Zero Trust : secret d’une sécurité infaillible ?

Cybersécurité
Zerologon Active Directory

Existe-t-il un moyen infaillible pour se prémunir de la multitude de risques auxquels s’exposent toute entreprise ou institution dont l’activité dépend en partie ou totalement du numérique ?

La sécurité informatique est devenue un enjeu majeur dans le paysage des entreprises et organisations – cela quelle que soit la taille et le secteur dans lequel celles-ci évoluent. Un climat de plus en plus oppressant se dessine à l’horizon.

Nous avons pu le constater ces derniers mois avec cette vague d’attaques ciblant principalement les centres hospitaliers, ou encore plus récemment ce début d’année par l’exploitation de la vulnérabilité connue des hyperviseurs VMware ESXi.

Le développement de cyberattaques massives – type ransomware, vol de données sensibles ou encore les risques inhérents au Cloud computing – rend indispensable la mise en place de mesures préventives, détectives et réactives afin de garantir l’intégrité des systèmes d’information (SI) modernes qui, bien souvent, accusent un lourd retard dans ce domaine.

Mais existe-t-il un moyen infaillible pour se prémunir de la multitude de risques auxquels s’exposent toute entreprise ou institution dont l’activité dépend en partie ou totalement du numérique ?

Vers une nouvelle ère cyber sécuritaire

La multiplication et l’ingéniosité des cyberattaques – de plus en plus sophistiquées – a fini par avoir raison du modèle traditionnel consistant à sécuriser un environnement de manière purement périmétrique (via le déploiement d’un pare-feu pour filtrer les accès entre le réseau local et Internet). Pour faire une analogie assez simple, nous pourrions comparer ce modèle à « un château-fort ».

Jadis, il suffisait de montrer patte blanche au moment du « Qui va là ? » lors de l’abaissement du pont-levis pour s’introduire dans l’enceinte de la place forte et, par la suite, accéder à toutes les richesses que renfermait la cité, des plus profondes caves aux plus hautes tours.

Cette approche est devenue obsolète avec l’avènement de « l’informatique en nuage », du travail en mobilité et de l’Internet des objets – qui ont rendu les frontières de l’entreprise bien plus poreuses. La transformation numérique, amorcée par les entreprises désireuses de rester compétitives dans un monde hautement concurrentiel, les a obligées à amorcer l’utilisation de nouveaux outils offrant de multiples usages… amplifiant également les failles de sécurité. Ce nouvel environnement – beaucoup plus ouvert et évolutif – impose une réflexion plus poussée sur l’identité et le contrôle des accès.

De nos jours, nous pourrions imaginer évoluer dans un monde numérique où les frontières n’ont plus vraiment d’importance. Des millions d’individus pourraient alors aisément se mouvoir d’un pays à l’autre en empruntant de multiples vols. Cela impliquerait de nombreux flux discontinus, qu’il deviendrait très compliqué de maîtriser – tant par l’aspect technique que pour la sécurité des territoires. C’est la raison pour laquelle, dans chaque aéroport où il leur faudra embarquer, il leur sera impérativement nécessaire de franchir différentes étapes – justifiant de leur légitimité à se trouver là où ils sont.

De l’enregistrement des bagages, au contrôle de sécurité, puis à une nouvelle vérification de leur carte d’embarquement afin de leur permettre de s’installer confortablement dans leur appareil avec pour destination… les nuages. Chaque point fera l’objet d’un contrôle puis d’une approbation pour accorder l’accès au prochain checkpoint ; jusqu’à arriver à la destination finale escomptée. Et il en sera de même, du simple passager au pilote et cela sans aucune distinction de privilège.

Cet exemple permet de mieux comprendre les problèmes liés aux modifications du périmètre de sécurité face à la multitude de requêtes que peut subir, aujourd’hui, un SI éclaté. Ces dernières années, le concept de sécurité « Zero Trust » a suscité beaucoup d’attention en tant que moyen de protéger les réseaux et les données contre les cybermenaces. Mais qu’est-ce que la confiance zéro exactement, et peut-elle vraiment fournir une « sécurité infaillible » ?

Le doute méthodique comme base de la philosophie

Pour tenter de répondre à cette question, reprenons la définition de l’adjectif infaillible : « qui obtient un résultat certain, qui est efficace à coup sûr ». Difficile d’imaginer dans le milieu informatique une solution miracle qui ne proposerait aucune faille à exploiter par un attaquant, et dans laquelle nous pourrions placer toute notre confiance.

Cette notion de confiance est l’essence même de la philosophie « Zero Trust » – et le doute est de mise à tous les niveaux. C’est d’ailleurs en partant de ce postulat que la démarche a vu le jour, introduite par Forrester, il y a maintenant une dizaine d’années.

