Traitez tous les utilisateurs comme des utilisateurs itinérants : pourquoi votre organisation a absolument besoin d'une politique Zero Trust
Peu importe que vous et vos collègues travailliez au bureau, à la maison, sur la route ou tout cela à la fois : tant que vous êtes productifs et satisfaits, toute méthode est bonne. Notons une seule réserve à tout cela : le responsable IT ou responsable de la sécurité doit lui aussi être satisfait.
Imaginez ceci : vous entrez dans le hall du bureau et le gardien de sécurité vous fait signe de passer. Il connait en effet votre visage, puisque vous passez ici tous les jours. Il n'a aucune raison de vérifier votre carte d'identité, ou - Dieu nous en préserve - de procéder à un contrôle corporel complet. Vous avez été digne de confiance tous les jours au cours des six derniers mois, et vous l'avez encore été hier, alors pourquoi aujourd'hui serait-il différent ?
Dans trop d'entreprises actuelles, l'architecture de la sécurité digitale est encore organisée de la manière décrite dans cette courte scène. Généralement ça ne pose pas de problème, du moins pour les personnes qui travaillent au bureau en permanence. Mais ce n'est pas le cas pour ceux qui travaillent depuis leur domicile et se connectent aux ressources de l'entreprise via une passerelle VPN. Lorsque ces utilisateurs se connectent à nouveau au réseau, on leur fait automatiquement confiance, un peu comme si on leur disait : « entrez donc, nous vous avons déjà vu une fois et cela s’est bien passé, il n’y a donc pas de raison que cela change ! ». Et c'est risqué, car le système ne sait pas si l'utilisateur a été infecté chez lui.
Les trois piliers d’une politique Zero Trust
En 2010, l'analyste John Kindervag, de Forrester Research, a abordé ce point sensible et a présenté en même temps ce qu'il a appelé le "modèle Zero Trust". Selon lui, les entreprises doivent mettre en œuvre des programmes de cybersécurité plus stricts et réglementer le contrôle d'accès. En bref, vous ne pouvez pas faire confiance aux utilisateurs simplement parce que vous reconnaissez leur adresse IP, car leurs ordinateurs et appareils sont (potentiellement) aussi peu sûrs que ceux de n'importe quel utilisateur inconnu. Pour assurer la sécurité de leur réseau et de leurs ressources, les entreprises devraient donc opter pour la vieille rengaine de "X Files" lorsqu'elles mettent en place leur architecture de sécurité - "Ne faites confiance à personne" - et donc traiter tous les utilisateurs comme s'ils étaient des utilisateurs itinérants.
Le modèle Zero Trust se compose de trois piliers :
1 Authentification précise
Chaque fois qu'un utilisateur ou un appareil (ordinateurs, portables, mais aussi imprimantes ou appareils photo) veut accéder aux ressources de votre entreprise, vous devez vérifier soigneusement son identité. Et pas seulement en vérifiant un seul mot de passe, mais en combinant des vérifications de mots de passe fixes et à usage unique.
2 Contrôle continu du maintien de la sécurité
Ce n'est pas parce que votre utilisateur ou votre appareil était sûr hier et avant-hier qu'il est sûr aujourd'hui. Baser la sécurité d'un utilisateur sur, par exemple, sa géolocalisation est définitivement une mauvaise idée. Ce contrôle doit être effectué en temps réel, en permanence.
3 Le strict nécessaire
Donnez aux utilisateurs l'accès dont ils ont besoin, mais rien de plus. Il est inutile de laisser les gens se promener digitalement n'importe où, il est préférable de ne les autoriser qu'aux endroits dont ils ont besoin pour accomplir correctement leurs tâches. C'est évidemment la règle la plus difficile à mettre en œuvre, car la configuration de votre réseau est probablement assez complexe, et peut même ressembler à un labyrinthe. Mais cela reste important.
Parfois, un quatrième pilier est ajouté :
4 Micro-segmentation
Même si vous prenez de nombreuses mesures de sécurité, vous ne pouvez pas être sûr à 100 % de la sécurité de vos ressources. Vous devez donc partir du principe qu'elles seront infectées, à un moment ou à un autre. Pour limiter les dégâts, vous devez limiter les mouvements latéraux de vos utilisateurs (c'est-à-dire d'un appareil d'un utilisateur à un autre) et n'autoriser que les mouvements verticaux (d'un utilisateur à un service d'application). En général, les logiciels malveillants se propagent dans le réseau en infectant les appareils situés dans le voisinage du système primo-infecté, car ce trafic n'est pas filtré par les dispositifs de sécurité. Si les mouvements latéraux sont limités et que les systèmes sont maintenus dans une bulle, les menaces peuvent être plus facilement contenues.
Comment mettre en œuvre une politique Zero Trust ?
Une politique Zero Trust peut être mise en œuvre pour différents types de ressources : votre réseau lui-même, vos applications ou les données contenues dans ces applications. Ce dernier point est le plus difficile à résoudre. En effet, faire un inventaire complet du contenu de chaque application est un travail titanesque, et une fois que les utilisateurs sont à l'intérieur, il est complexe de restreindre les données auxquelles ils ont accès. Néanmoins, vous devriez viser une bonne combinaison d'outils ZTNA et ZTDP, le premier signifiant Zero Trust Network Access, le second Zero Trust Data Protection. Les outils ZTNA limitent l'accès des utilisateurs à vos ressources, et les outils ZTDP font de même pour vos données.
Mais par où commencer ? Tout d'abord, il n'y a pas un seul type de produit qui met en œuvre les piliers de la politique Zero Trust, il y en a plusieurs. Certains d'entre eux appliquent la politique au niveau de l'accès au réseau local, d'autres au niveau de l'accès au centre de données, et ainsi de suite. Mais pour construire une architecture complète Zero Trust, il faut combiner différents produits, comme la technologie NAC, une plateforme SDWAN, un produit SSE ou une solution SASE (un mélange de SDWAN et de SSE : apprenez-en plus ici).
Tout dépend probablement du niveau d'équilibre sécurité/convivialité de votre entreprise. Néanmoins, il est recommandé de commencer par le ZTNA, car il est beaucoup plus facile à implémenter : vous n'avez pas besoin de localiser et d'identifier les différents types de données et d'élaborer une carte complexe des utilisateurs/privilèges. En outre, seules les organisations matures seront en mesure de mettre en œuvre un outil ZTDP.
Si vous travaillez, par exemple, dans le secteur de la défense, vous avez probablement l'habitude de consacrer un budget important à l’implémentation d'un ensemble complexe de mesures de sécurité et de produits sophistiqués. Vous devrez travailler sur un puzzle continu d'outils, et faire face à des utilisateurs frustrés qui se plaignent de ne pas obtenir l'accès approprié, ce dernier point n’étant que le petit prix à payer pour dormir sur ses deux oreilles. Mais si vous êtes une petite entreprise B2B sans réels secrets, vous pouvez probablement vous contenter du strict minimum, comme le contrôle de l'accès à votre infrastructure réseau et l'installation d'une authentification à deux facteurs pour les utilisateurs. Et cela ne devrait pas non plus vous coûter un bras.
Vous avez besoin d'aide pour mettre en place une politique Zero Trust ? Nous vous y aidons avec plaisir. Il vous suffit de contacter notre équipe.