Le travail hybride devient la nouvelle norme dans les entreprises, mais les implications en termes de sécurité sont fortes. L’architecture “Zero Trust” vient répondre aux nouvelles contraintes posées par la transformation des usages et l’ouverture des systèmes d’information.
L’ouverture des SI est un enjeu majeur pour les entreprises dans le cadre de leur transformation numérique tant pour consommer des ressources Cloud que connecter leurs utilisateurs. Dans ce cadre, un modèle de sécurité est en train de s’imposer, le “Zero Trust”. « La sécurité du système d’information des entreprises a été bouleversée par la transformation numérique » estime Hadib Changriha, ingénieur avant-vente chez CyberRes, la nouvelle entité en charge des solutions de cybersécurité de Micro Focus. Pour l’expert, le “Zero Trust” est clairement l’alternative à la sécurité périmétrique : « Le principe “Zero Trust” (ZT) est un concept régulièrement évoqué en cybersécurité. C’est un modèle de sécurité qui repose sur un processus strict de contrôle de l’identité et des accès tout en appliquant le principe de moindre privilège. Ce cadre impose que seuls les utilisateurs, les terminaux authentifiés et autorisés peuvent accéder au système d’information. »
L’authentification forte, un point clé de l’approche “Zero Trust”
Identity Governance Administration (IGA) permet de gérer notamment le cycle de vie des identités et implémente ce nouveau modèle en conjonction avec les outils de Privileged Account Management (PAM) pour gérer les comptes à privilèges. L’Access Management gère les accès aux applications tout en intégrant de l’authentification adaptative au travers de l’analyse de facteurs contextuels (adresse IP, heure de connexion, géolocalisation, empreinte du terminal utilisé, etc). Elle permet d’évaluer le niveau de risque vis-à-vis de la tentative d’accès et d’ajuster le niveau de sécurité en fonction du contexte de connexion de l’utilisateur. Si le score de risque calculé dynamiquement par la solution est jugé moyen par exemple, un second facteur d’authentification peut être alors demandé. Le “Zero Trust” implique de renforcer le volet authentification et le multi-facteurs (MFA) est aujourd’hui une approche qui se généralise notamment grâce aux smartphones. L’OTP via SMS de confirmation, peu sûr, fait désormais place au Push Notification sur mobile, bien connu sur les applications bancaires ou des réseaux sociaux. « Le déploiement du MFA nécessite de mener un projet qui tienne réellement compte des besoins des métiers et des moyens d’authentification à déployer auprès de chaque typologie d’utilisateurs. Le volet conduite du changement ne peut être négligé » ajoute Hadib Changriha. Plusieurs techniques d’authentification peuvent être envisagées, le MFA via mobile (Push, empreinte digitale), mais aussi clés FIDO (U2F), Fido2, cartes à puce ou encore le passwordless (webauthn) en fonction de la criticité des ressources accédées. Le “Zero Trust” est avant tout un voyage au long cours, et l’IAM en est certainement le point de départ.
Avis d’expert 
Hadib Changriha,
ingénieur avant-vente chez CyberRes / Micro Focus
« Le nouveau périmètre de sécurité de l’entreprise, c’est l’identité et c’est la raison pour laquelle l’IAM est un composant incontournable d’une approche “Zero Trust”. Gérer le cycle de vie de l’identité est devenu une nécessité car outre l’arrivée, l’évolution au sein de l’entreprise et le départ de ses collaborateurs, l’entreprise doit gérer le cycle de vie des identités de ses prestataires, ses partenaires, des applications, des objets connectés ou encore de ses clients. L’IGA (Identity Governance & Administration) dans ce cadre permet d’apporter cette vision à 360° sur l’identité indispensable à toute démarche “Zero Trust”.
Les outils d’Access Management (WebSSO et Fédération) intégrant de l’authentification adaptative permettent aux entreprises de réconcilier la sécurité et l’expérience. »
