Une nouvelle approche de la sécurité à l’heure du cloud et du travail nomade
La sécurité zéro trust est une approche stricte de la sécurité, à l’ère du cloud et de la mobilité. Elle promet de préserver les télétravailleurs d’une série de nouvelles menaces, mais son déploiement ne se fait pas en une nuit !
La plupart du temps, les équipes de sécurité protègent leurs applications et leurs données en utilisant des outils couvrant le périmètre du réseau de l’entreprise. Ces réseaux sont dotés d’une protection extérieure renforcée constituée de plusieurs dispositifs tels que des pare-feux, que les équipes de sécurité espèrent suffisants pour empêcher les pirates de s’y introduire.
Avec l’évolution des organisations vers le travail nomade, la notion de périmètre a perdu de son sens. Ainsi, les équipes de sécurité ont focalisé leur attention sur la protection individuelle de chaque application et de chaque donnée, où qu’elles se trouvent.
Des dispositifs de sécurité fondés sur l’identité de l’utilisateur
Cette accélération du travail nomade a ainsi posé les fondamentaux de la sécurité zéro trust.
Les architectures zéro trust ne connectent pas automatiquement les appareils au réseau, même s’ils disposent d’une adresse MAC ou IP de confiance. Pour accéder aux ressources dont ils ont besoin, les utilisateurs devront d’abord suivre plusieurs procédures d’authentification, qu’ils travaillent à domicile ou au bureau. Ils le font en suivant un plan de contrôle d’accès aux applications, qui agit comme un gardien en protégeant tous les actifs de l’entreprise jusqu’au contrôle des accès.
Cette vérification repose sur l’identité de l’utilisateur, ce qui fait de la gestion des accès la partie la plus critique d’une architecture zéro trust. L’authentification multifactorielle via des clés de sécurité matérielles ou des éléments biométriques (empreintes digitales par exemple) est un composant de plus en plus courant pour une vérification sécurisée dans les environnements digitaux les plus modernes. Autre principe fondamental du modèle zéro trust : le contrôle des accès par un système de droits ou de privilèges (Privileged Access Management). Seuls les utilisateurs disposant d’autorisations (ou privilèges) spécifiques peuvent accéder au réseau et à ses applications. Ce système nécessite le développement d’une fonction de sécurité dite Role-based access control (RBAC) ou contrôle d’accès basé sur les rôles, qui permet de contrôler le statut de chaque utilisateur pour déterminer ses autorisations d’accès.
Ainsi, au lieu d’un principe de confiance généralisé, les télétravailleurs doivent s’authentifier pour accéder à chaque application et ressource. Pourquoi doivent-ils continuer à le faire ? Parce que les architectures zéro trust adaptent les autorisations d’accès selon les usages. Cette approche de la sécurité ne se contente pas de demander des identifiants pour octroyer un accès. Elle décide des privilèges d’accès d’une session en fonction de plusieurs éléments sensibles, notamment l’application à laquelle l’utilisateur accède et le périphérique qu’il utilise. Ces paramètres aident la sous-couche de contrôle d’accès à appliquer des politiques de sécurité pour autoriser cette session selon des modèles de risque prédéfinis.
Comment la pandémie a accéléré l’approche zéro trust
L’abandon des modèles basés sur le périmètre au profit de la « zéro trust » a été progressif et incrémentiel, mais les choses se sont accélérées en 2020.
La Covid-19 a clairement transformé le paysage informatique avec des collaborateurs de de l’entreprise qui travaillent depuis chez eux, en utilisant une connexion internet grand public. D’un seul coup, les services IT ont dû prendre en charge des connexions non fiables à partir d’appareils non fiables utilisant des réseaux non fiables.
Cette évolution a étendu le périmètre des menaces qui pèsent sur les organisations du jour au lendemain. Les pirates n’avaient plus besoin d’atteindre le bastion intérieur en trouvant des portes ouvertes ou des règles de pare-feu mal configurées. Ils ont pu lancer toute une série d’attaques de phishing et de malwares pour cibler les salariés en distanciel.
Les entreprises ont réagi en mettant en place des réseaux privés virtuels (VPN) pour crypter et gérer les connexions entre les réseaux domestiques et les systèmes d’entreprise. Les VPN offrent une certaine protection aux utilisateurs autorisés à distance et à l’environnement de l’entreprise en offrant une ouverture à l’intérieur du périmètre, mais ils ont aussi des lacunes. Ils reposent toujours sur des dispositifs construits sur un principe confiance, de sorte qu’un pirate qui parvient à l’exploiter peut intercepter le trafic VPN ou se faire passer pour un utilisateur reconnu par le réseau.
Conscients de cela, les pirates ont commencé à cibler directement les failles connues des VPN, conduisant notamment le Centre national de cybersécurité du Royaume-Uni à mettre en garde les télétravailleurs contre ce genre d’attaques.
Poser les principes de la sécurité zéro trust
Si les VPN ont toujours leur place comme moyen de défense des réseaux, la sécurité zéro trust offre un moyen efficace pour en combler les failles, et renforcer la sécurité des utilisateurs. Si un pirate compromet le terminal ou le VPN d’un télétravailleur, il ne pourra pas l’utiliser pour accéder automatiquement à son réseau.
Selon Gartner, d’ici 2023, 60 % des entreprises élimineront progressivement la plupart de leurs VPN d’accès à distance, en faveur d’un modèle zéro trust plus sécurisé. Toutefois, la mise en œuvre de cette architecture nécessite plusieurs aménagements. Ceux qui l’adoptent ne s’appuient plus sur un périmètre de protection globale, ce qui signifie qu’ils doivent identifier tous les actifs de l’organisation qu’ils veulent protéger et construire des interfaces entre eux et au niveau de la sous-couche du contrôle d’accès.
Les équipes de sécurité doivent également déployer une technologie de surveillance pour observer les schémas de communication sous-jacents de tous les actifs. Cela les aidera à recueillir les données nécessaires à cette vérification contextuelle.
Rien de tout cela n’est possible sans l’adoption de mesures de sécurité de base telles que le cryptage. Les équipes d’intégration doivent s’assurer qu’elles auront verrouillé les actifs sur plusieurs niveaux du réseau. En complément de ce cryptage, les entreprises veilleront également à chiffrer leurs données pour se protéger davantage. Cette mesure s’inscrit dans le cadre des politiques de sécurité des données, qui garantit que seules quelques personnes identifiées ont accès aux informations décryptées.
Refonte du réseau
Cette période donne l’occasion de repenser l’organisation du réseau interne des entreprises. Le plus grand défaut de la sécurité réseau restreinte à un périmètre donné est lié à son ouverture interne. Les pirates qui franchissent le pare-feu peuvent souvent circuler librement sur le réseau, car personne n’avait pensé à créer des parois internes. Les spécialistes de la zéro trust corrigent ce problème par la micro-segmentation, qui compartimente le réseau de l’entreprise et exige que les utilisateurs, les appareils et les applications s’identifient à chaque fois qu’ils traversent une frontière. La nécessité d’accompagner les changements dans les habitudes de travail à long terme a mis en lumière cette nouvelle approche pour sécuriser nos applications et nos données.