Le modèle de sécurité aujourd’hui prôné par les experts, c’est le “Zero Trust”. Cette démarche n’est pas synonyme d’un produit particulier et plusieurs approches sont possibles. Outre celle 100% Cloud SASE/SD-WAN, des alternatives existent.
Ne plus accorder par défaut la confiance à un utilisateur, à un équipement d’infrastructure mais vérifier tout au long de sa connexion la légitimité des accès aux ressources IT, tel est le principe de base du “Zero Trust”. Ce nouveau modèle de sécurité impacte toute la chaine de confiance entre le moment où un utilisateur se connecte et celui où il accède effectivement aux données dont il a besoin. Le “Zero Trust” s’inscrit dans la démarche SASE (Secure Access Service Edge) dont Cisco, VMware, Fortinet, Cloudflare, Cato Networks, Netskope et Palo Alto sont les leaders.
Beaucoup d’entreprises ont engagé leur démarche “Zero Trust” via ces solutions Cloud SASE mais pour les entreprises qui souhaitent garder en interne la maitrise de leurs briques de sécurité, plusieurs autres points d’entrée au “Zero Trust” sont possibles.
La gestion des accès : une bonne clé d’entrée
Pour Romain Deslorieux, directeur au sein de Thales Digital Identity & Security (ex-Gemalto), la gestion des accès est la bonne clé d’entrée au “Zero Trust” : « Pour l’authentification, nous misons sur l’inclusivité afin de couvrir les pratiques de type BYOD et l’authentification des tierces parties et des consultants qui ne sont pas dans l’Active Directory. » Sa solution, SafeNet Trusted Access, est une plateforme d’IAM (Identity and Access Management) spécifique à laquelle sont rattachés de multiples authentificateurs, dont des hard tokens avec écran d’affichage de l’OTP (One-Time Password / Mot de passe à usage unique), des tokens sur mobile, des tokens accessibles depuis un navigateur Web. « L’Access Management réalise une analyse de risque au moment de l’authentification. Dans une approche “Zero Trust”, l’accès à une ressource est accordé ou pas en fonction de critères comme la temporalité, le terminal utilisé, etc. » Pour Thales DIS, l’autre volet de l’approche réside dans la protection des ressources : « Notre solution CipherTrust Data Security Platform est capable de faire de la découverte de données (Discovery), d’appliquer des remédiations avec le chiffrement, l’anonymisation et la tokenisation des données, le tout lié à un système cryptographique de gestion de clés dont l’entreprise a le contrôle total. »
Les acteurs du PAM (Privileged Access Management) sont eux aussi très moteurs sur l’approche “Zero Trust”. Les éditeurs étendent les capacités de leurs solutions pour cocher de plus en plus de cases du modèle. « La couverture du PAM est de plus en plus large » confirme Matthieu Jouzel, Solutions Engineer chez BeyondTrust. « Il y a quelques années nous couvrions essentiellement les administrateurs systèmes. Cette cible s’est maintenant élargie aux utilisateurs métiers qui ont des droits sur les applications, aux développeurs, aux équipes Helpdesk, aux intervenants extérieurs. Le PAM a un rôle essentiel à jouer dans cette évolution vers le Zero Trust. »
Même son de cloche chez Delinea, éditeur issu de la fusion de Thycotic et de Centrify en mars 2021. « Qu’il s’agisse des applications et des utilisateurs internes et externes comme les prestataires, tous sont identifiés via le PAM » argumente Yves Wattel, Vice President Sales pour la zone Europe du sud de Delinea « Tous ces accès sont analysés par la solution qui réalise un calcul de risque en temps réel, ainsi qu’une détection des comportements anormaux. Avec l’enregistrement des sessions et l’analyse des patterns d’utilisation, les comptes utilisateurs sont dans une approche “Zero Trust” : on ne peut accorder la confiance par défaut à un utilisateur ou un système, même s’il est identifié et reconnu par le système, c’est l’un des points-clés du Zero Trust. »
Couvrir toute la chaîne de confiance
D’autres éditeurs ont une approche de type plateforme et souhaitent couvrir l’intégralité de la chaîne de confiance. C’est le cas de l’éditeur français Systancia bien connu pour son offre VDI mais qui édite aussi un PAM, un IAM et une offre ZTNA (Zero Trust Network Access). « Cette approche unifiée permet d’atteindre une plus grande résilience » estime Guillaume Barideau, Product Manager chez Systancia. « La solidité d’une telle chaîne se mesure à celle de son maillon le plus faible. Or lorsque l’entreprise choisit des acteurs différents pour gérer ses identités, ses accès réseau, ses applications, si l’un d’eux n’est pas suffisamment robuste ou bien intégré à cette chaîne, alors la confiance est brisée et le “Zero Trust” perd de son intérêt. »
Quelle que soit la voie suivie, le “Zero Trust” restera à l’agenda des DSI pendant encore de nombreuses années. Tout l’enjeu sera d’intégrer un lourd existant cyber à ce nouveau modèle.