[Avis d'expert] "Zero Trust Network", un système de sécurité bien mal nommé

Pour Sébastien Viou,  "Cyber-évangéliste" chez Stormshield, tout l'enjeu du réseau de sécurité Zero Trust Network (ZTN) est de retrouver la confiance, en ne l'accordant qu'avec parcimonie. 

Partager
[Avis d'expert]
Sébastien Viou, expert Cyber chez Stormshield, entreprise de cybersécurité française, filiale du groupe Airbus.

Ni une technologie, ni un réseau (encore moins) et pas non plus une approche abolissant la confiance. Non, vraiment, le ZTN (Zero Trust Network) est tout sauf ce que son nom indique : un périmètre de sécurité non pas absent mais virtuel, autour du trinôme utilisateurs / machines / applications, et surtout une démarche philosophique, qui ne rend pas obsolètes les technologies de cybersécurité existantes. Au contraire.

Le bon vieux temps du périmètre réseau

Il fut un temps où tout était simple : d’un côté, l’intérieur du périmètre réseau de l’entreprise, où tout n’était que confiance (ou presque). De l’autre, tout l’extérieur, perçu par défaut comme une menace. Dans ce cas, de façon schématique, l’accès aux bâtiments de l’entreprise donnait l’accès à son système d’information. Et au besoin, un VPN permettait de se connecter à distance. Sorte d’Eden de la sécurité…

Mais voilà que la transformation numérique est venue jouer les trublions. Et pas des moindres : télétravail (et parfois utilisation familiale des postes professionnels), infrastructures cloud, échanges avec l’écosystème (fournisseurs, partenaires), mise en ligne de nouveaux services numériques, équipements multiples et parfois même personnels, etc. Résultat : qui peut encore parler de périmètre réseau de l’entreprise ? D’autant plus dans une économie post-crise sanitaire qui aura fortement accéléré ces mouvements.

Le trinôme utilisateur/machine/application, nouveau périmètre de sécurité

N’exagérons pas : le Zero Trust Network n’est pas totalement mal nommé. Son principe repose en réalité sur le fait d’homogénéiser la sécurité nécessaire à toutes les connexions, dès lors qu’aujourd’hui, il est possible d’accéder à des applications "on premise" depuis l’extérieur ou à des infrastructures Cloud (IaaS, PaaS, SaaS) depuis un poste situé dans l’entreprise.

En d’autres termes, en l’absence de périmètre réseau d’entreprise formellement identifié, l’approche ZTN consiste à déterminer qui accède à quoi (applications, ressources), quand, et d’où. Car aux côtés de l’identification et de l’authentification de l’utilisateur, il est tout aussi impératif de pouvoir accorder sa confiance à la machine utilisée. Objectif : définir le niveau d’accès autorisé, de façon dynamique, lors d’une connexion. Ainsi, un utilisateur authentifié peut se voir refuser (ou restreindre en consultation par exemple) un accès depuis son poste personnel.

À ce titre, la gestion des accès et des droits accordés peut virer au casse-tête : aujourd’hui, face aux risques cyber de plus en plus forts, il ne s’agit plus de créer quelques profils utilisateurs et de les appliquer à l’ensemble des collaborateurs en fonction de leur niveau dans la hiérarchie, mais bien de créer des profils individuels. Ce qui nécessite aussi l’implication des ressources humaines et de tous les managers, pour éviter les autorisations obsolètes (changement de poste, départ de l’entreprise, etc.).

Les technologies de cybersécurité, bien présentes

Si la gestion des droits et des accès (Identity and Access Management – IAM) est utilisée et améliorée depuis longtemps dans les entreprises (malgré un risque souvent mal adressé de dépendance à l’éditeur de l’annuaire d’entreprise), c’est la multiplication des outils et supports numériques dans l’entreprise qui peut rendre la démarche particulièrement complexe à l’instant T, mais surtout dans le temps.

Rien d’impossible naturellement, mais pour limiter les risques au maximum, la politique du moindre privilège demeure encore le meilleur rempart. Soit, par défaut, appliquer le minimum d’autorisations possibles (accès, consultations, modifications/actions) et les accorder petit à petit, au gré des besoins. De cette façon, aucun risque d’attribuer des droits injustifiés.

En termes techniques, l’approche Zero Trust Network n’a donc rien de révolutionnaire, et s’appuie, pour évaluer le bon niveau de confiance, sur des technologies existantes : pare-feux et proxies pour la protection périmétrique et la microsegmentation, annuaires de confiance et authentification multifacteur, VPN pour le chiffrement des communications, analyse comportementale des machines, etc.

Attention donc aux solutions estampillées « Zero Trust » clés-en-main : le Zero Trust est un concept, conduisant de fait à l’utilisation de multiples solutions. Il est d’ailleurs recommandé, dans la démarche d’adoption, de procéder pas à pas, en exploitant déjà au maximum les capacités des solutions présentes dans l’organisation. Ce qui réduit à la fois les coûts et les risques de maintenabilité.

Dans tous les cas, quels que soient les choix techniques opérés, tout l’enjeu du Zero Trust, comme son nom ne l’indique pas, est bien de retrouver la confiance, en ne l’accordant qu’avec parcimonie.

Sébastien Viou, cyber-évangéliste chez Stormshield

Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Nouvelle.

Sujets associés

NEWSLETTER La Quotidienne

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

LES ÉVÉNEMENTS L'USINE NOUVELLE

Tous les événements

LES PODCASTS

A Grasse, un parfum de renouveau

A Grasse, un parfum de renouveau

Dans ce nouvel épisode de La Fabrique, Anne Sophie Bellaiche nous dévoile les coulisses de son reportage dans le berceau français du parfum : Grasse. Elle nous fait découvrir un écosystème résilient, composé essentiellement...

Écouter cet épisode

Les recettes de l'horlogerie suisse

Les recettes de l'horlogerie suisse

Dans ce nouvel épisode de La Fabrique, notre journaliste Gautier Virol nous dévoile les coulisses de son reportage dans le jura suisse au coeur de l'industrie des montres de luxe.

Écouter cet épisode

Le rôle des jeux vidéo dans nos sociétés

Le rôle des jeux vidéo dans nos sociétés

Martin Buthaud est docteur en philosophie à l'Université de Rouen. Il fait partie des rares chercheurs français à se questionner sur le rôle du jeu vidéo dans nos sociétés.

Écouter cet épisode

Les coulisses d'un abattoir qui se robotise

Les coulisses d'un abattoir qui se robotise

Dans ce nouvel épisode de La Fabrique, Nathan Mann nous dévoile les coulisses de son reportage dans l'abattoir Labeyrie de Came, dans les Pyrénées-Atlantiques, qui robotise peu à peu ses installations.

Écouter cet épisode

Tous les podcasts

LES SERVICES DE L'USINE NOUVELLE

Trouvez les entreprises industrielles qui recrutent des talents

ORANO

Ingénieur Contrôle Commande F/H

ORANO - 09/12/2022 - CDI - La Hague

+ 550 offres d’emploi

Tout voir
Proposé par

Accédez à tous les appels d’offres et détectez vos opportunités d’affaires

41 - BLOIS

ETUDES PRE-OPERATIONNELLES POUR LA CREATION DE LA ZAC DU PARC D'ACTIVITE AU NORD-EST DU COEUR DE L'AGGLOMERATION DE BLOIS.

DATE DE REPONSE 09/01/2023

+ de 10.000 avis par jour

Tout voir
Proposé par

ARTICLES LES PLUS LUS