Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Zero Trust : Concept marketing ou véritable apport pour la cybersécurité ?

octobre 2023 par Marc Jacob

À une époque où les cyberattaques se multiplient et où les données sensibles deviennent la monnaie la plus précieuse du monde numérique, la confiance aveugle dans les réseaux informatiques traditionnels est devenue une vulnérabilité majeure. C’est dans ce contexte que le concept de Zero Trust (Confiance Zéro) émerge comme un nouveau paradigme de cybersécurité. Comme le disait Lénine « La confiance est bonne, mais la vérification est meilleure. » Nos experts Mahfoud Bouzidi, Consultant en sécurité Senior chez Synetis et Jules Haddad Manager chez Wavestone considère que ce principe est intéressant dans la mesure où il renforce la sécurité. Toutefois il faut bien faire attention et se méfier des sirènes des éditeurs…

Jules haddad, Wavestone

Le Zero Trust, ou "Confiance Zéro" en français, est un concept de cybersécurité qui remet en question l’idée traditionnelle de faire confiance à tout ce qui se trouve à l’intérieur d’un réseau d’entreprise. Contrairement aux modèles de sécurité traditionnels qui se concentrent sur la protection du périmètre du réseau, le Zero Trust adopte une approche plus rigoureuse en refusant par défaut l’accès aux ressources internes, qu’il s’agisse d’utilisateurs, d’appareils ou d’applications.

Le principe fondamental du Zero Trust est de ne faire confiance à personne, qu’il s’agisse d’un utilisateur interne, d’un appareil ou d’une application. Au lieu de cela, chaque demande d’accès est évaluée et vérifiée de manière approfondie avant d’être autorisée. Cela signifie que même si un utilisateur est connecté au réseau interne de l’entreprise, il ne peut accéder qu’aux ressources spécifiques dont il a besoin pour effectuer son travail, et rien de plus.

Mahfoud Bouzidi, Synetis

Selon Mahfoud Bouzidi le Zero Trust est un ensemble de principes de conception et non une solution ou un produit. C’est un modèle de sécurité informatique qui bouge les défenses vers les actifs de l’entreprise, loin des périmètres, pour protéger l’infrastructure et les flux de travail de l’entreprise. Il n’accorde aucune confiance implicite aux actifs et aux sujets, que ce soit à l’intérieur ou à l’extérieur du réseau de l’entreprise. Cette approche exige une authentification constante, une autorisation et une vérification avant d’accorder l’accès aux ressources. Autrement dit, « Ne faites confiance à personne, vérifiez toujours ». Effectivement reprend Jules Haddad en ajoutant que le concept du "ZERO TRUST" repose sur trois principes fondamentaux visant à renforcer la sécurité et à minimiser les risques :
1. Vérification systématique : Evaluez minutieusement le risque avant d’accorder l’accès et exigez une assurance forte en matière d’identité et de posture de sécurité.
2. Surveillance et adaptation : Supervisez constamment les accès accordés et réagissez rapidement aux activités suspectes tout en ajustant les niveaux d’accès en conséquence.
3. Moindre privilège : Accordez uniquement des privilèges nécessaires à un moment donné.

Le Zero Trust une philosophie où tout le monde est suspecte

Zero Trust est bien plus qu’une simple approche de sécurité. C’est une philosophie qui repose sur la prémisse que, dans un monde connecté et numérique, aucune entité, qu’il s’agisse d’utilisateurs, d’applications, de dispositifs ou de réseaux, ne peut être automatiquement digne de confiance. Contrairement à la pensée traditionnelle qui suppose que tout ce qui se trouve à l’intérieur du périmètre réseau est sûr, Zero Trust remet en question cette confiance implicite. En d’autres termes, Zero Trust part du principe "never trust, always verify" (ne jamais faire confiance, toujours vérifier).

Zero Trust Simple effet marketing où véritable avancée en matière de cyber sécurité ?

