Qu’est-ce que le Zero-Trust ?

Il encourage les équipes de sécurité des entreprises à moins dépendre du modèle traditionnel de sécurité périmétrique, dont les piliers sont les firewalls et autres connexions VPN, et davantage de nouveaux processus et technologies de sécurité qui peuvent être appliqués directement aux ressources de l’entreprise, quelle que soit leur localisation et l’identité du demandeur d’accès.

Voici une description synthétique des principes sous-jacents à l’approche Zero-Trust :

• Tout réseau est par défaut considéré comme hostile
• Les menaces internes et externes sont présentes à tout moment sur le réseau
• Être à l’intérieur d’un réseau interne n’est jamais un gage de confiance absolue
• Chaque terminal, chaque utilisateur et chaque flux réseau doivent être authentifiés et autorisés
• Les politiques de sécurité doivent être dynamiques et définies à partir d’autant de sources de données que possible

Le modèle Zero-Trust est de plus en plus populaire à mesure qu’un nombre croissant d’organisations s’engagent dans des projets de transformation digitale, qui sont en grande partie incompatibles avec le modèle de sécurité périmétrique.

Pourquoi la confiance accordée à la sécurité périmétrique est-elle insuffisante ?

L’adoption du cloud, le télétravail, le BYOD et d’autres tendances nouvelles créent de plus en plus de scénarios dans lesquelles le routage du trafic via un périmètre de sécurité réseau suffit à établir qu’une demande d’accès provient d’une adresse IP « sûre. »

Ce processus, connu sous le nom de ‘backhauling’ (réacheminement), renforce le mythe selon lequel la sécurité basée sur le périmètre était efficace en toutes circonstances. Or, les innombrables manières utilisées par les acteurs malveillants pour s’introduire dans des réseaux d’entreprise sont bien connues, tout comme le déplacement transversal qu’ils effectuent à travers ces réseaux pour voler des données et déstabiliser des entreprises.

Le fait d’accorder une confiance aveugle à un utilisateur qui a pu obtenir un accès au réseau affaiblit la posture de sécurité d’une organisation, et ce de 4 quatre manières :

• Il ne tient pas compte des vols d’identifiants

Selon le Data breaches Investigations Report 2019 de Verizon : 32% des intrusions étaient le fait d’attaques de ‘phishing’, 29% impliquaient l’utilisation d’identifiants volés

• Il ne tient pas compte des terminaux compromis

Selon l’Internet Security Threat Report 2019 de Symantec, « un appareil sur 36 utilisés dans les organisations était classé comme à haut risque. Ceci comprend des terminaux ‘rootés’ ou ‘jailbreakés’, ainsi que les appareils quasiment certains d’être infectés par un malware. » Des utilisateurs légitimes sur des terminaux compromis peuvent exposer, par accident, des ressources sensibles à des acteurs malveillants via leur propre accès au réseau d’entreprise.

• Il ne tient pas compte du contexte de la demande d’accès

Les adresses IP aident à établir qu’un utilisateur demande un accès à partir d’un « réseau de confiance ». Mais compter sur ces seules données a pour résultat une protection insuffisante des ressources de l’entreprise, car sont ignorées d’autres sources de risques basées sur le type d’utilisateur (service, ancienneté, privilège), sur le contexte de la demande (moment de la journée, terminal, géolocalisation), ainsi que le niveau de risque de la ressource demandée (application financière vs calendrier des vacances).

• Il crée une impression fallacieuse de sécurité

Le mythe de la sécurité derrière le firewall est dangereux. Faute de prendre en compte l’hypothèse que le réseau a déjà fait l’objet d’une attaque, les habituelles bonnes pratiques de sécurité peuvent être remises à plus tard ou ignorées car « personne ne pourra accéder à cette ressource de l’extérieur, et de toutes façons elle se trouve derrière le firewall. »

Source expertise Arnaud Gallut, Directeur des Ventes Europe du sud, Ping Identity

Zero Trust, Dossiers complémentaires sur iTPro.fr et via @itprofr :

1. Le difficile déploiement des infrastructures Zero Trust · iTPro.fr
2. Le Zero Trust est essentiel dès la conception des infrastructures (itpro.fr)
3. Que signifie le Zero Trust pour les MSP ? · iTPro.fr
4. Etat des lieux des pratiques Zero Trust en 2020 · iTPro.fr