X
Zero Trust
Guillaume Périssat / mercredi 9 octobre 2019 / Thèmes: Dossier, Sécurité

Zero Trust

Le périmètre est mort… la confiance aussi !

Si le terme n’est plus tout jeune, il revient en force depuis quelques mois. Zero Trust couvre tout un ensemble de processus, de pratiques et d’outils qui viennent s’inscrire dans un certain état d’esprit : la frontière entre zones internes et zones externes du système d’information s’efface, il ne faut donc par défaut accorder sa confiance à personne et protéger, plutôt que le périmètre, la donnée.

CrossinG, la passerelle de Bertin IT, vient faire le tampon entre différents réseaux afin notamment de confiner les attaques en cascade.

Théorisé par un analyste de Forrester il y a quelques années, le concept de « Zero Trust » part du constat que l’informatique en entreprise a évolué. Entre applications on premise, hébergées dans un Cloud ou encore en SaaS, instances dédiées ou mutualisées, serveurs physiques ou machines virtuelles, conteneurs… on est loin de la vision monolithique du système d’information. Si bien qu’il est devenu difficile de distinguer l’externe et l’interne. Ajoutons à cela des prestataires ou des clients qui vont venir se connecter à ces applications. Sans oublier les salariés eux-mêmes, de plus en plus mobiles, connectés sur le terrain, quand ils ne sont pas en télétravail. Et passons rapidement sur l’explosion du nombre d’API et d’interactions machine-to-machine et app-to-app.

Dans ce contexte, le périmètre s’efface. En d’autres termes, plus imagés, « la représentation du SI comme un château fort entouré de remparts est dépassée », nous explique Ketty Cassamajor, PreSales Manager chez CyberArk. « La frontière entre intérieur et extérieur s’efface et de nombreuses options s’offrent aux opérations malveillantes. Si l’on veut filer la métaphore, une vulnérabilité non patchée va représenter une brèche dans le mur, une erreur humaine involontaire une porte mal fermée, le phishing consistera à survoler les remparts. Sans oublier les menaces internes. »

 

La fin du bastion

La traditionnelle sécurité périmétrique – fameux rempart autour du SI – est donc datée, impuissante. Entre alors en scène le Zero Trust. L’approche antérieure consistait à ne pas faire confiance à ce qui était en dehors du SI mais de l’accorder par défaut au sein du réseau. « Aujourd’hui cette zone de confiance ne devrait plus exister dans l’esprit des gens », souligne Christophe Auberger, responsable technique de Fortinet pour la France. « Il faut donc contrôler tout ce qu’il se passe au niveau du SI, y compris les flux internes. Zero Trust est le mot que l’on met sur cette approche. » Un petit côté « buzzword » donc, mais qui recouvre un vrai modèle où l’on met de côté la sécurité du réseau en mode « bastion » – loin de nous l’idée d’affirmer que cette protection est invalidée – au profit de la sécurité des machines, des utilisateurs, des applications et, en creux, de la donnée. « Peu importe l’endroit où elle se trouve, une donnée a toujours un degré de sensibilité et il est nécessaire de définir un niveau de sécurité pour cette donnée », poursuit Christophe Auberger. « Avec le Zero Trust, on parle aussi de sécurité en profondeur : la démarche nécessite un peu plus d’efforts puisqu’il ne s’agit pas simplement de mettre un garde-barrière entre deux zones, mais bien de savoir ce que sont les différentes données et de mettre en place pour chacune le niveau de protection adéquat. » En résumé, le Zero Trust consiste à faire en sorte que chaque ressource, peu importe son emplacement, ne puisse être accédée que par un utilisateur – au sens large, il peut également être question d’API par exemple – légitime, authentifié et sécurisé.

Zscaler joue le rôle de firewall entre l’utilisateur passant par Internet et les applications de l’entreprise.

Et pour ce faire, on va commencer par segmenter, par partitionner, par compartimenter ces ressources. « La sécurisation des réseaux se fait en les compartimentant. Le but, c’est vraiment d’appliquer une rupture protocolaire et d’avoir le contrôle sur les communications entre ces réseaux », précise Olivier Jolland, COO de Bertin IT. Arnaud Gallut, Country Manager de Ping Identity France, abonde en ce sens : « La micro-segmentation apporte d’énormes avantages au sein d’une architecture Zero Trust en limitant de manière significative le rayon d’action d’une attaque, ou ce qu’un pirate peut accéder en termes de ressources lorsqu’une intrusion a eu lieu. » Un exemple parlant est celui du firefwall. Si longtemps il a été perçu en mode bastion, à savoir protégeant le périmètre de confiance contre les agressions extérieures, les firewalls de segmentation, protégeant et compartimentant les ressources à l’intérieur du périmètre, ne sont certes pas récents mais sont de plus en plus plébiscités. « Aujourd’hui les responsables informatiques sont convaincus qu’une approche bastion est largement dépassée et les firewalls de segmentation sont largement adoptés. Toutefois, la concrétisation dans les faits de cette approche est variable en fonction de la maturité de l’entreprise », assure Christophe Auberger.

