[Avis d'expert] "Zero Trust Network", un système de sécurité bien mal nommé

Pour Sébastien Viou,  "Cyber-évangéliste" chez Stormshield, tout l'enjeu du réseau de sécurité Zero Trust Network (ZTN) est de retrouver la confiance, en ne l'accordant qu'avec parcimonie. 

Partager

TESTEZ GRATUITEMENT L'ABONNEMENT À L'USINE NOUVELLE

15 jours gratuits et sans engagement

[Avis d'expert]
Sébastien Viou, expert Cyber chez Stormshield, entreprise de cybersécurité française, filiale du groupe Airbus.

Ni une technologie, ni un réseau (encore moins) et pas non plus une approche abolissant la confiance. Non, vraiment, le ZTN (Zero Trust Network) est tout sauf ce que son nom indique : un périmètre de sécurité non pas absent mais virtuel, autour du trinôme utilisateurs / machines / applications, et surtout une démarche philosophique, qui ne rend pas obsolètes les technologies de cybersécurité existantes. Au contraire.

Le bon vieux temps du périmètre réseau

Il fut un temps où tout était simple : d’un côté, l’intérieur du périmètre réseau de l’entreprise, où tout n’était que confiance (ou presque). De l’autre, tout l’extérieur, perçu par défaut comme une menace. Dans ce cas, de façon schématique, l’accès aux bâtiments de l’entreprise donnait l’accès à son système d’information. Et au besoin, un VPN permettait de se connecter à distance. Sorte d’Eden de la sécurité…

VOS INDICES

source

logo indice & contations

Le contenu des indices est réservé aux abonnés à L’Usine Nouvelle

Je me connecte Je m'abonne

Mais voilà que la transformation numérique est venue jouer les trublions. Et pas des moindres : télétravail (et parfois utilisation familiale des postes professionnels), infrastructures cloud, échanges avec l’écosystème (fournisseurs, partenaires), mise en ligne de nouveaux services numériques, équipements multiples et parfois même personnels, etc. Résultat : qui peut encore parler de périmètre réseau de l’entreprise ? D’autant plus dans une économie post-crise sanitaire qui aura fortement accéléré ces mouvements.

Le trinôme utilisateur/machine/application, nouveau périmètre de sécurité

N’exagérons pas : le Zero Trust Network n’est pas totalement mal nommé. Son principe repose en réalité sur le fait d’homogénéiser la sécurité nécessaire à toutes les connexions, dès lors qu’aujourd’hui, il est possible d’accéder à des applications "on premise" depuis l’extérieur ou à des infrastructures Cloud (IaaS, PaaS, SaaS) depuis un poste situé dans l’entreprise.

En d’autres termes, en l’absence de périmètre réseau d’entreprise formellement identifié, l’approche ZTN consiste à déterminer qui accède à quoi (applications, ressources), quand, et d’où. Car aux côtés de l’identification et de l’authentification de l’utilisateur, il est tout aussi impératif de pouvoir accorder sa confiance à la machine utilisée. Objectif : définir le niveau d’accès autorisé, de façon dynamique, lors d’une connexion. Ainsi, un utilisateur authentifié peut se voir refuser (ou restreindre en consultation par exemple) un accès depuis son poste personnel.

À ce titre, la gestion des accès et des droits accordés peut virer au casse-tête : aujourd’hui, face aux risques cyber de plus en plus forts, il ne s’agit plus de créer quelques profils utilisateurs et de les appliquer à l’ensemble des collaborateurs en fonction de leur niveau dans la hiérarchie, mais bien de créer des profils individuels. Ce qui nécessite aussi l’implication des ressources humaines et de tous les managers, pour éviter les autorisations obsolètes (changement de poste, départ de l’entreprise, etc.).

Les technologies de cybersécurité, bien présentes

Si la gestion des droits et des accès (Identity and Access Management – IAM) est utilisée et améliorée depuis longtemps dans les entreprises (malgré un risque souvent mal adressé de dépendance à l’éditeur de l’annuaire d’entreprise), c’est la multiplication des outils et supports numériques dans l’entreprise qui peut rendre la démarche particulièrement complexe à l’instant T, mais surtout dans le temps.

Rien d’impossible naturellement, mais pour limiter les risques au maximum, la politique du moindre privilège demeure encore le meilleur rempart. Soit, par défaut, appliquer le minimum d’autorisations possibles (accès, consultations, modifications/actions) et les accorder petit à petit, au gré des besoins. De cette façon, aucun risque d’attribuer des droits injustifiés.

En termes techniques, l’approche Zero Trust Network n’a donc rien de révolutionnaire, et s’appuie, pour évaluer le bon niveau de confiance, sur des technologies existantes : pare-feux et proxies pour la protection périmétrique et la microsegmentation, annuaires de confiance et authentification multifacteur, VPN pour le chiffrement des communications, analyse comportementale des machines, etc.

Attention donc aux solutions estampillées « Zero Trust » clés-en-main : le Zero Trust est un concept, conduisant de fait à l’utilisation de multiples solutions. Il est d’ailleurs recommandé, dans la démarche d’adoption, de procéder pas à pas, en exploitant déjà au maximum les capacités des solutions présentes dans l’organisation. Ce qui réduit à la fois les coûts et les risques de maintenabilité.

Dans tous les cas, quels que soient les choix techniques opérés, tout l’enjeu du Zero Trust, comme son nom ne l’indique pas, est bien de retrouver la confiance, en ne l’accordant qu’avec parcimonie.

Sébastien Viou, cyber-évangéliste chez Stormshield

Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Nouvelle.

Partager

SUJETS ASSOCIÉS
LES ÉVÉNEMENTS L'USINE NOUVELLE

LES SERVICES DE L'USINE NOUVELLE

ARTICLES LES PLUS LUS