Le modèle Zero Trust, qu'est-ce que c'est ?

Le modèle Zero Trust, ou « zéro confiance », est une approche de la conception des architectures de sécurité basée sur le principe suivant : aucune interaction n'est fiable au départ. Cette approche diffère de celle des architectures traditionnelles où une communication est réputée fiable dès lors qu'elle est émise derrière un pare-feu. Plus précisément, le modèle Zero Trust vise à combler les failles des architectures de sécurité qui s'appuient sur des modèles de confiance implicite et une authentification à un seul facteur.

Le récent succès de cette approche est dû à l'évolution des menaces au niveau mondial. Les activités confinées au réseau ne peuvent plus être automatiquement considérées comme sans danger. Les groupes de cybercriminels bien organisés recrutent parfois des taupes au sein d'une entreprise, ce qui augmente les risques de menaces internes, et trouvent constamment de nouvelles failles dans l'enceinte externe des architectures de sécurité traditionnelles. De plus, les outils de piratage et plateformes de RaaS (Ransomware-as-a-Service) sont aujourd'hui plus accessibles, ce qui simplifie les nouvelles opérations de cybercriminalité et de cyberterrorisme motivées par l'appât du gain. Toutes ces menaces peuvent potentiellement conduire à des vols de données importantes, perturber l'activité des entreprises et les transactions commerciales, et affecter des vies humaines.

Face à ces nouvelles menaces, le gouvernement fédéral des États-Unis se doit légalement de promouvoir activement les architectures Zero Trust, et de nombreuses entreprises évaluent actuellement les coûts et les avantages de l'adoption de cette approche.

En 2010, dans un rapport Forrester Research sur le modèle Zero Trust, John Kindervag a appelé les entreprises à remplacer leur approche de la sécurité des réseaux de type « faire confiance, mais vérifier » par une stratégie « zéro confiance et vérification systématique ». M. Kindervag a remis en question la tendance du réseau semblable à un bonbon au chocolat, dur et croquant à l'extérieur et tendre et moelleux à l'intérieur. Pendant des décennies, les entreprises ont été conçues selon ce modèle, avec un réseau interne ou de confiance (l'intérieur tendre) séparé du monde extérieur par des pare-feu et d'autres systèmes de défense (l'extérieur dur). Les utilisateurs ou les points de terminaison situés à l'intérieur du périmètre, ou connectés à distance, bénéficiaient d'un niveau de confiance plus élevé que ceux situés à l'extérieur du périmètre.

Même si cette approche de la conception de la sécurité n'a jamais été idéale, elle est encore aujourd'hui très suivie. Avec ces architectures, il est facile de traverser le réseau interne une fois la barrière externe franchie, car les utilisateurs, les appareils, les données et les autres ressources ne sont presque pas séparés. Les pirates exploitent cette conception en s'infiltrant d'abord par un ou plusieurs points de terminaison internes ou via d'autres ressources, avant de se déplacer latéralement sur le réseau, en exploitant les faiblesses afin d'exfiltrer les informations contrôlées et de lancer d'autres attaques.

Outre sa vulnérabilité aux cyberattaques sophistiquées, cette architecture insuffisante est mise à rude épreuve à mesure que les réseaux s'étendent pour inclure un grand nombre de points de terminaison et que les utilisateurs exigent un accès à distance à toujours plus de ressources, à partir de sites toujours plus nombreux, avec des services toujours plus précis. La question de la confiance capte davantage l'attention depuis la pandémie de COVID-19, car les équipes travaillent de plus en plus à distance et le nombre de charges de travail exécutées dans des environnements cloud continue d'augmenter.

Pour gérer les vulnérabilités de cet environnement, les entreprises abandonnent progressivement les réseaux privés virtuels (VPN), qui permettent un accès sécurisé à l'ensemble du réseau, au profit d'un accès réseau Zero Trust plus précis, qui segmente l'accès et limite les autorisations des utilisateurs à des applications et services spécifiques. Cette microsegmentation contribue à limiter les mouvements latéraux des cybercriminels, à réduire la surface d'attaque et à contenir les fuites de données. L'adoption d'un modèle Zero Trust exige cependant des entreprises qu'elles appliquent le principe de « zéro confiance et vérification systématique » à tous les aspects de leur architecture de sécurité.