Jules Haddad estime que de nombreux acteurs sur le marché utilisent cette notion comme un argument pour mettre en avant des innovations. Toutefois, il existe de réels enjeux de sécurité sous-jacents qui nécessitent une attention particulière et qui ne sont pas toujours correctement traités par les entreprises (cf. les trois principes fondamentaux évoqués précédemment). Pour sa part, Mahfoud Bouzidi considère que s’il est vrai que certains acteurs du marché de la cybersécurité se sont contentés de reprendre des solutions existantes et de simplement renommer le tout comme étant des implémentations du Zero Trust. Néanmoins, la philosophie du Zero Trust n’est en aucun cas un simple effet marketing. Elle présente plutôt une avancée significative en matière de cybersécurité. À l’heure actuelle, avec les menaces en constante évolution et les attaques de plus en plus sophistiquées, l’approche traditionnelle de défense périmétrique n’est plus suffisante. Le modèle Zero Trust élimine l’idée de confiance implicite et suppose qu’une menace peut provenir de n’importe où, à la fois à l’extérieur, mais aussi à l’intérieur du réseau.
Cette approche permet également de répondre aux nouveaux enjeux organisationnels tel que le télétravail / la mobilité ou l’ouverture toujours plus importante des Systèmes d’Information vers des tiers comme les partenaires et fournisseurs.
Enfin, l’évolution vers le Cloud nécessitait aussi de revoir la manière de gérer la sécurité des ressources et données, ce à quoi répond le Zero Trust.

Le Zero Trust repose sur 4 principes fondamentaux

Pour mettre en œuvre Zero Trust, il est essentiel de comprendre ses principes fondamentaux :
1. Zéro Confiance par Défaut : Le principe de base de Zero Trust consiste à ne faire confiance à personne ou à rien par défaut, quel que soit son emplacement dans le réseau. Chaque entité doit être soumise à une vérification rigoureuse avant d’être autorisée à accéder à des ressources sensibles.
2. Vérification Continue : La confiance doit être établie et maintenue en permanence. Les utilisateurs et les dispositifs sont constamment surveillés pour détecter les comportements anormaux ou les menaces potentielles. L’accès est révoqué dès qu’une anomalie est détectée.
3. Least Privilege (Privilèges Minimaux) : Les utilisateurs et les dispositifs ne se voient accorder que les privilèges strictement nécessaires pour accomplir leur tâche. Ainsi, même en cas de compromission, les dégâts potentiels sont limités.
4. Micro-segmentation : Le réseau est segmenté en zones plus petites, ce qui limite la surface d’attaque et permet une meilleure isolation des ressources critiques.
Concernant la micro-segmentation Mahfoud Bouzidi considère que c’est une technologie clé dans l’architecture Zero Trust, car elle permet l’isolation et le contrôle du trafic. En effet, elle divise un réseau en de nombreux petits segments isolés les uns des autres. Chaque segment est traité comme un point de contrôle distinct, avec des autorisations d’accès distinctes. Cela signifie que le trafic ne peut pas circuler librement dans tout le réseau ; il est plutôt confiné à l’intérieur de ces micro-segments.
En limitant les interactions entre les segments, la micro-segmentation réduit la superficie d’attaque. Même si un acteur malveillant parvient à pénétrer dans un segment, il ne pourra pas se déplacer latéralement dans le réseau sans l’autorisation appropriée.
Enfin, lorsque le réseau est divisé en micro-segments, il devient plus facile de surveiller et de détecter les comportements anormaux dans chaque segment. Cela permet aux équipes de sécurité de réagir rapidement et de cibler leurs efforts.

Les Composants du Zero Trust
Pour mettre en œuvre Zero Trust, plusieurs composants sont nécessaires :
1. Authentification Multifacteur (MFA) : L’authentification à plusieurs facteurs renforce la sécurité en exigeant plus qu’un simple mot de passe. Les méthodes d’authentification peuvent inclure des empreintes digitales, des cartes à puce, des codes PIN, etc.
2. Gestion des Identités et des Accès (IAM) : Une gestion efficace des identités et des accès garantit que seules les personnes autorisées ont accès aux ressources appropriées.
3. Firewalls Application-Aware : Ces pare-feu vont au-delà des règles de filtrage traditionnelles en inspectant le trafic à un niveau applicatif, ce qui permet de détecter les menaces plus précisément.
4. Analyse Comportementale : L’analyse des comportements des utilisateurs et des dispositifs permet de repérer rapidement les activités suspectes.
5. Chiffrement : Le chiffrement protège les données en transit et au repos, même si elles tombent entre de mauvaises mains.
Jules Haddad rappelle qu’avant tout il est essentiel de souligner que l’approche doit être adaptée aux besoins spécifiques d’activité et de sécurité de chaque entreprise. Toutefois, dans l’idéal une architecture Zero Trust serait constituée d’une brique centrale de prise de décision, s’appuyant sur des politiques définies par l’entreprise. Cette brique prendrait des décisions d’autorisation d’accès, en récupérant des informations depuis plusieurs composants distincts (identité, devices, réseau, etc.). Cette brique de décision serait également alimentée par des services de veille sur les menaces, d’évaluation des risques. Selon Mahfoud Bouzidi une architecture idéale de Zero Trust peut comporter plusieurs composants et stratégies, mais l’idée principale est de ralentir tout attaquant potentiel le plus possible, en ne lui laissant pas la possibilité de pouvoir initier des attaques en dehors du contexte qu’il aurait réussi à compromettre.

