les environnements datés. »
Autre frein majeur : la résistance au changement. Pour les équipes IT, c’est une remise en cause des principes de cybersécurité tels qu’ils ont été enseignés depuis des décennies. Le Zero Trust peut également déstabiliser les utilisateurs qui passent d’une authentification quasi nulle à l’authentification multi-facteurs. « Il faut savoir doser et y aller par étapes, juge Allan Camps. Un tel changement suppose un travail de sensibilisation. »
Pour Gérôme Billois, il y a aussi un problème d’incarnation. « Je ne connais pas de M ou Mme Zero Trust en entreprise. Le RSSI édicte les grands principes du modèle, mais les responsabilités sur le terrain sont ensuite diluées. Il y a le responsable de l’infrastructure, celui des réseaux ou de la gestion des identités. »
La difficile bascule du patrimoine applicatif
Enfin, Gérôme Billois note que les organisations restent souvent au milieu du gué. Il rappelle que le Zero Trust ne se limite pas à l’accès à distance et à la micro-segmentation et qu’il convient d’appliquer cette philosophie au patrimoine applicatif. « Cela fait plus de 30 ans que les applications ont été conçues pour vivre dans des environnements maîtrisés avec un réseau et des utilisateurs connus. »
Si les applications en mode SaaS bénéficient des dispositifs de protection de la plateforme cloud, il faut, selon lui, descendre au niveau de traitement de données. Cela suppose de réécrire une partie du code et d’intégrer des mécanismes d’authentification et de gestion des droits. Quelques éditeurs proposent également de mettre un « proxy » devant les applications, mais l’offre reste émergente.
Quoi qu’il en soit, la migration des applications critiques au modèle Zero Trust s’annonce longue et coûteuse. Le RSSI aura du mal « à vendre » le projet en interne faute de démontrer un véritable ROI. «Une fois migrée, l’application fonctionnera pareil, poursuit Gérôme Billois. Il n’y aura pas d’apport pour le métier, juste la promesse d’un niveau de sécurité plus élevé. » Ce qui est, en soi, déjà une belle promesse.
la newsletter
la newsletter