Les accès au cœur du Zero Trust

Mais cette segmentation pose tout de même quelques problèmes, notamment en termes d’accès. Faut-il un VPN et un serveur de rebond pour chaque application ? Et une gestion des règles et des privilèges pour chacun d’entre eux ?

Les éditeurs vont proposer des solutions diverses et variées, en fonction des besoins de l’entreprise, pour simplifier ces interactions. CrossinG, passerelle inter-réseaux de Bertin IT, fonctionne comme un antivirus et une gateway pour les transferts de fichiers entre segments, passage obligé qui va contrôler et vérifier l’intégrité et la conformité du fichier et le bloquer le cas échéant. « Un cas d’usage par exemple voit des fichiers passer d’une usine au siège d’une entreprise. Ils doivent transiter à travers cette passerelle qui empêche la propagation d’un réseau à un autre. Un fichier vérolé sera identifié et bloqué au niveau de l’usine », explique Benoît Poulot-Cazajous, Platforms & Security Senior Expert pour Bertin IT.

Du côté de CyberArk, Ketty Cassamajor nous explique que la solution est modulable. « Pour chaque entrée de segment, je positionne un serveur de rebond qui va communiquer avec le coffre-fort central, soit un serveur de rebond central autorisé à communiqué avec les différents segments. » En quelque sorte un proxy qui va filtrer les accès, en fonction des droits des utilisateurs. « Beaucoup de clients choisissent la première solution – un serveur de rebond par zone segmenté – pour des questions de simplicité par rapport aux firewalls et à l’ouverture de flux et pour des questions de sécurité. » Mais attention, il ne s’agit pas d’empêcher un éventuel pirate de faire de la reconnaissance du réseau, mais de faire en sorte qu’il ne puisse pas récupérer des identifiants de plus en plus critiques à mesure de sa progression.

Chez Zscaler, on ne fait pas non plus confiance à Internet : c’est un réseau public, partagé par tous. Et pourtant, dans nombre d’entreprises, les employés passeront par son biais pour accéder aux applications et, par ricochet, à des données parfois critiques. « C’est le fondement même d’une architecture Zero Trust : Internet est le transport et l’usage est plus granulaire, l’utilisateur n’accédant plus à un réseau mais à une application ou un sous-ensemble d’applications », nous explique Yogi Chandiramani, CTO Europe de Zscaler. « Pour pouvoir établir une connexion entre l’utilisateur et le réseau de l’entreprise, il va falloir un ensemble de gatekeepers, de contrôleurs, qui lui permettront d’accéder à une ressource. » Le contrôleur va mettre en place un principe de segmentation entre l’utilisateur et l’application que Yogi Chandiramani compare aux opérateurs(trices) de l’époque du téléphone manuel, qui mettaient, du central, l’abonné et son correspondant en relation. Le principe est en effet sensiblement le même : le contrôleur joue aussi le rôle d’opérateur. « Il va vérifier l’utilisateur (identité/sécurité), voir à quelle application il cherche à accéder et vérifier en fonction des politiques établies si l’utilisateur peut se connecter à l’application. C’est un point de passage obligé. » L’application Zscaler transfère automatiquement le trafic des utilisateurs vers le Cloud Zscaler et les applications auxquelles ils accèdent ne se connectent pas à Internet mais au contrôleur. « Ainsi, on sécurise l’accès vers ces applications en ne les rendant visibles qu’aux utilisateurs qui ont besoin d’y accéder au moment où ils ont besoin d’y accéder. »

L’identité occupe une place essentielle dans une architecture Zero Trust, de même que la gestion des privilèges. Heureusement, l’IAM et le PAM ont le vent en poupe.

