« Les utilisateurs à l’intérieur d’un réseau ne sont pas plus dignes de confiance que les utilisateurs à l’extérieur du réseau. » Cette citation de l’Oversight and Government Reform Committee est extraite du dernier rapport de violations de l’Office of Personnel Management. Celui-ci met en évidence une solution importante pour empêcher les atteintes à la protection des données : implémenter le modèle Zéro confiance. Norman Girard, vice-président et directeur général Europe de Varonis, revient pour les lecteurs de Solutions-numériques sur ce modèle.
En quoi consiste le modèle Zéro confiance ?
Conçu en 2009 par Forrester Research, le modèle Zéro confiance incite les entreprises à inspecter l’intégralité du trafic réseau, à l’extérieur et à l’intérieur. John Kindervag, analyste principal chez Forrester, déclare : « Nous devons savoir ce qui se produit dans nos réseaux. Les utilisateurs ne peuvent pas disposer d’accès selon leur bon vouloir… soit ils feront quelque chose de mal par inadvertance et seront peut-être licenciés pour cela, soit ils accéderont illégalement à des données qui sont en fait à leur portée. »
Le modèle Zéro confiance ne signifie pas que vous doutez de vos utilisateurs. Le nom du modèle semble insinuer que vous ne pouvez pas accorder votre confiance à vos utilisateurs finaux. Rien n’est plus éloigné de la vérité ! Au lieu de cela, Zéro confiance fait référence au suivi et à l’audit du trafic réseau et au contrôle des accès.
Trois principes sous-tendent le modèle Zéro confiance :
- Assurez-vous que toutes les ressources sont accédées de manière sécurisée indépendamment de leur emplacement.
Ce premier concept souligne en fait que vous devez protéger vos données internes des menaces intérieures de la même manière que vous protégez vos données externes.
Comment ?
Quand il faut choisir l’endroit où stocker vos données, il n’existe pas de réponses simples. Devez-vous choisir un cloud public ? Un Cloud privé ? Un Cloud hybride ? Il vous faudra effectuer une analyse et répondre impérativement à ce dilemme.
- Journalisez et inspectez systématiquement la façon dont les fichiers et les courriers électroniques sont touchés.
Le modèle Zéro confiance préconise deux méthodes pour accroître la visibilité du trafic : journalisation et inspection. Oui, journalisez le trafic réseau interne. Par exemple, si quelqu’un a supprimé votre fichier, comment pouvez-vous savoir de qui il s’agit ?
De plus, inspectez et mettez en place des alertes en temps réel. Alors que certaines violations de données nécessitent des mois pour être découvertes, la détection automatisée des attaques (et maintenant des ransomware) s’avère primordiale.
- Le troisième concept majeur est le modèle des moindres privilèges
Les moindres privilèges constituent une manière de dire que les utilisateurs ont uniquement accès à ce dont ils ont besoin pour effectuer leur travail. Le principe des moindres privilèges est aussi souvent assimilé à la règle militaire du « besoin d’en connaître » qui est un des principes de sécurité les plus cités.
Lorsque les collaborateurs restent longtemps dans une entreprise, ils changent de poste, de service et de responsabilités. Les projets temporaires nécessitent souvent des accès provisoires, mais ceux-ci savent aussi devenir permanents. Parfois, les permissions sont accordées accidentellement.
En conséquence, les utilisateurs se retrouvent avec plus de permissions d’accès aux données qu’ils n’en ont besoin. Mais personne n’appelle le service d’assistance pour se plaindre d’un excès de permissions. C’est pourquoi il est véritablement important de tendre vers un modèle de moindres privilèges.
Tout d’abord, analysez l’activité d’un utilisateur. S’il cesse d’accéder aux données, il vous suffit probablement de désactiver son compte. Cependant, effectuez une double vérification en mettant en corrélation son activité d’accès et son activité de groupes de sécurité. Même si l’utilisateur n’accède plus à des données permises par un groupe spécifique, cela ne signifie pas toujours qu’il n’a plus besoin de cet accès.
Excellent moyen de contribuer à renforcer la sécurité des données, le modèle Zéro confiance s’impose peu à peu au sein des entreprises. Il prolonge efficacement les différentes solutions de sécurité déjà en place au sein de l’entreprise.