« Le Zero Trust est la seule façon réaliste de protéger son réseau aujourd’hui », avance Bernard Ourghanlian directeur technique et sécurité à Microsoft France

À l’heure de l’IoT, du télétravail et de l’ouverture des systèmes d’information, les périmètres de sécurité sont de plus en plus flous. Comment protéger ce que l’on a du mal à définir ? Une des solutions avancées est celle du Zero Trust, une approche qui surveille plus les accès aux objets que les objets eux même. Bernard Ourghanlian, directeur technique et sécurité de Microsoft France, en livre sa vision à Industrie & Technologies.

Partager
« Le Zero Trust est la seule façon réaliste de protéger son réseau aujourd’hui », avance Bernard Ourghanlian directeur technique et sécurité à Microsoft France
Bernard Ourghanlian

Industrie et Technologies : On entend parler de plus en plus du Zero Trust en cybersécurité, qu’est-ce que cette approche a de nouveau ?

Bernard Ourghanlian : Le concept date en réalité d’une bonne dizaine d’année, proposé par le cabinet d’analyse Forrester. Mais au moment où il a été inventé, le marché n’était pas prêt, et quelque part, les technologies non plus. C’était donc un principe en avance sur son temps, et qui n’a vraiment gagné en écoute qu’au moment de la pandémie.

L'approche Zero Trust consiste à dire qu’il n’est ni possible, ni souhaitable, de faire confiance au réseau sur lequel on est connecté. C’est donc une sécurité qui traite chaque tentative d’accès au réseau comme une intrusion, a fortiori lorsqu’elle vient d’internet. La pandémie a propulsé les entreprises dans un contexte où, comme les utilisateurs étaient à la maison, toutes les connexions se faisaient à partir d’internet et donc d’un réseau indigne de confiance. Le Zero Trust a été propulsé sur le devant de la scène à cette occasion, pour finalement apparaître comme inéluctable.

Quels en sont les grands principes ?

Le concept a été formalisé par le National Institute of Standards and Technology (NIST), mais de mon point de vue, il repose sur trois principes fondamentaux. Le premier, c’est la vérification explicite. Au lieu de se dire que les utilisateurs sont en sécurité parce qu’ils utilisent le réseau de l’entreprise, chaque tentative d’accès à des informations va être contrôlée. C’est-à-dire que la connexion va être contextualisée, au regard de plusieurs paramètre comme l’utilisateur, le niveau d’authentification, l’emplacement du terminal et l’état d’alerte du système. Concrètement, un accès peut être accordé, puis retiré peu de temps après si une menace est signalée, et que l’on considère que la situation n’est plus la même. Cela rend la contextualisation dynamique, et c’est ce qui fait la différence avec les modèles de sécurité « classique ».

Le deuxième principe, c’est celui de l’accès au moindre privilège. Chaque utilisateur se voit accorder un accès spécifique pour une tache donnée, uniquement quand il en a besoin, et pour le temps dont il en a besoin. C’est important : la plupart des attaques informatiques qui ont réussies se sont concentrées sur l’identité des utilisateurs. Certaines entreprises ont des centaines voire des milliers de comptes privilégiés qui vont permettre aux attaquants qui arrivent à voler une de ces identités de se latéraliser facilement, c’est-à-dire de passer d’un poste à un autre. Donc l’accès au moindre privilège permet de dire : si je n’ai pas besoin d’un accès à cet instant-là, je n’en ai pas.

Le dernier principe est presque choquant par rapport à une certaine vision de sécurité, c’est de présupposer la violation. Il faut accepter que, tôt ou tard, son système soit pénétré par les attaquants. Le système n'est pas un château-fort inviolable, il vaut donc mieux le construire résilient, afin qu’il puisse continuer à fonctionner même en cas d’attaque, grâce par exemple à de la micro segmentation.

Comment Microsoft se place par rapport à cette approche Zero Trust ?

Quand nous présentons des projets Zero Trust à nos clients, nous leurs expliquons que ce n’est pas une destination, c’est un voyage. C’est-à-dire que cela va prendre du temps, que cela ne va pas pouvoir s’installer du jour au lendemain. Il faut penser grand, mais démarrer petit, et avancer vite.

Mais nous pensons que c’est la seule façon réaliste de protéger son réseau aujourd’hui. Nous ne concevons pas une stratégie qui ne soit pas fondée sur cette vision. Toutes les autres façons de faire, qui reposent principalement sur une défense périmétrique, ont fait leur temps. Les systèmes fermés ne servent plus à rien – à part dans le domaine militaire qui est un peu particulier. Il faut donc forcément qu’ils soient ouverts, et donc tenir compte des failles que cela apporte.