Dans l’idéal, les éléments suivants sont respectés :
• Identity Assurance : Chaque utilisateur (y compris les administrateurs) et chaque appareil doivent être correctement authentifiés avant de pouvoir accéder à chacune des ressources. Cela signifie qu’il faut mettre en place une gestion des identités et des accès.
• Principe du moindre privilège : Les utilisateurs et les appareils ne reçoivent que les droits de base minimum nécessaires pour effectuer leurs tâches. Si des droits plus élevés sont nécessaires, ils doivent être expressément accordés et retirés immédiatement une fois la tâche terminée (principe du « Just In Time » privilèges).
• Contrôle d’accès contextuel : Les autorisations d’accès dépendent du contexte. Par exemple, un appareil non sécurisé pourrait avoir des droits d’accès très limités même si l’utilisateur est correctement authentifié.
• Micro-Segmentation : Le réseau est divisé en plusieurs zones sécurisées, les plus petites possibles. Si un utilisateur ou un appareil est compromis, le risque est limité à cette petite zone au lieu de l’ensemble du réseau.
• Protection des terminaux : La protection des terminaux et leur maintien en condition de sécurité sont essentiels, cela passant par l’application des mises à jour de sécurité (OS, matériel et logiciel) sans délai et une solution de détection et réponse aux menaces (EDR / XDR).
• Évaluation constante des politiques de sécurité : Il s’agit de disposer d’une supervision continue des événements afin de pouvoir détecter des signaux faibles, l’état du réseau doit être constamment surveillé pour détecter toute activité suspecte, mais cela s’applique également aux terminaux d’accès, aux pare-feu… Cela implique la mise en place d’outils d’analyse et de surveillance de sécurité.
• Chiffrement des données : Les données doivent être chiffrées, à la fois en transit et au repos, de manière à garantir leur confidentialité et intégrité. Cela laisse peu de place aux attaquants pour récupérer des informations sensibles même en cas d’attaque réussie.

Zero Trust dans la Pratique

De nombreuses organisations ont déjà adopté Zero Trust pour renforcer leur sécurité. Par exemple, Google a mis en œuvre Zero Trust avec son modèle "BeyondCorp", qui remplace la notion de périmètre réseau par la confiance basée sur l’identité.
Le Zero Trust implique d’avoir des objectifs spécifiques et mesurable
Zero Trust offre une série d’avantages majeurs, notamment :
• Réduction des risques de violation de données : En supprimant la confiance implicite, Zero Trust réduit la surface d’attaque potentielle.
• Protection contre les menaces internes : Même les utilisateurs internes peuvent représenter une menace, et Zero Trust les surveille de près.
• Amélioration de la conformité réglementaire : Zero Trust aide les organisations à se conformer aux réglementations strictes sur la protection des données.
Mahfoud Bouzidi estime que pour mettre en œuvre opérationnellement Zero Trust à long terme dans une organisation, il est essentiel d’avoir des objectifs spécifiques et mesurables, et une stratégie en ce sens :
En ciblant un ensemble d’applications critiques qui correspondent à des critères spécifiques, vous pouvez faire progresser l’application de la philosophie Zero Trust de manière tangible sur un scope défini.
De plus, les applications les plus importantes fournissent d’excellentes occasions d’apprendre, et si elles sont correctement sécurisées, elles peuvent renforcer la confiance dans les avantages de l’implémentation du Zero Trust dans l’organisation. Ces applications sont souvent celles dont les décideurs sont les plus conscients, donc les progrès réalisés sur celles-ci donneront une vision concrète du retour sur investissement de l’implémentation des principes du Zero Trust.
• Parfois, vous pouvez avoir un besoin impératif d’adopter les principes de sécurité du Zero Trust. Cela peut être dû à un mandat de conformité ou de réglementation, ou suite à un audit de sécurité. Si votre organisation a récemment vécu un incident lié à la sécurité qui nécessite des améliorations, cela peut également être un ²déclencheur pour adopter une architecture Zero Trust.
• Cherchez des équipes qui sont prêtes à prendre des risques : ce sont vos champions. L’adoption du Zero Trust implique un renversement de la logique habituelle d’accès, ce qui peut entraîner des difficultés initiales. En travaillant avec des équipes prêtes à faire face à des problèmes techniques et organisationnels, vous développez des champions du Zero Trust qui seront précieux lorsque vous élargissez l’adoption à d’autres parties de l’entreprise.

