Les clés du modèle Zero Trust

Ecrit par Mehdi Zannettacci.

Comme les applications, les utilisateurs et les terminaux évoluent, entraînant ainsi la dissolution de ce qui constituait auparavant le périmètre de confiance de l’entreprise. Par conséquent beaucoup d’entreprises se tournent vers un modèle de sécurité Zero Trust afin de se protéger des attaques.

Pour commencer

La notion de Zero Trust s’appuie sur la devise suivante « vérifier et ne jamais faire confiance ». Elle permet aux entreprises de protéger leurs activités et d’accélérer leur développement.

Le Zero Trust permet d’éliminer le concept de confiance de l’architecture réseau d’une organisation en contrôlant tous les accès des utilisateurs (aussi bien externes qu’internes) afin de prévenir les violations de données.

Comment le Zero Trust améliore-t-il la sécurité ?

Le modèle Zero Trust permet de contrôler les accès des utilisateurs en répondant à des questions spécifiques. Ces questions doivent vérifier la légitimité de l’accès au terminal et à la ressource. Ces questions peuvent être par exemple :

  • Au cours de l’authentification

Cet utilisateur est-il autorisé à accéder au terminal et à la ressource ? Est-il qui il prétend être ? Son terminal est-il suffisamment sécurisé pour la tâche demandée ?

  • Au cours de l’opération

Cette session est-elle toujours contrôlée par le bon utilisateur ? La demande a-t-elle été vérifiée ?

  • Au cours de l’accès aux données

L’utilisateur a-t-il donné son consentement pour l’accès ? Si oui, à qui ? Quelles actions a-t-il autorisées (lecture, modification, suppression, etc.) ?Ces données devraient-elles être chiffrées ?

Quels sont les avantages supplémentaires du modèle Zero Trust ?

  • Cette solution permet d’uniformiser les contrôles d’accès à toutes les ressources quelle que soit la localisation et le terminal utilisé par le demandeur afin d’améliorer la productivité des employés.
  • Elle est adaptable en s’appuyant indifféremment sur des data centers sur site, des clouds privés ou publics et s’adapte selon chaque catégorie de ressource. De ce fait, des économies peuvent être réalisées en optimisant les frais d’hébergement et de gestion par catégorie de ressource.
  • Le Zero Trust s’appuie sur la micro-segmentation (technique de virtualisation permettant de diviser en sections de sécurité logiques distinctes) pour assigner des règles de sécurité à un niveau plus précis.

Quelles sont les clés stratégiques du modèle Zero Trust

Afin de construire une architecture Zero Trust inclusive et favoriser un accès sécurisé à une application dans un environnement cloud ou sur site, plusieurs étapes clés sont nécessaires:

  • Cesser de protéger uniquement les accès au réseau de l’entreprise

Les clients peuvent accéder aux applications par exemple depuis des réseaux wifi publics. Par conséquent il n’est pas suffisant de sécuriser uniquement les accès au réseau d’entreprise. Les applications critiques doivent également être sécurisées pour tout type d’accès à distance.

  • Authentifier les utilisateurs

L’authentification forte est le pilier d’une architecture Zero Trust. Ce type de solution permet d’authentifier les utilisateurs via plusieurs facteurs d’authentification (mémoriel, corporel, matériel) afin de prouver son identité. Suivant l’activité de l’utilisateur, différents niveaux d’authentification sont nécessaires.

  • Authentifier et valider le terminal

Les utilisateurs légitimes peuvent être amenés à travailler sur des appareils compromis (postes de travail, téléphones, etc.). Il est par conséquent nécessaire de mettre en place une authentification du matériel (via l’émission d’un certificat par exemple).

  • Authentifier la demande

Même si un utilisateur légitime se trouve sur un appareil de confiance, l’application utilisée peut être compromise. Les méthodes de validation des applications doivent être mises en place telles que le contrôle de la version du système d’exploitation ou bien la validation du client OAuth (nécessitant de nouveaux standards de sécurité plus sophistiqués comme l’utilisation de jetons).

  • Autoriser l’opération

Une autorisation générale doit pouvoir juger si un utilisateur est autorisé ou non à effectuer une opération. Sans informations suffisantes, l’opération ne doit pas être acceptée. Le système peut utiliser certaines variables comme la biométrie comportementale, l’authentification continue, la localisation, l’heure, etc.

Conclusion

Que ce soit d’un point de vue de l’usage, de la sécurité ou de l’efficacité du réseau de l’entreprise, le modèle Zero Trust permet d’accompagner sereinement la montée en maturité de la sécurité informatique de l’entreprise.

Afin de réussir leurs transformations numériques et gagner en productivité, les entreprises seraient avisées de s’inspirer de ce nouveau modèle de sécurité.