Zero trust : de la confiance implicite à la vérification permanente

Le marché mondial du « zero trust » a représenté un volume d’affaires de 22,06 milliards de dollars en 2021. Il devrait atteindre les 59,43 milliards de dollars en 2028, suivant un taux de croissance annuel composé de 15,2 % sur la période, selon une étude du cabinet Grand View Research.

Ce marché est tiré par l’adoption croissante des technologies cloud et par la multiplication des terminaux au sein des entreprises, dans un contexte de hausse du télétravail et de « BYOD » (Bring your own device). L’infrastructure informatique des organisations devenant de plus en plus complexe, la menace de brèches internes et de cyberattaques externes dues à des accès non autorisés s’est en outre accrue au fil des ans.

Pour répondre à cette préoccupation, les fournisseurs de solutions de sécurité mettent en avant l’approche zero trust, dont un des fondements est la « dépérimétrisation ». « La démarche zero trust s’oppose au principe même de sécurité périmétrique, de firewalls et de réseaux cloisonnés. Avant, les DSI savaient définir leur périmètre, il n’y avait pas de cloud et peu d’utilisateurs qui se connectent depuis l’extérieur à travers un VPN par exemple. Aujourd’hui, les nouveaux usages viennent bouleverser tout cela », déclare Jean-Christophe Touvet, animateur du groupe de travail « Zero Trust » du Clusif (groupe de travail lancé fin 2021) et dirigeant de la société Simplos.

Classification et inventaire : deux étapes importantes

Le zero trust tire donc son origine du fait que la notion de sécurité périmétrique est aujourd’hui insuffisante, tout comme les règles de sécurité implicites et statiques qui n’évoluent pas au cours du temps. « Nous étions auparavant sur des modèles de sécurité où, une fois qu’un utilisateur avait accès à une partie du SI, cet accès n’était pas remis en cause pendant toute la durée de sa connexion », note Jean-Christophe Touvet.

Mais attention, le zero trust est tout sauf un projet uniquement technique ou d’infrastructure. « Il s’agit d’un nouveau paradigme qui rapproche la cybersécurité des processus métier et des données. La confiance numérique dans l’identité d’une personne ou d’un appareil ne doit pas être implicite. Cela signifie qu’elle doit toujours être vérifiée, au plus près des ressources à protéger », complète Jean-Christophe Touvet.

Concrètement, la démarche de zero trust est indissociable d’une démarche de classification des données et des services ou fonctionnalités qui gravitent autour d’elles. « La classification des données implique de s’intéresser de très près aux utilisateurs, qu’ils soient producteurs ou consommateurs de data. Il faut pour cela procéder à un inventaire global des ressources du SI, des données, des usages, des utilisateurs et des appareils », analyse Jean-Christophe Touvet.

Zero trust et IA : une relation naturelle

Pour pouvoir être efficace, une démarche zero trust doit reposer sur un moteur de sécurité centralisé prenant en compte le risque de manière continue. En permanence, les accès utilisateurs doivent être évalués par rapport à un certain nombre de facteurs. Il peut tout d’abord s’agir du mode de connexion (authentification forte ou login/mot de passe), du genre de données auxquelles la personne souhaite accéder, des appareils depuis lesquels elle se connecte et l‘environnement, c’est-à-dire ce qu’il se passe par ailleurs (par exemple des alertes qui se produisent à proximité…). L’idée est de créer des règles de sécurité dynamiques.

« Dans un schéma idéal, le rôle de l’IA est fondamental, car nous nous basons sur une sécurité intelligente. Quand vous devez analyser des Go de données dans le but de détecter des attaques et faire évoluer les règles de sécurité en continu, vous n’avez pas d’autre solution que de recourir à l’IA. Le modèle théorique du zero trust est donc difficilement envisageable sans cette technologie », note Jean-Christophe Touvet.

Mais dans la réalité des faits, il est souvent nécessaire d’implémenter une approche zero trust par étapes, sauf dans le cas d’une création d’entreprise où la mise en conformité est possible dès le démarrage. « Dans le cadre d’une mise en place progressive du zero trust, il est possible de se passer provisoirement de l’IA. Lorsque vous définissez une feuille de route en matière de cybersécurité, vous réalisez un état des lieux et réfléchissez à des quick wins. Ces derniers peuvent passer par exemple par un moteur d’accès conditionnel qui n’est pas forcément branché sur le SOC. Mais, in fine, la cible idéale du zero trust passe par des mécanismes d’automatisation, d’orchestration et d’intelligence pour faire face aux menaces », analyse Jean-Christophe Touvet.

Zero trust : cas d’usage IT, OT et IoT

Sur un périmètre IT traditionnel, comprenant des utilisateurs et des processus, tous les cas d’usage peuvent être couverts par le zero trust. Mais dès qu’il s’agit de problématiques liées à la smart city, à l’industrie / OT ou à l’IoT autonome, où il y a plus de matériel, il faut être beaucoup plus prudent. « En effet, peut-on appliquer le principe du zero trust à des véhicules autonomes ? Peut-on appliquer des règles de sécurité en continu, avec une analyse de tous les événements qui se produisent, sur des objets en mouvement ? Je ne sais pas si c’est possible… Il faut donc trouver des compromis », explique Jean-Christophe Touvet.

Autre réserve de l’animateur du groupe de travail du Clusif : quand des entreprises sont soumises à certaines exigences réglementaires, comme la Loi de programmation militaire pour les opérateurs d’importance vitale (OIV), et que la sécurité périmétrique leur est imposée, le zero trust doit éviter de casser cette logique. « Il faut dans ce cas voir le zero trust comme un moyen de renforcer la sécurité périmétrique imposée par la réglementation, et faire de la défense en profondeur ».

Pour réussir une démarche de zero trust, il est nécessaire de la considérer comme un véritable projet d’entreprise. « Il est important de bien comprendre la logique globale de cette approche et de bénéficier d’un soutien au plus haut niveau de l’entreprise pour arriver à la cible », conclut Jean-Christophe Touvet.