Et Jules Haddad complète ces points :
• Gestion renforcée des identités : Avoir une identité pour tout.
• Authentification renforcée : Aujourd’hui il est devenu essentiel de renforcer l’authentification en exigeant au moins une double authentification.
• Gestion renforcée de la posture de sécurité : Chaque point d’accès et ressource doit avoir une identité, et son statut de conformité doit être connu en permanence et corrigé automatiquement.
• Application de l’accès basé sur les risques : Les critères des politiques d’accès doivent prendre en compte des signaux faibles.
• Autorisation basée sur les rôles : Accorder une autorisation à l’utilisateur en fonction de son rôle au sein de l’entreprise.
• Segmentation avancée des ressources : Segmentation du réseau en micro-périmètres en fonction des exigences minimales de communication.
• Évaluation continue et ajustement des risques utilisateur : Identifier les événements qui doivent déclencher une réévaluation de l’accès.
• Configuration des capacités de détection et de réponse automatisée : Mise en place d’un outil de détection et de réponse en temps réel basée sur les exigences de surveillance du framework.
• Mise en œuvre des cas d’usage de détection et de réponse automatisée : Mise en œuvre de cas d’usage de détection basés sur des signaux faibles.

Jules Haddad rappelle que de nombreux éditeurs capitalisent sur ce concept pour promouvoir leurs solutions. Toutefois, il est essentiel de noter que le Zero Trust englobe à la fois des aspects liés aux outils mais aussi une composante organisationnelle.

Un marché qui commence à se démocratiser

Pour Mahfoud Bouzidi, globalement, les entreprises sont aujourd’hui au fait des principes et des avantages d’une architecture Zero Trust, et il y a, que ce soit en France ou ailleurs, beaucoup d’initiatives sur à minima une partie de l’IT, soit en termes d’expérimentation sur de l’existant, soit sur les nouveaux projets de sécurité.
Nous sommes donc passés d’un phénomène de mode il y a quelques années, à un marché en plein essor qui représente le futur du modèle de sécurité pour la majorité des cas d’usage.
Ainsi, en termes de comparaison, notre expérience montre que les organisations publiques se sentent assez peu investies comparé aux entreprises privées, probablement pour des questions de moyens mis en disposition et de la résistance aux changements. Les choses bougent cependant, notamment après la pandémie, et du fait de la prise de conscience du besoin de segmentation.
Effectivement rebondi Jules Haddad, de nombreux clients matures en cybersécurité manifestent un intérêt pour le Zero Trust, se traduisant par des initiatives telles que des programmes, des cadrages ou des projets spécifiques. Cependant, les implémentations demeurent généralement partielles en se concentrant sur des périmètres spécifiques ou des cas d’usage particuliers.

Des cas d’usages qui vont de la protection des accès à celle de la donnée

A l’heure actuelle, les projets des organisations sont souvent orientés sur trois éléments explique Mahfoud Bouzidi :
● Renforcement de la protection des accès des utilisateurs nomades aux ressources de l’entreprise, notamment suite à la pandémie, qui a été un puissant moteur à ce sujet ;
● Projets de micro-segmentation avec cartographie des flux des applications et limitation des autorisations de trafic ;
● Projets de protection de la donnée, qu’elle soit stockée en interne ou dans le Cloud, ou qu’elle soit en transit.
Pour sa part Jules Haddad recense deux cas d’usages les plus fréquents que ce soit pour le grand public ou les entreprises, sont :
  Le « Zero Trust Access » : Afin de fournir un accès sécurisé aux applications, aux données et aux services en se basant sur une évaluation continue des risques.
  La micro-segmentation : Afin de diviser le réseau en segments plus petits et à appliquer une politique de sécurité basée sur le principe du moindre privilège à chacun de ces segments.

