Zero Trust: A pragmatic approach beyond the buzzword

While solution providers are using Zero Trust in every possible way, what is the operational reality of this approach, which consists in granting no default trust? During the second plenary session of the InCyber Forum, cybersecurity leaders and heads of specialized associations shared their views and feedback.

Ces derniers mois, le modèle Zero Trust connaît un réel engouement. S’il n’est en rien de nouveau – John Kindervag, alors analyste chez Forrester Research, l’avait formalisé dès 2010 – l’époque lui donne un regain d’intérêt. La montée en puissance du cloud, la généralisation du télétravail à l’ère post-Covid ou l’ouverture des systèmes d’information aux clients, partenaires et sous-traitants conduisent les organisations à changer de stratégie de cybersécurité.

Avec ses données désormais disséminées dans de multiples environnements dont certains situés hors de ses murs, une entreprise ne peut se contenter de dresser des remparts pour protéger son système d’information. Le modèle de château fort s’écroule au profit de celui du hub d’aéroport où l’on contrôle ses différents accès. Le contexte géopolitique actuel, secoué par les soubresauts de la nouvelle administration américaine, appelle, par ailleurs, à redéfinir la notion de confiance.

« Nous sommes passés d’un monde relationnel à un monde transactionnel, analyse Guillaume Tissier, directeur général du Forum InCyber, dont la 17ème édition était placée sous le signe de la confiance. Avant, une poignée de main ou un sourire suffisait à apporter une confiance implicite. Désormais, des moyens techniques et une analyse du contexte sont nécessaires pour objectiver cette confiance. Il faut rassembler un grand nombre d’informations sur une personne pour s’assurer qu’elle est bien ce qu’elle prétend être. »

Un voyage au long cours

C’est tout le sens du modèle Zero Trust qui consiste à n’accorder aucune confiance par défaut. Chaque utilisateur, terminal, objet connecté ou application est une menace potentielle jusqu’à preuve du contraire. « Le Zero Trust repose avant tout sur la confiance contextuelle, explique Florence Mottay, CISO de Zalando. Il s’agit d’accorder l’accès à un utilisateur en fonction d’une combinaison de facteurs liés à son identité et à son comportement. Qui se connecte à quoi, où, quand et par quel moyen ? »

Lors de la deuxième plénière du Forum InCyber, consacrée au Zero Trust [ voir le replay vidéo ], des CISO, RSSI et autres présidents d’associations cyber se sont succédé sur scène pour donner leur vision de cette approche. Alors que la plupart des fournisseurs surfent sur cette tendance et estampillent leurs solutions du tampon Zero Trust, Florence Mottay juge le terme galvaudé. Plus qu’un empilement de technologies, l’approche repose, selon elle, sur un ensemble de principes et « un changement d’état d’esprit. » « Un voyage » qui nécessite beaucoup de temps et d’investissement.

Directeur scientifique et technique à la direction cybersécurité du groupe La Poste, Michel Dubois abonde dans son sens. « Le Zero Trust est avant tout une philosophie qui est malheureusement devenue un buzzword dont s’est emparé le monde commercial ». À ses yeux, le Zero Trust constitue une évolution du principe de défense en profondeur prenant en compte le nouveau cadre technologique. Pour rappel, la défense en profondeur, par opposition à la défense périmétrique, consiste à multiplier les niveaux de sécurité pour empêcher l’accès aux données sensibles.

Approche par les risques

« Comme M. Jourdain dans Le Bourgeois Gentilhomme, beaucoup d’entreprises font du Zero Trust sans le savoir en mettant en place l’authentification mutificateurs, l’accès conditionnel ou la micro-segmentation du réseau », note Michel Dubois. Il rappelle que le NIST (National Institute of Standards and Technology) définit sept principes fondamentaux de la sécurité Zero Trust. En plus des principes précédemment cités, on trouve ceux du moindre privilège, de la sécurité centrée sur les données ou de la surveillance continue.

Pour Michel Dubois, le Zero Trust n’a pas vocation à s’appliquer partout. « Une entreprise de taille trop modeste ou qui n’a pas de fait de move-to-cloud n’a pas besoin d’aller vers le Zero Trust. » De même, il n’est pas nécessaire de déployer toute la panoplie de technologies. « Une organisation peut, par exemple, prioriser l’architecture réseau, puis renforcer la gestion des identités et le chiffrement des flux. » Florence Mottay, CISO de Zalando, confirme cette approche centrée sur les risques. « On ne peut pas protéger ce qu’on ne connaît pas et ce qu’on ne peut pas voir. Il s’agit ensuite de hiérarchiser les chantiers en fonction des coûts et de la capacité à les mettre en œuvre. »

« àA La Poste, nous avons déjà parcouru la moitié du chemin en mettant en place un SIEM, la surveillance des réseaux, la collecte des logs, le chiffrement des flux ou l’accès conditionnel, liste Michel Dubois. En montrant ce qui est déjà fait, il est plus facile de convaincre le Comex de réaliser les dernières étapes ».

Bien sûr, le poids de l’existant pèse et se rappelle aux équipes cyber. « Le Zero Trust est plus facile à mettre en œuvre dans une jeune entreprise, qui est rapidement passé dans le cloud, que dans une organisation presque septuagénaire », affirme Manfred Boudreaux-Dehmer, CIO de l’OTAN.