Le modèle de sécurité Zero Trust repose sur l'abandon des périmètres et sur le principe du moindre privilège pour les accès, pour protéger les données, les ressources et les services sensibles contre les vulnérabilités inhérentes au périmètre du réseau et aux architectures de confiance implicite.

Abandon des périmètres : les entreprises ne sont plus définies par un périmètre géographique. Les utilisateurs travaillent à partir de divers sites et points de terminaison. Ils accèdent aux ressources depuis un ou plusieurs environnements d'exploitation, y compris des solutions cloud et SaaS, qui ne sont souvent pas détenus ou contrôlés par le service informatique de l'entreprise. L'abandon des périmètres permet de dissocier la confiance de l'emplacement.

Moindre privilège : lorsque les interactions ne peuvent plus se baser sur le nom ou l'emplacement pour définir le niveau de confiance, chaque interaction devient suspecte. La décision d'autoriser ou non une interaction devient une décision métier qui doit tenir compte de tous les avantages et risques associés. Le principe du moindre privilège fait référence à la pratique qui consiste à restreindre l'accès aux seules ressources absolument nécessaires, c'est-à-dire aux privilèges minimaux nécessaires à une activité. Chaque demande d'accès à une ressource doit être validée dynamiquement à l'aide de la gestion des identités et de contrôles d'accès basés sur les risques et le contexte.

Pour mettre en œuvre une architecture Zero Trust, il n'est pas nécessaire de remplacer complètement les réseaux existants ni d'acquérir une multitude de nouvelles technologies. Au contraire, cette approche doit renforcer les pratiques et outils de sécurité déjà en place. De nombreuses entreprises disposent déjà des bases nécessaires pour adopter une architecture Zero Trust et appliquent au quotidien des pratiques en ce sens.

Par exemple, les points suivants, nécessaires pour réussir l'adoption d'une stratégie Zero Trust, sont souvent déjà respectés dans les architectures de sécurité classiques :

• La gestion des identités et des accès

• Les autorisations

• L'automatisation des décisions liées aux politiques

• L'application de correctifs aux ressources

• La surveillance continue avec enregistrement et analyse des transactions

• L'automatisation quasi systématique des activités reproductibles et sujettes aux erreurs humaines

• L'utilisation de l'analyse comportementale et des renseignements sur les menaces pour renforcer la sécurité des ressources

En fait, le modèle Zero Trust est déjà appliqué aujourd'hui à différentes échelles et dans une grande variété d'environnements. Ses principes fondamentaux exigent principalement l'application des pratiques de sécurité existantes, ainsi que des contrôles de l'entreprise et des processus. Plusieurs institutions fédérales américaines, telles que le département de la Défense, la Sécurité intérieure et la communauté du renseignement, où la sécurité est un pilier culturel central, ont déjà accompli des progrès considérables dans la mise en œuvre d'un modèle de sécurité Zero Trust.

Pour répondre aux besoins métiers et encourager la transformation numérique, de nombreuses entreprises ont recours à des composants Open Source et à des outils tiers pour développer leurs logiciels. Or, la sécurité de ces composants Open Source et de leurs dépendances peut être compromise par des malfaiteurs cherchant à infiltrer la chaîne d'approvisionnement des logiciels au début du processus de développement. Les entreprises peuvent alors être victimes de cyberattaques et être contraintes à retarder le lancement de leurs applications. Une approche Zero Trust est essentielle pour sécuriser la chaîne d'approvisionnement des logiciels et détecter les problèmes au plus tôt afin de limiter leur coût.

Pour réduire au maximum les attaques visant la chaîne logistique, les entreprises peuvent utiliser du code Open Source sécurisé, intégrer la sécurité dans les images de conteneurs, renforcer le pipeline CI/CD, et surveiller les applications pendant l'exécution.

Le modèle de sécurité Zero Trust est souvent décrit en termes abstraits, par opposition aux modèles d'accès contrôlé plus formalisés tels que le modèle Bell-LaPadula. Il existe divers ensembles de composants adoptés par différents groupes ou organismes de normalisation. Voici un ensemble type de composants :

• Source unique d'identité forte pour les utilisateurs et les entités qui ne sont pas des personnes

• Authentification utilisateur et machine

• Contexte supplémentaire, tel que la conformité aux politiques et l'intégrité du périphérique

• Politiques d'autorisation d'accès à une application ou à une ressource

• Politiques de contrôle d'accès dans une application

Ces éléments sont largement axés sur la mise en œuvre des politiques d'accès basées sur l'identité, avec pour principes le « rejet par défaut » et l'« autorisation comme exception ».