Les projets de migration vers le Cloud de l’IT incitent à passer au Zero Trust

Mahfoud Bouzidi considère que les projets de migration dans le Cloud sont d’excellents vecteurs pour adopter une architecture Zero Trust. En effet, la remise en cause du modèle traditionnel des données et ressources présentes dans le périmètre de l’entreprise, ou plutôt, ce périmètre grossissant pour prendre en compte des services par définition hors de ce périmètre de protection, nécessite des adaptations de l’architecture de sécurité les protégeant. En général, c’est le meilleur moment pour partir d’une page blanche au moins sur le périmètre migré dans le cloud, et implémenter une démarche Zero Trust. Jules Haddad ajoute que l’intégration du modèle ZERO TRUST dans une migration vers le Cloud peut être facilitée par la compatibilité des technologies. Cependant, réaliser les deux simultanément peut potentiellement poser des défis d’adhérence entre elles, rendant donc la gestion plus complexe.

Vers la fin des VPN ?

Chez Synetis, nous sommes plutôt en accord avec ce constat concernant l’usage historique de ce que l’on appelle le « VPN SSL », accordant un accès aux utilisateurs au réseau interne de l’entreprise depuis l’extérieur sans réauthentification une fois connecté, par un mécanisme de confiance implicite explique Mahfoud Bouzidi. Une des applications majeures du Zero Trust, est le « Zero Trust Network Architecture », soit un accès beaucoup plus granulaire, sans confiance explicite, donné aux utilisateurs et aux ressources, que ce soit en dehors ou à l’intérieur de l’entreprise, par l’intermédiaire de politiques limitant le scope réseau accessible idéalement uniquement aux machines, voire aux services sur ces machines, avec lesquelles l’utilisateur est censé interagir. Enfin, l’évolution vers le Cloud a également tendance à pousser à l’abandon du VPN, la notion d’interne et d’externe étant de plus en plus floue. Cependant, il existera toujours des cas d’usage où un VPN est nécessaire (ou exiger) pour accéder à une ressource critique, cela peut par exemple concerner des OIV ou des OSE pour des éléments critiques d’administration. Par contre, Jules Haddad estime que ce n’est pas une remise en question, mais plutôt une évolution : Le Zero Trust élève la sécurité du VPN en introduisant des fonctions de sécurité : restrictions d’accès strictes, authentification forte, accès conditionnels, etc.

L’identité numérique pierre angulaire du Zero Trust ?

Pour Mahfoud Bouzidi, la sécurisation des identités devient indispensable avec l’ouverture des SI sur le cloud et le nombre d’attaques croissant. L’approche Zero Trust vient donc en réponse à cela.
Au-delà de la vérification du matériel utilisé, il est important de s’assurer de l’identité réelle de l’utilisateur, de lutter contre l’usurpation d’identité et le vol d’identifiants. L’authentification multi-facteur reste à ce jour le mécanisme le plus déployé afin de sécuriser l’identité.
Le développement de l’IA et du Machine Learning vient également renforcer la protection des identités avec l’ajout de l’analyse comportementale permettant ainsi de déclencher des politiques d’accès spécifiques en cas de suspicion, voire même la coupure immédiate des accès.

Zero Trust indispensable pour démocratiser le télétravail

Le télétravail est un driver majeur des politiques liées au Zero Trust, comme indiqué par la question au-dessus concernant les accès VPN des utilisateurs analyse Mahfoud Bouzidi. Plutôt que de se fier à l’emplacement d’un utilisateur (à l’intérieur ou à l’extérieur du réseau physique de l’entreprise), nous allons nous appuyer sur l’identité confirmée de l’utilisateur et la sécurité de son appareil pour octroyer l’accès à une ressource, en présumant qu’il est toujours « externe ». Cela permet aux utilisateurs d’avoir une même expérience de travail à l’extérieur ou intérieur de l’entreprise. En ces termes, la notion même de politique de sécurité spécifiquement pour le télétravail disparaît, car elle sera identique pour un utilisateur interne ou externe. Ce qui simplifie la mise en place d’une politique de télétravail d’un point de vue opérationnel. Bien sûr, le Zero Trust est pertinent dans ce contexte car en télétravail l’utilisateur n’est pas directement connecté au SI de l’entreprise, il est donc essentiel de renforcer l’authentification et le contrôle des accès pour les utilisateurs, car ils sont plus exposés à des risques de malveillance explique Jules Haddad.