Nommé il y a moins de deux ans CISO d’Eesti Energia AS, une entreprise publique estonienne spécialisée dans la production d’énergie fondée en 1939, Uko Valtenberg a connu cette résistance au changement. « Les collaborateurs sont habitués à utiliser des services d’une certaine façon et vous, qui venez d’arriver, vous leur demandez de faire autrement. Il ne s’agit pas seul d’introduire de nouvelles technologies mais aussi de changer les processus. Sinon, cela n’a aucun sens. »

Pour assurer son adoption, la mise en place du Zero Trust, aussi complexe soit-elle, ne doit pas dégrader l’expérience utilisateur mais au contraire la simplifier. Dans le domaine de l’authentification, des clés d’accès (passkeys) peuvent, par exemple, remplacer les très pénibles mots de passe. Pour opérer ce travail de simplification, « il s’agit de comprendre les utilisateurs, la façon dont ils accèdent aux données », estime Manfred Boudreaux-Dehmer.

Trois livres blancs pour passer de la théorie à la pratique

Plusieurs livres blancs ont été récemment publiés pour aider les entreprises à prendre la voie du Zero Trust. Le Forum InCyber et le CESIN, club réunissant des responsables de la cybersécurité, se sont associés pour proposer « une analyse claire, concrète et sans langue de bois du Zero Trust. » Ce livre blanc s’appuie sur les retours d’expérience de 200 membres du CESIN et sur la contribution de douze experts cyber. Parmi les entreprises sondées, près de 60 % d’entre elles ont déployé des briques s’apparentant à du Zero Trust tandis que 20 % n’ont encore rien fait.

« Nous avons voulu expliciter le concept, lui donner une réalité pragmatique derrière le buzzword, explique Eric Singer, responsable du cursus cyber à l’ESIEE-IT et membre du CESIN. II s’agit, par ailleurs, de voir comment en faire un succès informatique et plus globalement un succès d’entreprise. » Alors que le terme de Zero Trust peut être perçu comme anxiogène, il lui préfère, comme dans le livre blanc, celui d’Explicit Trust. Ce dernier a le mérite de souligner l’impérieuse nécessité d’un contrôle systématique des accès.

« Association de référence de la sécurité du numérique en France », le Clusif a édité, dès octobre 2023, un guide complet sur le sujet en s’interrogeant : est-ce que le Zero Trust est une évolution de la sécurité ou une révolution ? Responsable sécurité des systèmes d’information à la Casden Banque Populaire et président du Clusif, Benoit Fuzeau insiste sur la gouvernance, l’un des principaux piliers du Zero Trust. « Transverse, l’approche n’est pas seulement technologique et implique tous les acteurs du système d’information. Elle change notamment la manière dont les métiers accèdent aux données. »

Autre association regroupant « des champions français et européens de la cybersécurité et du cloud de confiance », Hexatrust a également publié un livre blanc sur le Zero Trust à l’occasion du Forum InCyber, sous-titré « Du concept à la pratique ». « Au-delà d’une expression marketing, le concept Zero Trust est un changement de paradigme pour la filière cybersécurité », avance la fédération professionnelle.

Après avoir donné des clés de compréhension sur le modèle Zero Trust et quelques bonnes pratiques pour le mettre en place, Hexatrust dresse une cartographie de ses membres qui distribuent des solutions sur les différents piliers du modèle (utilisateurs, terminaux, applications, réseaux, data, infrastructures…). « Le marché comprend un très grand nombre d’offreurs de qualité en France et en Europe, à même de proposer des solutions souveraines », se réjouit Jean-Noël de Galzain, son président.

L’Anssi pointe les vulnérabilités des équipements de bordure

Dans son discours très attendu, Vincent Strubel, directeur général de l’Anssi, a taclé un segment de ce marché cyber. Reprenant les tendances dressées par l’agence dans son récent panorama de la menace, il a évoqué un phénomène nouveau lié aux vulnérabilités dans les équipements de sécurité en bordure des systèmes d’information comme les pare-feu ou les VPN.

« En 2024, plus de la moitié des opérations de cyberdéfense de l’Anssi, constituant son plus haut niveau d’engagement en réponse à incident, sont liées, au départ, à une vulnérabilité dans un de ces équipements, fait observer Vincent Strubel. Je ne vais pas citer les marques. Je pense que tout le monde les a en tête. »

Le patron de l’Anssi juge cet état de fait à la fois moralement inacceptable, « parce qu’on achète souvent assez cher les équipements de sécurité auxquels on fait confiance » mais aussi inquiétant et choquant, puisqu’ils se trouvent être « la porte d’entrée par laquelle viennent les attaquants ».

Le phénomène est d’autant plus grave qu’il fait rapidement boule de neige. « À chaque fois qu’il y a une vulnérabilité de cette nature-là, on voit en quelques heures des centaines, des milliers d’équipements de ce type compromis. Et ça, ce n’est qu’en France. Cela se reproduit de manière identique un peu partout ailleurs. »

Vincent Strubel en appelle à la responsabilité des vendeurs de ces équipements, rappelant que l’Anssi délivre des visas de sécurité. Il profite de son passage au Forum InCyber pour faire passer un autre message aux offreurs : une fonction de sécurité a vocation à être simple. Citant Antoine de Saint-Exupéry : « La perfection est atteinte, non pas lorsqu’il n’y a plus rien à ajouter, mais lorsqu’il n’y a plus rien à retirer ».

À ses yeux, « la complexité n’a de sens que si on est en mesure de la maîtriser. Or, tout le monde n’est pas en capacité de maîtriser la complexité d’une architecture Zero Trust. » Appliquant ce principe à elle-même, l’Anssi vient de lancer un nouveau portail, Messervices.cyber.gouv.fr. Plus lisible, il se destine aux organisations de taille modeste qui pourraient se perdre dans le foisonnement des ressources techniques du site originel.

Pour aller plus loin, écoutez le premier épisode d’InCyber Voice sur le Zero Trust, vu par Henri Pidault, directeur des actifs numériques du Groupe SNCF : https://www.deezer.com/show/1001763881