Si les grands principes du “Zero Trust” sont aujourd’hui bien connus, les avis divergent quant à la façon dont on peut le mettre en place dans un système d’information. Plusieurs voies semblent se dessiner.
Assez nébuleux au départ, le concept de “Zero Trust” est aujourd’hui bien clair pour les RSSI. Celui-ci s’appuie notamment sur le principe du moindre privilège avec des accès conditionnels réévalués à chaque connexion, une sécurisation des données par un chiffrement généralisé de bout en bout lors des transferts ou au repos, une microsegmentation des ressources pour limiter toute fuite de données et enfin un monitoring temps réel de l’activité. De facto, dans une telle architecture, de multiples briques de sécurité du système d’information sont sollicitées, à commencer par les solutions liées à la gestion des identités comme l’Active Directory ou la plateforme IAM lorsque l’entreprise en dispose, des firewalls, WAF et serveurs DNS sécurisés, les PAM ou encore les plateformes ZTNA.
Peu d’entreprises ont atteint l’objectif
Selon Stéphane Hauray, Regional Director West EMEA de Tufin, éditeur spécialisé dans la gestion automatisée des politiques de sécurité, bien peu d’entreprises peuvent se targuer d’avoir implémenté tous les concepts du “Zero Trust” : « Sur une échelle de 1 à 10, je dirais que beaucoup sont à 7 / 8, quelques-unes à 8 / 9, mais nous voyons des clients qui sont encore à 2 ou à 3. Même des clients qui travaillent avec nous depuis des années ont encore du mal à se revendiquer “Zero Trust”. Personne n’y est véritablement aujourd’hui, mais il est important d’avoir un but, un objectif à atteindre et une stratégie. » Pour l’éditeur, l’objectif est d’acquérir la capacité de vérifier en un clic qu’un accès répond aux contraintes de toutes les politiques de sécurité déjà validées dans le référentiel de l’entreprise. La clé résidant dans l’automatisation des workflows et dans le traitement de ce processus de A à Z sans intervention humaine.
Chaque éditeur en cybersécurité pousse sa propre vision d’architecture “Zero Trust”. Pour Pierre Sevilla, Cybersecurity Consultant – Région Grand Est chez Holiseum, démarrer une démarche Zero Trust par les identités est la meilleure approche : « Commencer par la gestion des identités et l’IAM est certainement la meilleure démarche pour aller vers “Zero Trust” car l’approche implique de ne jamais accorder la confiance par défaut à un accès et toujours vérifier explicitement la connexion d’un poste de travail selon sa provenance et d’autres critères. L’identité est véritablement le point central lorsqu’on veut aller vers le “Zero Trust”. » Cette vision est bien évidemment partagée par les éditeurs de solutions IAM comme Okta qui à fait de l’ “Identity First” le socle de sa stratégie. Lors de sa conférence utilisateur Showcase21, Todd McKinnon, CEO d’Okta expliquait : « Le nouveau modèle de sécurité est le Zero Trust. C’est un concept important qui prend de l’ampleur et qui progresse à l’échelle mondiale. Ce qu’il signifie, c’est qu’à la place de l’ancien monde où la sécurité était définie par quel ordinateur, quel firewall et quel réseau devait être accédé, dans le monde Zero Trust, la sécurité place l’utilisateur et son identité au centre. »
Chacun veut jouer sa note dans la partition
L’approche gagne de l’importance avec la montée en puissance du Cloud et des systèmes d’information de plus en plus hybrides, la généralisation des échanges de données entre applications de Cloud différents, ou encore l’arrivée du Edge et des IoT. Un éditeur de PAM tel que BeyondTrust veut lui aussi jouer sa note dans la partition “Zero Trust”. « Nos solutions viennent s’intégrer à l’existant pour implémenter ce Zero Trust » expliquait ainsi Matthieu Jouzel, Solutions Engineer, BeyondTrust aux visiteurs du FIC 2021. « Le PAM va permettre d’auditer, gérer et documenter tous les accès à privilèges, que ce soit les accès réseau, les accès aux ressources Web et les accès aux postes de travail. Comptes administrateurs locaux, administrateurs de domaines ou applicatifs, le PAM va délivrer les accès à moindres privilèges à ces utilisateurs, documenter qui a accédé à quoi pour des revues d’habilitation et gérer ces autorisations. »
Pour Etienne Lafore, Senior Manager chez Wavestone, les offres d’accès de type ZTNA (Zero Trust Network Access) constituent certainement la meilleure façon de commencer à implémenter le “Zero Trust” dans une entreprise : « Le 1er niveau permis par ZTNA est une authentification conditionnelle qui permet ou non d’accéder aux ressources. Dans des niveaux plus avancés, le service va transmettre le niveau de confiance calculé dynamiquement aux applications permettant de moduler les droits d’accès de l’utilisateur. Pour donner un exemple, Office 365 peut être 100 % accessible si on se connecte depuis un poste de confiance ou uniquement en mode Web si l’utilisateur le fait depuis son PC personnel. »
Comme le souligne l’expert, le Zero Trust n’est pas un modèle de sécurité en tant que tel mais une philosophie que chaque entreprise doit implémenter en fonction de son existant et de ses priorités. Plusieurs chemins sont possibles, mais les grands principes et l’objectif sont désormais clairs pour les RSSI.
