Le Zéro Trust : quand la confiance ne suffit plus
Culture tech.
Les entreprises doivent reconsidérer les modèles de sécurité traditionnels : la tendance est au « Zero Trust »…
Avec un nombre d’attaques et de fuites de données croissant de manière inquiétante, les dommages sont toujours plus conséquents. Un coût moyen de 4,24 millions de dollars pour une violation de données en 2021 (rapport du Ponemon Institute pour IBM). Soit 10% de hausse d’une année sur l’autre par rapport à 2020 ! Les modèles de sécurité traditionnelle montrent leurs limites. Les entreprises doivent reconsidérer leur approche : la tendance est au « Zero Trust »…
Finie la forteresse imprenable, place au Zero trust
Quoi de mieux que de construire une forteresse autour de son système d’information ?
Cette solution dite « périmétrique » suppose que chaque utilisateur, qui souhaite accéder aux ressources informatiques, soit digne de confiance. Ce n’est plus vraiment le cas. L’efficacité de cette méthode a été mise à mal par l’arrivée d’internet et du cloud.
De plus en plus d’applications sont en mode SaaS, hors des murs de l’entreprise. Les utilisateurs sont devenus mobiles. Ils se connectent indifféremment avec leur tablette, leur PC portable ou leur smartphone. L’accès aux applications et aux services d’une entreprise s’effectue souvent à distance via des réseaux publics dont la sécurité est parfois douteuse.
Ce sont autant de points de vulnérabilité qui peuvent fragiliser un système d’information dans son ensemble. La menace peut venir tout aussi bien de l’intérieur de l’entreprise. Même un collaborateur peut avoir de mauvaises intentions.
Sur les bases de ce constat, le modèle « Zero Trust » a vu le jour. Déjà évoqué au milieu des années 90, on doit la popularisation du terme « Zero Trust » à John Kindervag, Analyste chez Forrester.
Nous devons savoir ce qui se produit dans nos réseaux. Les utilisateurs ne peuvent pas disposer d’accès selon leur bon vouloir… soit ils feront quelque chose de mal par inadvertance […], soit ils accéderont illégalement à des données qui sont en fait à leur portée.John Kindervag Analyste chez Forrester
Un nouveau modèle de sécurité
Le « Zero Trust » part du postulat que l’on ne peut accorder sa confiance à personne.
Tout individu, système ou appareil doit par conséquent être identifié, vérifié et autorisé, qu’il soit à l’extérieur ou à l’intérieur du système d’information.
Pour atteindre ces objectifs, l’approche Zero Trust prône plusieurs principes :
- Le « moindre privilège ». On ne donne l’accès qu’aux ressources nécessaires à l’accomplissement d’une tâche. Un administrateur n’aura par exemple que les accès nécessaires pour administrer le système concerné, mais pas l’accès à toutes les données stockées ;
- L’identification et la vérification des appareils et des utilisateurs via l’utilisation d’une solution de fédération et de certificats numériques ;
- Une authentification forte (multifactorielle) et contextuelle. On s’assure de l’identité de l’utilisateur et on adapte ses niveaux d’accès selon le contexte (emplacement, type de réseaux, type d’appareils, etc.) ;
- Un contrôle permanent des activités d’accès, d’authentification et du trafic réseau. Notamment en repérant les comportements anormaux.
Le chiffrement s’inscrit dans la logique du Zero CONFIANCE
Vérifier et contrôler les accès est un atout majeur, mais ne garantit pas un risque zéro.
La probabilité de failles de sécurité logicielles augmente avec la taille des systèmes d’information. Actes malveillants ou erreur humaine suffisent à compromettre la confidentialité des données. Oubli d’un ordinateur dans un train, perte d’un smartphone ou exposition malencontreuse de données sont malheureusement fréquentes.
Toutes les mesures doivent être prises pour éviter le vol ou la fuite de données, mais il est nécessaire d’envisager que cela puisse malgré tout se produire. Dans ce cas, on doit limiter les conséquences pour l’entreprise et ses clients. Les données doivent donc être rendues inintelligibles pour toute personne qui n’est pas en « droit d’en connaitre ».
C’est là où le chiffrement rentre en jeu. Il va fournir cette ultime parade pour bâtir une architecture de confiance zéro. Les données chiffrées sont inexploitables, même en de mauvaises mains.
En formulant un certain nombre de principes, le Zero Trust offre un cadre utile pour réduire les risques. Cette approche doit guider les entreprises dans leur stratégie de sécurité, mais ce n’est pas une solution clé en main. La sécurité absolue n’existe pas. Les menaces évoluent constamment. La confiance dans un système peut être remise en cause du jour au lendemain. Plus que jamais la méfiance est de mise.