Le Zero Trust un parcours sans fin ?

Cependant, l’adoption de Zero Trust n’est pas sans défis. Parmi les obstacles courants, citons la complexité de la mise en œuvre, les coûts associés et les contraintes opérationnelles. De plus, de nombreuses organisations doivent repenser leur infrastructure et leur culture pour s’adapter à ce nouveau modèle de sécurité. Jules Haddad rappelle que le ZERO TRUST englobe à la fois des aspects liés aux outils mais aussi une composante organisationnelle significative ce qui ne permet pas d’avoir une solution toute faite. D’autant plus au-delà de la mise en œuvre d’un outil c’est une transformation profonde du SI d’une entreprise et de ses processus. Bien sûr, reprend Mahfoud Bouzidi : « Une des erreurs que nous constatons chez certains de nos clients est de considérer le Zero Trust comme « une solution ». Erreur compréhensible car les entreprises de sécurité parlent de « solutions Zero Trust » pour leurs produits.
Or, ce sont des principes, et non une solution directe et clé en main. Et nous avons vu précédemment que cela impliquait de nombreux sujets à mettre en œuvre.
Ainsi, une architecture Zero Trust peut sembler d’autant plus intimidante qu’elle s’applique à presque toutes les facettes de la sécurité dans l’entreprise. Néanmoins, l’idée n’est pas d’en appliquer tous les tenants d’un coup, mais bien de progressivement faire adhérer les équipes et les utilisateurs au changement de paradigme. Comme indiqué au-dessus, une bonne manière de commencer et de sélectionner les applications les plus critiques et d’en faire une vitrine, et/ou les équipes les plus ouvertes au changement, et d’en faire vos champions pour évangéliser dans le reste des services. »
Si le parcours de la mise en place du Zero Trust en entreprise peut paraitre long, le jeu en vaut sans doute la chandelle car cette philosophie offre de nombreux atouts pour les entreprises et les utilisateurs finaux. Ainsi selon Mahfoud Bouzidi, pour les entreprises, le gain en termes de sécurité et en agilité est énorme, notamment dans un contexte avec de plus en plus de ressources hors périmètre de l’entreprise. Cela permet également de proposer de nouveaux scénarios pour répondre aux besoins de demain. Pour les utilisateurs, le gain est double : d’une part, ils peuvent avoir une continuité d’usage, que ce soit en entreprise ou hors entreprise, d’autre part, les accès sont souvent plus simples que les solutions historiques, car la plupart des contrôles de sécurité fonctionnent en arrière-plan. Pour Jules Haddad , tout d’abord, elles simplifient la gestion des solutions réseau et de sécurité, ce qui favorise l’alignement entre les départements IT et cybersécurité. De plus, elles contribuent à améliorer la cybersécurité en répondant aux nouveaux défis tels que le cloud, l’accès à distance et les cyberattaques. Enfin il y a un réel enjeu sur la réduction des coûts.

Cependant les pirates rodent…

Jules Haddad rappelle qu’il est essentiel de comprendre que le modèle Zero Trust comme tout autre modèle de sécurité n’est pas une barrière infaillible contre les cybercriminels. Cependant, il contribue significativement à la réduction des risques face aux menaces actuelles. Il est important de garder à l’esprit qu’il existe toujours une possibilité pour un attaquant de trouver une vulnérabilité pour compromettre une ressource. Effectivement reprend, Mahfoud Bouzidi, même si le modèle Zero Trust, améliore la protection quand il est déroulé dans l’architecture de sécurité de l’entreprise, il n’est pas parfait. Les erreurs de configuration, bien que moins impactantes si on considère l’inhibition des mouvements latéraux, existent toujours. Également, même si on restreint les accès d’un utilisateur uniquement à des ressources qui lui sont dédiées, s’il a accès à des ressources critiques, il est toujours possible d’abuser de son accès pour récupérer ces données, ou les chiffrer, ou tout autre acte malveillant. Comme dit plus haut, les scénarios d’attaque classiques s’appliquent toujours, comme les attaques de spear phishing envers des utilisateurs ayant des accès à des ressources critiques, par l’intermédiaire de la plateforme d’emails, le but n’étant pas de se « faire passer pour l’utilisateur », mais « de devenir l’utilisateur », c’est à dire faire faire des actions à l’utilisateur dans sa bulle sécurisée, comme lancer des éléments dangereux dans son environnement.

