Le principe du Zero Trust a pour but de maximiser la sécurité des systèmes d’information en ne faisant confiance à personne et en surveillant en permanence.
Le Zero Trust commence à devenir un principe largement adopté par les entreprises à travers le monde vu le nombre des risques de sécurité qui ne cessent de peser sur les organisations. Aux États-Unis on compte déjà 30% des grandes entreprises qui ont une forme de Zero Trust en production, tandis que presque 45% ont un plan en cours d’implémentation.
le principe du Zero Trust a été publié pour la première fois dans une thèse de recherche à l’université de Stirling par Stephen Paul Marsh en 1994. Ce principe a été repris en 2010 par John Kindervag qui était vice-président chez Forrester et qui a apporté une nouvelle perspective de ce principe. Par ailleurs, Google est considérée la première organisation à avoir implémenté ce principe via le framework BeyondCorp, c’est à partir de ce moment que ce principe a gagné en popularité et a commencé à intéresser les différentes entreprises.
Le principe du Zero Trust n’est pas une solution en soi, c’est plutôt un principe qui nécessite la mise en place de plusieurs mécanismes et solutions de sécurité afin de permettre une sécurité maximale du système d’information et de lutter contre les accès non autorisés, que ce soit de l’interne ou de l’externe. en d’autres termes ce principe vise permettre à n’importe quel utilisateur, depuis n’importe quel appareil, accéder n’importe quelle ressource (application, données..) depuis n’importe où d’une façon sécurisée. Pour réussir à implémenter ce principe, il ne faut jamais faire confiance, vérifiez toujours! de cette façon on peut s’assurer qu’à chaque instant seules les personnes autorisées ont accès à notre système.
Les principaux composants pour implémenter un framework Zero Trust sont :
- L’authentification forte : L’authentification forte rend la compromission des moyens authentification très difficile en imposant au moins deux facteurs différents d’authentification. Si par exemple votre mot de passe est compromis un attaquant n’aura pas systématiquement accès, vu qu’il lui faudra de casser l’autre facteur authentification, ce qui lui complique considérablement la tâche.
- Le principe du moindre privilège : Avec ce principe on limite au minimum les droits d’accès des utilisateurs aux seuls privilèges nécessaires pour remplir leurs missions.
- La micro-segmentation : Diviser et segmenter le réseau en plusieurs micro-segments avec différentes conditions d’accès, cela limite considérablement la possibilité d’accès Est-Ouest sur votre réseau par des personnes malveillantes.
- Le monitoring continue : Surveiller en temps réel vos réseaux, appareils, utilisateurs, applications et activités suspectes afin de faire face aux menaces à temps.
Une des références les plus riches concernant ce principe est la publication NIST SP 800-207 sous le titre « Zero Trust Architecture » publié le 11 août 2020, ce document pourrait vous aider considérablement à définir votre stratégie pour implémenter le Zero Trust, il est composé de trois parties principales :
- Gouvernance de l’identité
- Micro-segmentation
- infrastructure réseau et périmètres définis par logiciel
En matière de solutions sur le marché, plusieurs sociétés du numérique proposent des frameworks pour le Zero Trust (Akamai Technologies, Appgate, Cisco, Citrix, Cloudflare, Google, Juniper Networks, Netskope, Palo Alto networks …)
Afin de réussir l’implémentation du Zero Trust, il est préférable de procéder par étapes :
- Identifier les biens sensibles (données, applications, matériel…)
- Identifier les flux de communication avec les biens sensibles.
- Définir des micro-segments.
- Implémenter les politiques du Zero Trust (Les bonnes personnes ont les bons droits d’accès aux applications et données dont ils ont besoin).
- Monitorer d’une façon continue l’environnement Zero Trust afin de détecter les activités suspectes.
Après l’exploration de ce principe innovant qui vise à assurer une sécurité renforcée des systèmes d’information, je vous propose de démystifier quelques erreurs communes quand on parle du Zero Trust:
Zero trust est un produit!
Zero trust est un principe, qui peut être atteint en implémentant un framework comprenant plusieurs technologies et solutions de sécurité. Encore une fois, le Zero Trust n’est pas un produit ni une solution technique.
Zero Trust est seulement pour les grandes entreprises!
Absolument faux, quelle que soit la taille de l’entreprise, elle fait et fera l’objet d’un nombre grandissant d’attaques et d’incidents de sécurité, le Zero Trust pourrait être une démarche pour en faire face indépendamment de la taille de votre entreprise.
Zero Trust impacte l’expérience utilisateur négativement!
L’expérience utilisateur ne devrait pas être impactée avec l’implémentation du Zero Trust, car ce principe apporte seulement des briques de sécurité afin de protéger l’entreprise et l’utilisateur lui-même. Le fait d’imposer l’authentification forte aux utilisateurs au lieu d’une simple authentification par mot de passe ne devrait pas être considéré comme impactant l’expérience utilisateur par exemple, car c’est une mesure qui devrait être en place même sans le Zero Trust, au moins pour les accès sensibles ou à privilèges.
Zero Trust remplace votre infrastructure existante!
Les composantes du zero trust sont probablement déjà en place au sein de votre entreprise sans vous en rendre compte, en effet, les systèmes IAM, Firewalls DLP, NAC, SIEM etc. font partie des briques de sécurité qui constituent l’architecture Zero Trust. C’est plutôt adapter ou compléter votre infrastructure existante qui vous permettra d’implémenter le Zero Trust et pas un remplacement de votre infrastructure.
Zero Trust est incompatible avec le Cloud!
Absolument pas, en effet les différentes composantes du Zero Trust sont désormais déployées en masse sur le Cloud (e.g. Les solutions IAM sont de plus en plus sur le cloud, le nombre d’applications sur le cloud est en augmentation exponentielle …), la transition vers le cloud n’affecte en rien l’implémentation du Zero Trust.
One response
[…] Penser à mettre en place une architecture Zero Trust. […]