Pour respecter les principes Zero Trust, les limites de confiance doivent être aussi réduites que possible : par définition, à l'intérieur de la limite, les sujets sont fiables et les contrôles d'accès peuvent être omis, contournés ou limités. Puisque l'autorisation ne doit concerner que des fonctions métier spécifiques, toute limite permettant l'accès à d'autres fonctions doit être réduite.

Toutes les limites de confiance d'une architecture système n'ont pas besoin de répondre aux critères d'une limite Zero Trust. Ces limites ordinaires, par exemple le filtrage des adresses IP indésirables, l'autorisation de certains protocoles à accéder à un réseau ou la limitation de l'utilisation des réseaux sociaux, peuvent s'ajouter aux principes Zero Trust pour compléter la stratégie de sécurité. Néanmoins, contrairement aux architectures réseau classiques, le modèle Zero Trust ne tient pas compte des limites ordinaires dans le calcul de la confiance. Seules les limites qui respectent les critères Zero Trust entrent en ligne de compte.

Le modèle Zero Trust exige une séparation permanente entre les sujets : en d'autres termes, il existe toujours une limite de confiance entre deux sujets, et chaque interaction nécessite donc une authentification à plusieurs facteurs et une autorisation directe. Il n'y a pas de confiance implicite du fait que deux sujets se trouvent sur le même réseau (un scénario très courant), ni qu'ils se trouvent dans le même emplacement physique, ni qu'ils fassent partie du même service ou du même système intégré.

Le modèle de sécurité Zero Trust fonctionne en assurant le respect de ces limites de confiance, en général, par le biais d'un mécanisme de contrôle imposé entre toutes les interactions potentielles avec toutes les ressources. Ces interactions évoluent cependant dans le temps, tout comme les identités, l'état des ressources et les autres aspects d'un système. Ces changements perpétuels exigent une évaluation et une surveillance continues des identités et des ressources, ainsi qu'une application évolutive des mécanismes d'authentification et d'autorisation.

Il existe encore de nombreux domaines où les moyens sont trop limités pour mettre en œuvre ces principes de base. L'utilisation d'anciennes technologies, les processus métier pas assez développés ou la faible priorité accordée à la sécurité représentent autant d'obstacles à l'application du modèle Zero Trust.

Le modèle Zero Trust nécessite souvent un changement d'état d'esprit, tant au niveau des équipes de direction qu'au niveau des équipes de sécurité. D'un côté, la direction doit évaluer le risque d'assurer le bon fonctionnement des architectures de sécurité dépassées. De l'autre, les équipes informatiques et d'exploitation doivent identifier les systèmes réutilisables pour réduire le coût de la mise en œuvre du modèle Zero Trust, ainsi que déterminer les investissements prioritaires. Cependant, certains protocoles et périphériques ne seront jamais conformes aux principes Zero Trust. Il faut donc décider s'il faut les remplacer ou les conserver. En outre, si certains systèmes ne peuvent pas respecter totalement les critères Zero Trust, les équipes d'exploitation doivent se demander s'il existe des contrôles de sécurité alternatifs et s'ils peuvent être appliqués pour réduire davantage leur exposition.

L'adoption du « rejet par défaut » ou de la « vérification systématique », principes de base du modèle Zero Trust, exige un engagement et une attention durables de la part des équipes, qui doivent notamment veiller à ce que personne au sein de l'entreprise ne tente de contourner l'architecture de sécurité Zero Trust en recourant au shadow IT, ou informatique de l'ombre.

Nous pouvons vous aider à adopter le modèle de sécurité Zero Trust. Pour commencer, les entreprises doivent bien comprendre le modèle Zero Trust et faire preuve d'une véritable volonté de s'engager. La sensibilisation générale à la cybersécurité est une condition préalable importante pour amener les parties prenantes à agir. Celles-ci doivent comprendre la nature des menaces actuelles et les raisons pour lesquelles les pratiques de sécurité existantes, bien qu'essentielles, sont incomplètes sans les principes Zero Trust. Nous proposons des options de formation avec des expériences personnalisées, dans le cadre des stages Red Hat Open Innovation Labs ou d'autres contrats spécialisés des services Red Hat.