Ce n’est pas tant un produit que nous proposons, qu’une vision d’architecture, un projet que l’on construit avec le client. Il faut identifier les besoins métiers, comprendre la valeur ajoutée de l'entreprise et définir les briques technologiques pour pouvoir écrire une méthodologie. Le premier point concerne généralement la gestion des identités, mais on va pouvoir mettre en place des indicateurs personnalisés.

Sur l’aspect pratique, on peut imaginer un environnement qui ne repose pas sur totalement sur le cloud. Toutefois, ce qu’apporte le cloud, et que l’on ne peut pas avoir sur un environnement on-premise, c’est l’intelligence artificielle. Pour donner une idée, tous les jours, nous recevons chez Microsoft 8800 milliards événements de sécurité. Grace à eux, nous avons la possibilité d’entraîner nos modèles de machine learning et d’améliorer nos alertes. Aujourd’hui, je ne pense pas qu’il soit possible d’aller jusqu’au bout d’une démarche Zero Trust sans passer sur le cloud. Mais cela ne veut pas dire que tout doive s'y passer exclusivement.

Qu’est-ce que le Zero trust peut apporter du point de vue de la sécurité des réseaux industriels, l'OT ?

Aujourd’hui, l’OT est un peu le « parent pauvre » de la cybersécurité. Pendant longtemps, les entreprises ont cru que, parce que leurs systèmes OT étaient fermés, tout était en sécurité. Mais maintenant l’IT et l’OT sont de plus en plus connecté. La plupart des entreprises ont essayé pendant des années de maintenir un fossé infranchissable entre les deux, mais à travers de l’internet des objets (IoT) ces briques industrielles se connectent petit à petit au système informatique général. Globalement, il y a donc un travail de fond à faire autour de ses systèmes-là, pour être certain que les objets ne puissent pas être pris sous contrôle par les attaquants – ce qui pourrait avoir des conséquences terribles.

Il est clair que la seule façon de limiter ces risques, c’est de contrôler l’accès aux terminaux. C’est donc de contextualiser systématiquement, de vérifier tout, donc de passer par le Zero Trust. Dans l’OT, on entendait souvent « nous sommes sur un réseau particulier, un réseau SCADA, nous sommes tranquille. » Mais malheureusement, non. L’OT est également connecté. Il faut donc le protéger de la même façon que l’IT. Et si on ne le fait pas, on fait courir aux hommes et aux femmes qui travaillent dans les systèmes industriels encore plus de risques que dans le monde classique de l’internet.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'hebdo de la techno

Nos journalistes sélectionnent pour vous les articles clés de l'innovation technologique

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

LES ÉVÉNEMENTS L'USINE NOUVELLE

LES PODCASTS

Le Mans, capitale du son

Le Mans, capitale du son

Dans ce nouvel épisode de La Fabrique, Olivier James nous emmène au Mans pour nous faire découvrir un écosystème surprenant : celui de l'acoustique. En quelques années, la...

Écouter cet épisode

Le design dans le monde d'après

Le design dans le monde d'après

L'ancien secrétaire d'Etat socialiste, Thierry Mandon, est président de la Cité du Design de Saint-Etienne. Dans ce nouvel épisode du podcast Inspiration, il présente la Biennale...

Écouter cet épisode

Viande in vitro, végétal... Frédéric Wallet dresse le menu de demain

Viande in vitro, végétal... Frédéric Wallet dresse le menu de demain

Dans ce nouvel épisode de « Demain dans nos assiettes », notre journaliste reçoit Frédéric Wallet. Chercheur à l'Inrae, il est l'auteur de Manger Demain, paru aux...

Écouter cet épisode

La fin du charbon en Moselle

La fin du charbon en Moselle

Dans ce nouvel épisode de La Fabrique, Cécile Maillard nous emmène à Saint Avold, en Moselle, dans l'enceinte de l'une des trois dernières centrales à charbon de...

Écouter cet épisode

Tous les podcasts

LES SERVICES DE L'USINE NOUVELLE

Trouvez les entreprises industrielles qui recrutent des talents

VILLE DE CALLAC

Technicien des Services Techniques H/F

VILLE DE CALLAC - 31/03/2022 - CDD - CALLAC DE BRETAGNE

+ 550 offres d’emploi

Tout voir
Proposé par

Accédez à tous les appels d’offres et détectez vos opportunités d’affaires

02 - BOHAIN EN VERMANDOIS

Travaux de réhabilitation d'un local commercial-.

DATE DE REPONSE 16/06/2022

+ de 10.000 avis par jour

Tout voir
Proposé par

ARTICLES LES PLUS LUS