Akamai propose une solution similaire avec Enterprise Application Access, qui requiert pour sa part que l’utilisateur s’identifie avec Akamai Platform et l’Active Directory de l’entreprise. Une fois authentifié l’utilisateur, la solution associe la session TLS de l’utilisateur avec des connecteurs pour fournir à travers la plateforme Akamai un accès uniquement aux applications autorisées sur le réseau d’entreprise et à rien d’autre. Là encore, l’application n’est pas visible sur Internet. De même, certaines applications vont par définition être accessibles sur Internet : les applications en mode SaaS. Ici, l’intégration du contrôleur se fait en travaillant avec le fournisseur de cette application. En effet, une application SaaS peut permettre de contourner même le meilleur firewall au monde, d’où l’intérêt d’en contrôler les accès en fonction des profils utilisateurs, par le biais notamment d’un CASB (Cloud Access Security Broker).

Questions d’identité

Mais en réduisant les accès, ne s’expose-t-on pas à des soucis en termes de performances ? « Il faut faire en sorte qu’à l’instant T, où il en a besoin, un utilisateur ait accès à telle ressource », indique William Culbert, directeur Europe du Sud pour BeyondTrust. Mais les portes ne peuvent être laissées ouvertes. « Pour la partie PAM [Privileged Access Management], on ne peut pas défendre les systèmes qu’on ne connaît pas. Il faut en faire la cartographie, de même que celle de tous les comptes et des postes, et toujours valider que c’est la bonne personne qui fait la demande pour accéder à la ressource dont elle a besoin. Mais il faut que les utilisateurs puissent faire leur travail de manière fluide : c’est le challenge aujourd’hui. Il faut donc comprendre les fonctions des utilisateurs et les droits dont ils ont besoin. » Il faut définir au départ les politiques d’accès et de privilèges tout en restreignant les applications et workflow, de même que les échanges inter-segments, toujours en fonction de cette politique de sécurité. Chez Fortinet, on parle d’une « segmentation basée sur l’intention, en fonction des rôles et des métiers de sorte à limiter le risque d’accès non autorisé aux informations et, de fait, minimiser le risque de latéralisation des menaces ». Exemple : définir une gestion différenciée des accès d’un même utilisateur à une application selon qu’il utilise un poste maîtrisé par l’entreprise ou sa tablette personnelle. Vous l’avez saisi, le Zero Trust sera une question de process et, par extension, d’identités.

« En raison de son importance critique pour la sécurité, la plupart des organisations démarrent la mise en œuvre de leur architecture Zero Trust par la gestion des identités », précise Arnaud Gallut. « Ping s’intègre avec des fournisseurs de micro-segmentation, en leur permettant d’exploiter des attributs d’identité tels que l’appartenance à un groupe de travail, la géolocalisation, et la configuration du terminal pour limiter le nombre et le type de ressources accessibles sur la base du niveau de risque présenté par l’utilisateur à un instant T. » Ce qui vaut pour les humains vaut également pour les VM ou encore les conteneurs. Et lorsque leur création et leur provisionnement est automatisé, il faut faire en sorte d’automatiser la fourniture d’identité machine pour que ces derniers puissent accéder là encore à la ressource dont ils ont besoin. Soit toujours plus de comptes à privilèges qu’il est nécessaire de cartographier et de sécuriser.

En résumé, le Zero Trust repose sur diverses composantes : IAM, PAM, firewalls, gateways, chiffrement, sécurité des données, du réseau, des workloads, des équipements… « La façon dont une organisation donnée mettra en œuvre Zero Trust dépendra des projets ou des initiatives digitales qui sont les plus importantes pour elle au départ. Par exemple, un constructeur automobile engagé dans l’extension des partenariats digitaux avec ses fournisseurs dans le cadre de sa “ supply chain” donnera probablement en premier lieu la priorité aux aspects d’identification et d’authentification fortes du modèle, tandis que des établissements financiers engagés dans des projets d’Open Banking donneront la priorité aux aspects de sécurité des données de Zero Trust », décrit Arnaud Gallut. Il n’existe donc pas une solution miracle qui permettra la mise en œuvre d’une stratégie Zero Trust, mais un ensemble d’outils à imbriquer. Selon Christophe Auberger, « Les moyens technologiques existent et ne sont pas compliqués à mettre en œuvre une fois qu’on a défini le niveau de sécurité qu’on souhaite atteindre. »

2900

x
Rechercher dans les dossiers

Actuellement à la Une...
En Allemagne, l’opérateur télécom vient d’écoper d’une amende de 9,5 millions d’euros infligée par le gendarme des données personnelles, qui reproche à 1&1 une protection insuffisante des données de ses clients.

Chose promise, chose due, Microsoft a livré la version Linux de Teams. Disponible en préversion publique, il s’agit pour Redmond de répondre à la demande populaire et d’emboîter le pas à Slack.

