Qu’est-ce que la sécurité Zero Trust ?

Publié le 26/11/2020 dans Tech, trucs & astuces

La sécurité IT a longtemps consisté à empêcher les attaques de cybercriminels. Le modèle Zero Trust renverse cette logique et ne fait jamais confiance. Au lieu d’interdire ce qui n’est pas permis, ce modèle se concentre sur ce qui est autorisé.

Qu’est-ce que la sécurité Zero Trust ?

La sécurité IT classique a toujours considéré que tout était en principe autorisé. Elle se focalisait sur les moyens d’empêcher le trafic malveillant. La sécurité Zero Trust inverse cette logique. Par définition, tout est suspect : trafic réseau, flux de données, communication, etc. Et pas seulement ce qui provient de l’extérieur du périmètre réseau, mais aussi tout le trafic interne. Dans un modèle Zero Trust, tout est donc interdit, sauf ce qui est explicitement autorisé.

“La structure de la protection part de l’utilisateur”, explique Christophe Crous, responsable Security, Service Intelligence & Smart Networking chez Proximus. “Il peut s’agir d’un collaborateur, mais aussi d’un client, d’un fournisseur ou d’un partenaire.”

La sécurité Zero Trust s’appuie sur la segmentation du réseau IT en sections virtuelles. Le trafic entre ces sections ou segments est contrôlé par un pare-feu. “L’utilisateur peut se mouvoir uniquement dans un micro-segment de l’environnement IT d’une entreprise. À partir de là, il n’a accès qu’aux applications pour lesquelles il a reçu un droit d’accès.”

Dans le Zero Trust, tout est interdit, sauf ce qui est explicitement autorisé.

Christophe Crous, Head of Security, Service Intelligence & Smart Networking chez Proximus

author

Software defined

Le principe du Zero Trust n’est pas vraiment neuf. Il est comparable à celui des listes noires et listes blanches que certaines entreprises utilisent pour structurer le comportement de navigation de leurs collaborateurs. La liste noire recense les domaines qui relèvent de l’interdit alors que la liste blanche détermine ce qui est autorisé. “L’application du Zero Trust était autrefois irréaliste”, affirme Christophe Crous. “La micro-segmentation n’était pas réalisable.”

À l’époque, le réseau IT était une donnée statique. Une fois configuré, il n’était pas question d’y apporter constamment des changements. Mais aujourd’hui, la gestion IT est de plus en plus basée sur les logiciels, ce qui multiplie les possibilités. “En d’autres termes, à l’heure actuelle, la technologie permet une configuration très rapide, rentable et automatisée de l’environnement IT. La micro-segmentation adaptée à chaque utilisateur est par conséquent tout à fait possible.”

À la recherche de la bonne solution de sécurité pour votre organisation ?

Discutez avec un expert Nouvelle fenêtre

Menace d’initié

Et heureusement. Car les besoins de sécurité ont largement évolué ces derniers temps, notamment parce que la nature des dangers est en constante évolution. “Sept incidents sur dix ne viennent pas de l’extérieur, mais prennent naissance au sein même de l’entreprise : c’est ce qu’on appelle la menace d'initié”, poursuit Christophe Crous. “Ces incidents sont souvent involontaires, par exemple parce qu’un collaborateur clique en toute naïveté sur un lien malveillant.” En règle générale, les infections, par exemple par ransomware, passent inaperçues pendant tout un temps.

Le logiciel malveillant commence par se faire discret un certain temps, il procède à l’examen approfondi de l’environnement de sa victime avant de neutraliser les activités de l’entreprise ciblée. “Cela peut arriver à tout le monde”, précise Christophe Crous. “Toute organisation est une cible potentielle. Ces dernières années, des incidents se sont produits dans des hôpitaux, des usines, des hôtels… Aucun secteur n’est épargné.”

Tout le monde est une cible potentielle

Les petites entreprises estiment encore trop souvent qu’elles ne sont pas une cible intéressante pour les cybercriminels. “Elles se trompent”, affirme Christophe Crous. “Les PME et les pouvoirs locaux peuvent aussi faire l’objet d’une demande de rançon.” C’est ce que révèle l’enquête de Proximus sur la cybersécurité. La simple application de certains principes du Zero Trust peut faire une réelle différence pour ces petites organisations.

Prenons l’exemple de l’authentification à deux facteurs qui demande à l’utilisateur une confirmation supplémentaire via un code qu’il reçoit sur un second appareil, par SMS par exemple. “Bon nombre d’applications utilisent par défaut cette sécurité supplémentaire. Il suffit d’activer l’option pour renforcer le niveau de protection, sans coûts supplémentaires.”

Une politique de sécurité réfléchie

L’application poussée de la sécurité Zero Trust ne s’arrête évidemment pas là. “La première étape consiste à dresser un état des lieux”, indique Christophe Crous. “Ensuite, vous définissez les besoins principaux et les plus urgents et vous y associez des actions concrètes telles que l’évaluation et l’adaptation régulière de la politique de sécurité, la mise à jour des logiciels et du matériel IT au bon moment, etc.”

Le département IT doit faire preuve d’une grande discipline. En principe, la sécurité Zero Trust n’affecte pas l’utilisateur. “Il ne constate sa présence que s’il veut faire quelque chose qui lui est interdit, comme fouiner dans un dossier SharePoint qui ne le concerne pas”, conclut Christophe Crous. “Cet exemple souligne le grand défi que constitue la sécurité Zero Trust. Ce modèle nécessite de bien réfléchir à qui peut accéder à quoi.”

Christophe Crous est ingénieur industriel en électronique. Il a commencé sa carrière auprès de l’ex-Telindus. Depuis début 2015, il est Head of Security, Service Intelligence & Smart Networking chez Proximus.

À la recherche de la bonne solution de sécurité pour votre organisation ?

Discutez avec un expert Nouvelle fenêtre

Experts

Nos experts vous tiennent au courant des dernières nouvelles et tendances pour les professionnels de l'ICT.

Les autres articles de Experts