Vers un Zero Trust porté par l’IA ?

À mesure que la technologie évolue, Zero Trust évolue également. Les avancées dans l’IA et l’automatisation rendront la vérification continue plus efficace, tandis que de nouvelles menaces émergentes exigeront des adaptations constantes. Ainsi le Zero Trust est bien plus qu’une tendance en matière de sécurité. C’est une approche essentielle pour sécuriser les environnements informatiques dans l’ère numérique. En remettant en question la confiance aveugle, en établissant des vérifications continues et en minimisant les privilèges, le Zero Trust offre semble-t-il une défense robuste contre les cyber-menaces. Bien que sa mise en œuvre puisse être un défi, les avantages qu’il propose en termes de sécurité et de conformité valent largement l’investissement. Dans un monde où la confiance doit être gagnée à chaque instant, Zero Trust reste la clé pour sécuriser l’avenir numérique. Toutefois, Mahfoud Bouzidi considère qu’il est probable que le marché continue de s’étendre, notamment avec une compréhension toujours plus forte des principes du Zero Trust par l’ensemble des organisations mais une exposition aux menaces cyber qui ne diminuera pas.

Zero Trust : un déploiement par itération

Pour mettre en place un modèle Zero Trust, plusieurs mesures de sécurité doivent être déployées. Cela comprend l’authentification multifactorielle, qui ajoute une couche supplémentaire de sécurité en demandant aux utilisateurs de fournir des informations supplémentaires pour prouver leur identité. L’utilisation de certificats numériques pour authentifier les appareils est également recommandée. De plus, l’isolation des segments de réseau et la surveillance continue des activités des utilisateurs et des appareils sont essentielles pour détecter les comportements suspects et les menaces potentielles.

Le Zero Trust est devenu de plus en plus populaire ces dernières années en raison de l’évolution des menaces de sécurité. Les attaques sophistiquées et ciblées sont devenues monnaie courante, et les entreprises doivent prendre des mesures pour protéger leurs données et leurs ressources sensibles. Il offre une approche proactive de la cybersécurité en considérant chaque demande d’accès comme potentiellement dangereuse, ce qui permet de réduire les risques et de limiter l’impact des violations de sécurité.

En résumé, le Zero Trust est un modèle de cybersécurité qui remet en question l’idée traditionnelle de faire confiance à tout ce qui se trouve à l’intérieur d’un réseau d’entreprise. En adoptant une approche de confiance zéro, les entreprises peuvent renforcer leur sécurité en limitant l’accès aux ressources internes et en évaluant chaque demande d’accès de manière approfondie. Bien que la mise en place d’un modèle Zero Trust puisse être complexe, les avantages en termes de sécurité et de protection des données en valent la peine.

Pour déployer ZeroTrust en entreprise, voici quelques étapes à suivre :

1. Évaluation des besoins : Identifiez les besoins spécifiques de votre entreprise en matière de sécurité et de gestion des accès. Déterminez quels utilisateurs et quels appareils auront besoin d’un accès au réseau.

2. Planification : Élaborez un plan détaillé pour le déploiement de ZeroTrust. Cela devrait inclure la configuration du réseau, la mise en place des politiques de sécurité et l’intégration avec les systèmes existants.

3. Sélection de la solution : Choisissez une solution ZeroTrust qui répond aux besoins de votre entreprise. Recherchez des fournisseurs réputés et comparez les fonctionnalités, les performances et les coûts.

4. Configuration : Configurez votre solution ZeroTrust en suivant les instructions fournies par le fournisseur. Cela peut inclure l’installation de logiciels, la configuration des règles de sécurité et la création de comptes d’utilisateurs.

5. Test et déploiement : Effectuez des tests approfondis pour vous assurer que la solution fonctionne correctement. Une fois les tests réussis, déployez la solution sur l’ensemble du réseau de votre entreprise.

6. Formation des utilisateurs : Fournissez une formation aux utilisateurs finaux sur l’utilisation de ZeroTrust et les bonnes pratiques en matière de sécurité. Assurez-vous qu’ils comprennent comment accéder au réseau en toute sécurité et comment signaler tout problème éventuel.

7. Surveillance et maintenance : Surveillez régulièrement le système ZeroTrust pour détecter les éventuelles vulnérabilités ou les activités suspectes. Effectuez les mises à jour et les correctifs nécessaires pour maintenir la sécurité du réseau.

