Zero Trust : 3 méthodes et 5 technologies pour le mettre en oeuvre
En matière de sécurisation des SI, l'approche zero trust est peu restrictive sur les méthodes comme sur les technologies. De la gestion des identités et des accès à la sécurité applicative, nous faisons le point sur quelques-unes des possibilités.
Mobilité, cloud, travail à distance, collaboration interentreprises... Comment maintenir la sécurité d'un SI ? Le zero trust est une réponse potentielle. Pas sous la forme d'une norme ou d'un standard, mais en tant que « philosophie ».
Qui laisse le choix des technologies et des méthodes, aussi longtemps qu'on s'aligne sur un objectif : prendre ses distances avec le modèle de défense périmétrique et la confiance « implicite » qu'il induit. À commencer par celle fondée sur la localisation physique des réseaux.
En 2020, le NIST (agence gouvernementale américaine) publiait des lignes directrices. Elles font aujourd'hui référence.
L'ANSSI, entre autres, les reprend. Notamment concernant les trois principaux axes envisageables pour intégrer les principes du zero trust dans les systèmes d'information .
Premier grand angle : les identités - et les privilèges associés - en tant que composantes clés. Une approche souvent mise en oeuvre sur les réseaux ouverts, avec accès invité ou ceux sur lesquels évoluent des appareils non gérés. Dans ce cadre, l'accès aux ressources est contingent à l'identification de l'utilisateur. D'autres éléments peuvent entrer en ligne de compte, comme l'état de l'appareil employé et le contexte des demandes d'accès (heure, géolocalisation).
Deuxième angle : la microsegmentation, c'est-à-dire le regroupement de ressources en fonction de leur rôle, de leur sensibilité et de leur exposition aux menaces. Puis leur cloisonnement, de sorte que le filtrage des flux devient indépendant des adresses IP des ressources. La microsegmentation peut aussi se faire au niveau des hôtes.
Troisième angle : les périmètres établis par logiciel. Cette implémentation s'établit communément sur la couche applicative par un déploiement de type agent/passerelle. Elle implique généralement les concepts de SDN (réseau défini par logiciel) et d'IBN (administration réseau à renfort d'IA).
À ces trois axes, l'ANSSI ajoute quelques recommandations. Parmi elles, utiliser des moyens d'authentification à l'état de l'art (on considérera le MFA comme un prérequis) et centraliser les journaux de sécurité dans un SIEM (système de gestion des événements et des informations de sécurité).
Lire aussi : Olivier Hoberdon - DSI Bouygues SA : « Avec NIS 2, on ne peut plus se cacher et on ne peut plus jouer avec le feu »
Celui-ci pourra, aux côtés d'autres sources telles que les gestionnaires d'identités, les magasins de certificats et les flux de renseignement sur les menaces, contribuer à alimenter une brique fondamentale des architectures zero trust : les moteurs algorithmiques qui décident ou non d'autoriser les accès.
Du SIEM au PAM : qui pour s'outiller ?
Le SIEM fait partie des marchés que Gartner analyse dans le cadre de son Magic Quadrant.
En 2021, le cabinet américain a distingué six fournisseurs comme « leaders ». Nommément, Exabeam, IBM, Securonix, Splunk, Rapid7 et LogRhythm.
> Exabeam a droit à quelques bons points sur la partie archivage, la modularité, la recherche des logs et l'analyse comportementale. IBM, sur la simplicité de déploiement et de gestion.
> Securonix : sur la data privacy et la prise en charge des flux de threat intelligence.
> Splunk : sur les modèles de tarification et l'intégration UEBA (analyse du comportement des utilisateurs et des entités)/SOAR (orchestration, automatisation et réponse).
> Rapid7 : pour son service managé de détection et de réponse.
> LogRhythm : sur la gestion des cas et l'accompagnement des projets pilotes.
Autre composante du zero trust à faire l'objet d'un Quadrant : la protection des terminaux (EPP : Endpoint Protection Platforms). Avec là aussi six fournisseurs « leaders » : Microsoft, Crowdstrike, Trend Micro, SentinelOne, McAfee et Sophos.
> Microsoft a droit à des bons points sur la couverture fonctionnelle de son produit et l'unification de ses outils (console cloud, API et data lake communs).
> Crowdstrike : pour la « légèreté » de son agent unique et la simplicité d'usage de sa console de gestion. Trend Micro, sur l'intégration avec les outils de sécurité tiers et la souplesse des options de contrôle des applications.
> SentinelOne : sur la qualité du support ainsi que la prise en charge des conteneurs et du serverless.
> McAfee : sur la gestion de la surface d'attaque et la réponse aux incidents.
> Sophos : pour les capacités d'investigation des menaces et la protection contre les ransomwares.
Sur la partie PAM (gestion des accès à privilèges), Gartner a considéré deux composantes comme obligatoires. D'une part, le PASM (gestion des comptes à privilèges et des sessions associées).
D'autre part, le PEDM (gestion des actions de ces comptes sur les systèmes cibles, en filtrant les commandes et en orchestrant les élévations de privilèges).
Gestion des secrets : un critère facultatif
La gestion des secrets était un critère facultatif, comme le PTA (automatisation des tâches à privilèges) et la gestion des accès distants. Là encore, six « leaders » sont ressortis : CyberArk, BeyondTrust, One Identity, Thycotic, Centrify et ARCON.
> CyberArk était, au moment, de l'examen des offres, le seul des « leaders » à proposer, en natif, du CIEM (gestion des identités et des accès à privilèges en multicloud).
> BeyondTrust avait pour lui la qualité de son PEDM sur UNIX/Linux, ainsi que ses fonctionnalités de découverte de comptes et de reporting.
> One Identity : la gestion des OS Windows embarqués et les capacités OCR de son enregistreur de sessions graphiques.
> Thycotic, sa gestion du cycle de vie des comptes et son add-on étendant le contrôle aux consoles web et aux bases de données.
> Centrify : l'authentification M2M et les capacités de connexion des annuaires d'entreprise.
> ARCON : l'expérience client (déploiement, intégration) et le support (uniforme, en 24/7 de base).
Les solutions APM
Les solutions de gestion de la performance applicative (APM) ont aussi droit à un Quadrant. Pour la première fois, avec l'édition 2022, la sécurité a été intégrée comme composante du marché.
Gartner a effectivement inclus un critère « fonctionnalité de sécurité applicative via un agent ou un framework commun ».
Dans la pratique, peu de fournisseurs ont droit à un bon point dans le domaine. Chez les « leaders », Dynatrace en fait partie. Chez les autres, Cisco se distingue avec la passerelle entre ses produits Secure Application et AppDynamics.
On trouve aussi du zero trust sous l'ombrelle SSE (Secure Service Edge). En l'occurrence, le ZTNA (sécurisation de l'accès distant aux applications privées). Gartner le considère comme une brique fondamentale du marché aux côtés du SWG (sécurisation de l'accès web par proxy) et du CASB (sécurisation de l'accès au SaaS par proxy et API).
Il a aussi pris en considération des capacités « additionnelles », dont certaines peuvent trouver placer dans une stratégie zero trust. Comme le FWaaS (firewall as a service), l'UEBA et le CSPM (gestion de la posture de sécurité cloud).
L'approche « tout-en-un » des fournisseurs peut sembler attractive sur le papier, reconnaît l'ANSSI. Surtout au regard du risque de perte de contrôle que présente le recours à de multiples solutions logicielles. Mais elle « ne dispense pas d'une réflexion autonome sur l'état de l'art de toutes les déclinaisons possibles de la démarche ».
Sur le même thème
Voir tous les articles Cybersécurité