Au sommaire de ce numéro : L'IA AU COEUR DES MÉTIERS : retours d'expérience Cemex, Lamborghini, Decathlon, HSBC - Google Cloud Platform : tout sur la migration ! - Edge Computing, chaînon manquant - Cybersécurité : lutter contre l'ennemi intérieur - Ansible, outil de prédilection des DevOps - Docker, de Montrouge à la roche tarpéienne...

Le gouvernement parviendra-t-il à unir sous une même bannière les telcos malgré les inimitiés entre les acteurs de ce marché ultra-concurrentiel ? Le comité de filière stratégique, qui s’appuiera sur les fédérations en place, devrait être signé mercredi prochain.

Les fonds Elliott Management et Francisco Partners se seraient associés afin de mettre la main sur le fournisseur de logiciels d’acc&egra...

Le patron de Twitter milite en faveur d’un protocole ouvert et décentralisé pour les réseaux sociaux, afin de faciliter la lutte contre la désinformation et le harcèlement, ainsi que le développement d’algorithmes de recommandations.

Après le rachat de la branche entreprise de Symantec par Broadcom, trois acquéreurs se sont manifestés pour mettre la main sur ses activités grand public, rebaptisées Norton LifeLock. McAfee fait partie des acheteurs potentiels.

Alors que l’opérateur bénéficie d’un sursis, Infranum a pris position en faveur du maintien d’un acteur op&eacu...

Preuve s’il en est du dynamisme de la filière cybersécurité en France, c’est une cinquantaine de candidatures que le jury chargé de décerner le prix Startup du FIC ont dû départager. La messagerie instantanée Olvid a remporté le trophée.

Disponible depuis quelques semaines pour les internautes américains, le nouvel algorithme doit rendre plus efficaces les recherches complexes ou exprimées en langage quasi naturel associant de nombreux mots avec des prépositions.

Toutes les News
LIVRES BLANCS
Les entreprises et les organismes publics se focalisent aujourd’hui sur la transformation numérique. En conséquence, les DevOps et l’agilité sont au premier plan des discussions autour des stratégies informatiques. Pour offrir ces deux avantages, les entreprises travaillent de plus en plus avec les fournisseurs de services de cloud public et développent désormais des clouds sur site à partir d’une infrastructure qui répond à trois exigences de base:
1. Agilité sans friction des ressources physiques
2. Systèmes de contrôle optimisant l'utilisation des ressources physiques et offrant un retour sur investissement maximal
3. Intégration des divers composants de l'infrastructure pour un provisionnement et une gestion des ressources automatisés.


Pour fonctionner, votre entreprise doit pouvoir compter sur une solution de sauvegarde efficace, essentielle dans un monde marqué par une croissance exponentielle des données. Vous devez à la fois accélérer vos sauvegardes et pouvoir y accéder plus rapidement pour satisfaire les exigences actuelles de continuité d’activité, disponibilité, protection des données et conformité réglementaire. Dans cette ère de croissance effrénée, les cibles sur bande hors site et autres approches traditionnelles sont simplement dépassées.


L’Intelligence Artificielle promet de révolutionner la perception de la cybersécurité au coeur des entreprises, mais pas uniquement. Ce changement de paradigme engage, en effet, une redéfinition complète des règles du jeu pour les DSI et les RSSI, ainsi que l’ensemble des acteurs de la sécurité.


Lorsque l'on déploie des postes de travail, ils ont généralement tous la même configuration matérielle et logicielle (avec certaines spécificités selon les services). Mais on ne peut pas toujours tout prévoir et il arrive par exemple que de nouveaux programmes doivent être installés ou n’aient pas été prévus. L’accumulation de logiciels « lourds » est susceptible de provoquer des lenteurs significatives sur un PC allant jusqu’à l’extinction nette de l’application. Ce livre blanc explique comment optimiser les performances au travers de 5 conseils rapides à mettre en place.


Ce guide est conçu pour aider les entreprises à évaluer les solutions de sécurité des terminaux. Il peut être utilisé par les membres de l'équipe de réponse aux incidents et des opérations de sécurité travaillant avec des outils de sécurité des points finaux sur une base quotidienne. Il peut également être utilisé par les responsables informatiques, les professionnels de la sécurité, les responsables de la conformité et d’autres personnes pour évaluer leurs performances. les capacités de l’entreprise en matière de cybersécurité, identifier les lacunes dans la sécurité des terminaux et sélectionner les bons produits pour combler ces lacunes.


Tous les Livres Blancs