Elle est basée sur l’idée que les organisations ne doivent pas automatiquement faire confiance aux initiés, tels que les employés, les sous-traitants et les partenaires commerciaux, car ils peuvent être compromis. Il faut considérer que la menace cyber est omniprésente, aussi bien à l’extérieur qu’à l’intérieur, et qu’il ne faut donc faire confiance à personne…

C’est la raison pour laquelle « Zero Trust » défend ces trois principes fondamentaux :

> Toutes les entités ne sont pas fiables par défaut (vérification explicite) ;

>  L’accès au moindre privilège est appliqué (le minimum doit être accordé) ;

> Une surveillance complète doit être déployée (suppose une constante violation).

C’est ainsi que la réduction du risque s’en trouvera considérablement accrue. Il faudra veiller à n’autoriser les accès – aux différentes strates du SI – que par le biais unique d’une politique instruite par une vérification systématique et contextuelle. Il faudra donc s’interroger constamment sur :
« qui accède à quoi, pourquoi, comment et d’où ? ».

Ce qui pourrait donner en pratique : un utilisateur identifié accède bien, via un appareil conforme et sécurisé, aux données et/ou aux applications sur lesquelles il dispose de droits préalablement définis et cela depuis un emplacement de confiance.

Ce principe est, alors, appliqué dans un plan de contrôle complet pour fournir plusieurs couches de défense : cela commence par le renforcement et la vérification de l’identité. Veillez à utiliser des méthodes d’authentification fortes incluant l’utilisation de mots de passe uniques et complexes renforcées par une authentification multifacteur (MFA ou 2FA).

Vient ensuite l’évaluation de la conformité de la sécurité des points de terminaison des appareils – le matériel accédant à vos données (y compris les systèmes IoT en périphérie). Cette surveillance s’appliquera en outre à vos applications, qu’elles soient locales ou dans le cloud, en tant que points d’entrée à vos informations.

Ensuite, il vous faudra mettre en œuvre une segmentation du réseau (en divisant celui-ci en segments – plus petits et dédiés). Ainsi, il sera plus difficile pour un attaquant de se déplacer latéralement pour tenter d’accéder à vos systèmes et données sensibles. Données qui devront elles-mêmes être protégées, sous forme structurée et non structurée – où qu’elles se trouvent.

Le tout doit faire l’objet d’une surveillance continue par le biais d’outils tels que des systèmes de détection et de prévention des intrusions (SIEM, IDS/IPS) pour analyser le trafic et identifier les activités inhabituelles ou suspectes. Enfin, il faudra veiller à maintenir régulièrement les logiciels et les systèmes à jour, grâce aux derniers correctifs de sécurité pour réduire le risque d’exploitation des vulnérabilités.

Dans l’ensemble, la sécurité « Zero Trust » est une approche précieuse pour renforcer les défenses d’un SI. En vérifiant strictement l’identité et la fiabilité de toutes les demandes d’accès, les organisations peuvent réduire considérablement le risque de cyberattaques et de violation de données. Mais cela peut encore paraître très abstrait pour qui voudrait se lancer dans l’aventure. Un certain nombre de modèles de sécurité pourront se voir déployer, en complément, pour commencer à renforcer chaque brique du SI. Ils garantiront que les bonnes pratiques de sécurité y sont appliquées.

Néanmoins, il est important de rappeler qu’aucune mesure de sécurité n’est totalement infaillible. C’est pourquoi, les données de l’entreprise doivent être dupliquées régulièrement en appliquant le principe de la sauvegarde 3-2-1 (trois copies de chaque fichier, sur deux supports différents et une sauvegarde hors site) ; la mise en place d’une sauvegarde déconnectée du réseau de l’entreprise est aussi une nécessité.

En effet, un attaquant peut détruire vos sauvegardes locales et distantes, s’il a pris le contrôle de votre solution de backup. La mise en place d’un système de Plan de Reprise d’Activité (PRA) ou de reconstruction rapide du SI vous permettra aussi de réduire considérablement la durée nécessaire pour relancer votre production, en cas d’attaque.

Finalement, un dernier point ne doit pas être négligé : impliquez au quotidien l’ensemble de vos employés. Vos collaborateurs sont une des principales cibles des cybercriminels.

Il est donc important de leur fournir une formation sur la sécurité informatique, d’effectuer régulièrement des simulations d’attaques (de type phishing par exemple) et de leur rappeler les bonnes pratiques à suivre en leur mettant à disposition une charte informatique.


Auteur
Jean-Christophe Lelong est consultant Sécurité Opérationnelle chez Synetis
En savoir plus 

Livres blancs A la Une