Zero Trust : la sécurité dans un monde complexe

Nouvelles technologies, nouvelles habitudes, mais aussi nouvelles menaces, le paysage IT a considérablement évolué au cours de la dernière décennie. L’approche que nous avions de la sécurité hier ne suffit plus aujourd’hui. Nous nous sommes entretenus avec Simen Van der Perre, Strategic Advisor chez Orange Cyberdefense Belgium, qui fait partie du groupe Orange, de l’évolution du paysage IT et de ses implications pour votre sécurité.

Evolution du paysage IT

La transition vers le cloud est l’une des premières évolutions ayant conduit à un changement significatif. "Les applications d’une entreprise tournaient autrefois dans son propre centre de données, qui abritait également ses données", se souvient Simen Van der Perre. "A l’époque, il fallait protéger correctement son centre de données contre les intrusions. Aujourd’hui, de nombreuses données d’entreprise se trouvent dans le cloud, par exemple dans Azure, AWS ou une application SaaS. Il s’agit souvent d’une situation hybride, dans laquelle une partie de vos applications tourne sur vos propres serveurs et une partie dans le cloud. C’est déjà beaucoup plus complexe de protéger tout cela des intrus."

De plus en plus d’utilisateurs se sont, en outre, mis à travailler à partir de différents endroits. Ce phénomène s’est accéléré ces dernières années en raison de la crise sanitaire. "Les collaborateurs peuvent désormais accéder aux données et aux applications de leur entreprise aux quatre coins du monde. La transformation digitale des entreprises s’accélère nettement, ce qui présente de nombreux avantages. Mais une fois encore, cela rend la sécurité beaucoup plus complexe". Simen Van der Perre estime d’ailleurs qu’en y ajoutant les nombreux appareils qui doivent se connecter au réseau de l’entreprise, notamment les appareils IoT souvent moins sécurisés, le défi est encore plus grand.

"La situation était plus simple il y a quelques décennies : tout le trafic réseau provenant d’internet n’était pas digne de confiance, nous faisions confiance à notre centre de données et aux utilisateurs, et nous placions les serveurs qui devaient fournir des services à internet dans une DMZ (zone démilitarisée). Nous configurions alors un pare-feu qui bloquait ce qui n’était pas digne de confiance et autorisait ce qui l’était. Une fois les utilisateurs connectés au réseau, nous leur faisions confiance. Cette méthode avait été baptisée ‘Trust but verify’. Mais les utilisateurs, les données et les applications sont aujourd’hui omniprésents, et les menaces peuvent provenir de partout. Nous avons donc besoin d’un modèle de sécurité totalement différent", résume Simen Van der Perre.

Never trust, always verify

Ce nouveau modèle, qui émerge depuis 2010, s’appelle Zero Trust. "Nous ne faisons, par défaut, plus confiance aux utilisateurs", souligne Simen Van der Perre. "Ils n’ont accès aux données et aux applications dont ils ont besoin qu’après vérification. Les utilisateurs doivent donc constamment se légitimer. Nous appelons cette méthode ‘Never trust, always verify’. Avec le modèle Zero Trust, nous vérifions en permanence les utilisateurs. Chaque fois qu’un utilisateur se connecte, nous recueillons divers paramètres sur le contexte. Avec quel appareil se connecte-t-il ? Avec quel navigateur web et à quel endroit ? Si l’un de ces paramètres change lors de la prochaine connexion de l’utilisateur, nous revérifions son identité, par exemple avec une authentification à deux facteurs."

Dans le passé, le périmètre entre la partie de confiance et la partie suspecte du réseau était le principal critère de sécurité. Il y avait un ‘extérieur’ et un ‘intérieur’, et l’idée était d’empêcher les menaces extérieures d’entrer à l’intérieur. Aujourd’hui, le facteur le plus important est l’identité de l’utilisateur. "De nombreux outils de sécurité permettent désormais de prendre en compte l’identité de l’utilisateur dans les règles de configuration", précise Simen Van der Perre.

Architecture Zero Trust

Orange Cyberdefense définit une architecture Zero Trust en trois couches, explique l’expert en sécurité : "Nous avons une couche de sécurité, qui définit toutes sortes de choses : qui obtient quel accès ? Cette couche comprend des outils tels qu’un anti-malware, un pare-feu, un filtrage d’URL, un contrôle de sécurité, le sandboxing, etc. Sous cette couche, nous avons une couche d’identité, qui régit tout ce qui a trait à l’identité des utilisateurs : authentification (multifactorielle), autorisation, authentification unique et provisionnement des utilisateurs. Enfin, tout en dessous, nous avons la couche de réseau. Elle abrite les technologies de réseau classiques telles que le routage, les VPN, le SD-WAN, l’accès invité et le contrôle d’accès au réseau."

Processus continu

Si vous passez à une approche Zero Trust, il est judicieux de toujours partir du volet business, indique Simen Van der Perre : "Tout d’abord, définissez votre surface de protection : quelles données, quelles applications, quels actifs et quels services devez-vous protéger ? Avec Zero Trust, nous travaillons de l’intérieur vers l’extérieur. Nous identifions ensuite les flux de transactions : qui doit accéder à quelles données, où se trouvent ces données et quelles autres applications sont nécessaires ? Ces informations nous permettent alors de configurer les outils au niveau des couches de sécurité, d’identité et de réseau."

"Zero Trust n’est pas un modèle ‘tout ou rien’, qui vous impose de tout protéger d’un coup. Vous pouvez effectuer la transition progressivement. Peu importe que vous commenciez par la couche de sécurité, la couche d’identité ou la couche de réseau", affirme Simen Van der Perre. "Vous pouvez aborder Zero Trust par tous les côtés. Ils finissent de toute manière par converger. Zero Trust n’est donc pas un produit, mais un changement d’état d’esprit. C’est une façon d’envisager la sécurité."

Simen Van der Perre recommande de commencer par quelques composants ayant un impact minime sur l’entreprise. "De quoi vous familiariser avec Zero Trust et avoir la possibilité de faire des erreurs. Vous remarquerez alors, par exemple, que certaines applications dépendent d’autres applications, ou vous apprendrez à réagir dans des situations de sécurité spécifiques. Après ce processus d’apprentissage, je vous conseille d’inclure dans votre approche Zero Trust d’autres éléments peu critiques afin d’affiner encore vos connaissances du produit. Vous pourrez ensuite vous attaquer aux composantes cruciales : vos données et applications critiques."

"Tout n’est toutefois pas terminé après cette configuration, car la sécurité est un processus d’amélioration continue", insiste Simen Van der Perre. "Il est important de surveiller en permanence votre environnement informatique. Que s’y passe-t-il ? Quelles sont les menaces ou les attaques ? Tout le monde dispose-t-il encore des bons droits d’accès ? Ces informations permettront d’ajuster et d’optimiser en permanence la configuration de la sécurité".