N’oubliez pas que chaque entreprise est unique, il est donc recommandé de consulter un professionnel de la sécurité informatique pour vous aider à mettre en place ZeroTrust de manière spécifique à vos besoins.

Un marché qui semble juteux pour les éditeurs

De plus en plus d’entreprises et fournisseurs se bouscules au portillon pour proposer des solutions et des outils qui peuvent aider les organisations à mettre en œuvre une architecture Zero Trust. Ils offrent généralement des produits de sécurité qui permettent de mettre en place des contrôles d’accès granulaires, une authentification renforcée, une surveillance continue, etc., conformément aux principes du Zero Trust. Voici quelques-uns des éditeurs et des fournisseurs qui sont actifs dans ce domaine :
Il existe plusieurs entreprises qui proposent des solutions de Zero Trust. Certaines des entreprises les plus connues dans ce domaine sont Akamai Technologies, Cisco, Cloudflare, CrowdStrike, Google Cloud, Microsoft, Okta, Palo Alto Networks, Symantec et Zscaler. Ces entreprises offrent des solutions de sécurité avancées qui permettent de mettre en place des politiques de confiance minimale, en vérifiant l’identité et l’intégrité de chaque utilisateur et appareil qui accède au réseau. D’autres entreprises proposent des solutions de Zero Trust comme par exemple, Fortinet, Forcepoint, Check Point Software, F5 Networks, Symantec (maintenant NortonLifeLock) : CyberArk, Cybereason, Proofpoint, Trend Micro, Centrify, McAfee, Netskope, Varonis BeyondTrust, RSA Security, Wallix…. Et la liste n’est pas exhaustive car tout le monde se bouscule au portillon pour avoir un part du gâteau… Chacune de ces entreprises offre des solutions de sécurité et de gestion des accès qui peuvent aider à mettre en œuvre des stratégies de Zero Trust. Comme toujours, il est recommandé de faire des recherches supplémentaires pour trouver les entreprises et les solutions qui répondent le mieux à vos besoins spécifiques en matière de Zero Trust. Il est important de noter que la sélection d’un fournisseur ou d’une solution dépendra des besoins de sécurité spécifiques de votre organisation, de votre infrastructure existante et de votre budget. Avant de choisir un éditeur ou un fournisseur pour votre stratégie Zero Trust, il est recommandé de réaliser une évaluation approfondie de vos besoins et de consulter des experts en cybersécurité pour obtenir des recommandations personnalisées.
Dans tous les cas, il est important de considéré que le concept de Zero Trust en matière de cybersécurité ne repose pas sur un éditeur ou un fournisseur unique, mais plutôt sur une approche de cybersécurité globale qui remet en question la confiance implicite traditionnelle accordée aux utilisateurs et aux dispositifs au sein d’un réseau. Il s’agit d’une approche qui suppose que les menaces peuvent exister à l’intérieur et à l’extérieur du réseau, et donc, aucune entité n’est automatiquement de confiance.
Il est important de noter que la mise en œuvre d’une stratégie Zero Trust nécessite souvent une combinaison de produits et de solutions adaptés aux besoins spécifiques de chaque organisation. Par conséquent, le choix des éditeurs et des fournisseurs dépendra des besoins de sécurité particuliers de votre entreprise et de votre infrastructure informatique existante. Jules Haddad considère que plusieurs tendances se dessinent. D’une part, nous constatons une consolidation croissante dans les solutions Zero Trust. Les éditeurs cherchent à consolider leurs offres pour proposer des solutions plus complètes et intégrées. D’autre part, nous observons que de nombreuses solutions IT, telles que le Cloud, intègrent désormais leurs propres mécanismes de sécurité permettant une implémentation plus étendue du Zero Trust (Accès conditionnels, MFA, etc.). Il ne faut toutefois pas perdre de vue qu’ une partie de l’accroissement de ce marché, dont la taille reste à définir, est une illusion d’optique due au « rebranding » de solutions existantes en tant que « solutions Zero Trust » conclut Mahfoud Bouzidi…


• Bibliographie
• BeyondCorp - A New Approach to Enterprise Security
• NIST Special Publication 800-207 - Zero Trust Architecture
• [The Zero Trust Security Model : A Comprehensive Guide]


Articles connexes:

Voir les articles précédents