Comment commencer à mettre en place du Zero Trust ?
Les menaces évoluent et on a rapidement l’impression que la défense ne s’adapte pas toujours à la bonne vitesse pour lutter efficacement contre de multiples catégories d’attaques : menaces internes, zero-day sur les passerelles VPN, vol d’identifiants, attaques sur les mots de passe ou sur les couches basses du réseau, ou de façon plus répandue : erreurs des utilisateurs et ingénierie sociale.
Les usages changent également, avec la notion de périmètre. Alors que les entreprises ont de plus en plus tendance à orienter leurs infrastructures vers le Cloud, comment adapter sa stratégie de sécurisation pour qu’elle devienne compatible avec cette nouvelle façon de considérer les réseaux, et la détention de la donnée ?
Le Zero Trust répond à cette problématique avec un principe simple : on ne fait jamais confiance, on vérifie toujours. Il existe de multiples façons d’implémenter un tel précepte. Mais par où commencer ?
Comment envisager, progressivement, d’apporter cette philosophie à son SI ? Et surtout, comment débuter cette transformation sans difficulté ?
Pas de Zero Trust sans les bases
La plupart des experts considèreront que le Zero Trust est un concept avancé qui ne peut s’appliquer qu’aux systèmes d’information qui ont déjà acquis une certaine maturité en matière de sécurité. Il y a du vrai, mais ce n’est pas totalement exact.
Il est tout à fait envisageable de commencer à apporter le Zero Trust dès la phase de construction du SI, ou au sein d’un SI existant, en phase de sécurisation à partir du moment où l’on dispose d’une première cartographie de son système, et d’un inventaire des utilisateurs.
Par l’identification de ces deux éléments, on parvient à :
-
Déterminer clairement où est stockée la donnée à protéger et quels sont les services et applications critiques au sein du SI.
-
Préparer la mise en place d’une matrice de droits d’accès, entre les utilisateurs et les applications, afin d’implémenter à terme le principe de moindre privilège.
On cherche ainsi à obtenir une vision globale de la surface d’attaque, et l'on peut d’ores et déjà commencer l’intégration de certains principes qui prennent racine dans le Zero Trust.
Commencer avec l’authentification multifacteur.
“Ne jamais faire confiance et toujours vérifier” s’applique assez naturellement sur les méthodes d’authentification. Alors que ces dernières se sont, pendant des années, appuyées sur les classiques couples identifiants / mots de passe, elles sont, dans une stratégie Zero Trust plus que jamais sensibles.
Zero Trust est intimement lié à l’identité, car ce principe redéfinit la notion de confiance. Par conséquent, il est essentiel de renforcer ce sujet de l'authentification.
Nous l’avions déjà évoqué dans l'article Les mots de passe vont disparaître, l’authentification multifacteur va évoluer dans les prochaines années, pour être beaucoup moins contraignante et plus transparente pour les utilisateurs.
En attendant que l’ensemble des applications deviennent compatibles avec ces nouvelles méthodes, une bonne partie supporte déjà le MFA par OTP. Commencer dès aujourd’hui par mettre en place ces mesures rend la suite beaucoup plus aisée.
Et, finalement, quoi de plus acceptable pour un utilisateur de passer de l'emploi de codes à usage unique à une vérification d’empreinte digitale sur son téléphone ?
En bref, il faut profiter du support de l’authentification multifacteur et :
-
utiliser la cartographie des applications précédemment obtenue pour configurer le MFA sur la majorité d’entre elles dans les limites du réalisable
-
prioriser sur les applications critiques, et étendre progressivement son usage pour minimiser les risques liés aux vols d’identifiants.
“Je sais qui vous êtes, maintenant nous pouvons discuter.”
Continuer avec la micro-segmentation
Segmenter son réseau par zones de confiance est un principe aussi vieux que celui du pare-feu, et il n’est clairement pas apporté par le Zero Trust.
En revanche, repenser la segmentation et la marier au Zero Trust en y apportant du moindre privilège réseau est l'évolution logique des choses.
En réalité, l’idée est de cesser d’envisager les accès aux applications à travers des ouvertures de flux dans des pare-feux, de se baser sur le concept d’adresses IP et de ports pour autoriser ou non les accès aux services.
Pensons identité, applications, et flux sécurisés point-à-point. C’est l’essence même du Zero Trust appliqué au réseau.
En utilisant l’inventaire des utilisateurs, et une première matrice des droits d’accès, il devient possible de :
-
Fournir des accès point-à-point entre utilisateur et application et non des accès à des zones réseau
-
Fermer, par défaut, les accès aux applications, et les ouvrir progressivement en fonction des besoins, en respectant la matrice de droit préalablement établie.
Ici, ce sont les solutions de ZTNA (Zero Trust Network Access) qui entrent en jeu pour fournir une méthode clé en main pour assurer ce principe de micro-segmentation. Chimere en est spécialiste.
Au-delà de redéfinir la façon de segmenter son réseau, on retrouve nativement des caractéristiques comme le chiffrement de bout-en-bout, la suppression de l’exposition et la réduction de la surface d’attaque, la haute disponibilité des services, ou la traçabilité fine des accès.
Aller plus loin avec les accès contextuels
Est-il normal que ce prestataire accède à l'application le week-end dans la nuit de samedi à dimanche, depuis une adresse IP localisée à l’autre bout du monde alors qu’il devrait être dans la même ville que son client ?
Avec le Zero Trust, on détermine non seulement qui a le droit d’accéder à quelle ressource, mais également dans quelles conditions et quel contexte.
Pour aller plus loin, le ZTNA va permettre d’associer finement des politiques de sécurité à des utilisateurs ou des services afin d’interdire ou d’autoriser les accès.
Plus particulièrement, les accès contextuels peuvent se baser sur les critères suivants :
-
Les plages d’horaires d’autorisation, en fonction de la criticité des services, mais également des groupes et des droits des utilisateurs sur lesquels l’accès est autorisé
-
La localisation géographique, et plus particulièrement la zone associée à l’adresse IP source de l’utilisateur à l’instant où il tente d'établir ses connexions
-
La posture de sécurité et le type de l’appareil avec lequel l’utilisateur souhaite se connecter. S’agit-il d’un appareil géré ? Le système d’exploitation est-il autorisé ? Appartient-il au bon domaine ? L’antivirus est-il à jour, a-t-il détecté des menaces récemment ?
Tous ces types de vérifications, bien que plus avancés, sont réalisables avec le ZTNA, et servent de base à une vraie politique Zero Trust.
Ils rentrent totalement dans la philosophie du concept, respectant le principe de confiance zéro, et de vérification constante.
Si le Zero Trust français vous intéresse, n’hésitez pas à vous renseigner sur Chimere, ou à vous inscrire à la newsletter :