Le Zero Trust est un modèle de sécurité qui consiste à supprimer la confiance implicite dans l’accès aux réseaux d’entreprise. Ce modèle est particulièrement pertinent aujourd’hui, dans un contexte de mobilité croissante des travailleurs. Découvrez en quoi consiste le Zero Trust et comment le mettre en œuvre.
Qu'est-ce que le modèle de sécurité :
Zero Trust ?
Le modèle de sécurité Zero Trust, ou “zéro confiance“, est basé sur le principe que l’on ne doit accorder une confiance aveugle à personne. Aucune interaction n’est fiable, même provenant du réseau ou émise derrière un pare-feu. Il n’y a pas de confiance implicite.
Par conséquent, aucun utilisateur ne peut accéder aux ressources de l’entreprise sans avoir d’abord été vérifié comme étant légitime et autorisé. Les utilisateurs autorisés à accéder au réseau ou aux données de l’entreprise doivent en outre continuellement prouver leur identité.
D'où vient le modèle de sécurité Zero Trust ?
Le terme de “Zero Trust” a été inventé en 2010 par John Kindervag, dans un rapport Forrester Research. Dans ce rapport, l’analyste rappelle aux entreprises l’importance de ne pas faire confiance systématiquement aux utilisateurs d’un réseau, quelle que soit leur provenance, et de vérifier.
Mais les principes du Zero Trust remontent à 2004 et au concept de “dépérimétrisation“, proposé par le Jericho Forum. Jusque-là, la sécurité d’un réseau était assurée par des dispositifs de sécurité comme un pare-feu, mettant en place une limite autour du réseau. Mais une fois cette limite franchie, il n’y avait pas de mesures de protection.
Or, cette stratégie comporte des risques pour les réseaux, notamment aujourd’hui avec de nouvelles méthodes de piratage. Les hackers peuvent trouver des failles leur permettant de s’introduire dans les réseaux ou recruter une taupe au sein de l’entreprise, qui, elle, aura accès au réseau.
La dépérimétrisation proposait une nouvelle approche. Plutôt que de séparer le réseau d’Internet par une limite, l’idée était de mettre en œuvre une protection multicouches basée sur l’authentification et le chiffrement.
C’est ce que propose l’architecture de réseaux Zero Trust. Il s’agit donc d’une solution de sécurité multicouches, qui se méfie de tous les appareils, utilisateurs et actions, et demande une réauthentification constante.
Les principes sur lesquels repose l'approche Zero Trust
L’approche Zero Trust s’oppose aux stratégies de sécurité classiques, qui reposent sur la sécurité périmétrique. Par défaut, ces stratégies font confiance aux utilisateurs du réseau et n’effectuent le contrôle des autorisations qu’à l’entrée sur le réseau. Le modèle Zero Trust met en application d’autres principes.
La dépérimétrisation
Il y a encore quelques années, le système d’information de l’entreprise était établi à un seul emplacement, au sein d’une seule infrastructure. Mais les entreprises ne sont plus ainsi limitées à un périmètre.
Aujourd’hui, avec l’avènement du Cloud et du télétravail, les employés accèdent aux applications de l’entreprise à distance, depuis divers emplacements et systèmes d’exploitation. Cela expose encore plus les entreprises à la menace du piratage. Le système de périmètre et la confiance inhérente à cette notion ne sont plus viables : d’où l’intérêt de proposer une nouvelle architecture de sécurité des réseaux.
Le moindre privilège
L’idée est d’accorder le moins de privilèges et d’accès possibles à l’utilisateur du réseau, sans pour autant gêner ses actions. L’accès aux ressources de l’entreprise se fait au cas par cas. Le système accorde tout juste l’accès nécessaire aux utilisateurs.
La vérification constante
Comme l’a énoncé John Kindervag, il ne faut jamais avoir confiance et toujours vérifier. Aucun utilisateur et aucune action ne sont intrinsèquement dignes de confiance. A chaque fois que l’utilisateur veut accéder au réseau ou à de nouvelles données, une authentification est demandée. Chaque activité sur le réseau est enregistrée dans un journal et analysée afin d’être en mesure de repérer plus facilement une activité suspecte.
–> Découvrir aussi notre article sur le role de l’AI dans la lutte contre les fraudes financières
Comment mettre en place le modèle de sécurité Zero Trust ?
La mise en place du modèle Zero Trust ne nécessite pas forcément de remplacer les réseaux existants ou d’acquérir de nouvelles technologies. La plupart des entreprises disposent des bases nécessaires pour implémenter ce nouveau modèle, à savoir :
- La gestion des identités et des accès
- Le contrôle des autorisations
- La surveillance continue, avec l’enregistrement et l’analyse des transactions
- L’automatisation des activités sujettes aux erreurs humaines
Pour mettre en place le Zero Trust, il faut d’abord identifier les données sensibles et leur emplacement dans le réseau. Ensuite, il faut s’assurer que seuls les utilisateurs légitimes y ont accès afin de limiter l’exposition de ces données. Il est également nécessaire de surveiller et d’enregistrer toutes les activités liées à l’accès aux données et d’établir des règles de sécurité pour pouvoir détecter une activité anormale, qui pourrait indiquer une menace de cybersécurité élevée.
–> Découvrir aussi notre article sur la sensibiliation cyber 2.0