Zero Trust, une nouvelle philosophie pour la cybersécurité

Avec la recrudescence des cyberattaques, des vols de données et des ransomwares, personne ne peut plus s’estimer à l’abri. Adopter la philosophie Zero Trust, c’est élever sa défense au niveau de la menace.

Abdembi Miraoui, Cloud Security Leader Projects & Consulting, Capgemini

Au cours des dernières années, la multiplication de cyberattaques de plus en plus graves et sophistiquées a achevé de disqualifier le modèle dit « du château-fort » qui avait prévalu jusque-là. Dans un environnement de plus en plus ouvert et évolutif, marqué par l’essor du cloud et de la mobilité, il n’est tout simplement plus possible de dresser une muraille infranchissable autour du système d’information (SI). La surface d’attaque est trop vaste et fluctuante pour ne jamais présenter de brèches, et les assaillants trop habiles pour ne pas les exploiter.

L’approche Zero Trust prend acte de cette situation et propose d’y remédier en changeant de paradigme : désormais, le contrôle ne se fait plus une fois pour toutes à l’entrée du SI, mais avant chaque action. Pour reprendre l’analogie du château-fort, les personnes ne doivent plus seulement montrer patte blanche à leur arrivée devant le pont-levis, mais aussi à l’intérieur, chaque fois qu’elles empruntent un couloir, changent d’étage ou entrent dans une pièce. Et, du roi au serviteur, ceci est valable pour tous sans distinction. De cette manière, un individu ou un programme malveillant qui aurait malgré tout pénétré dans le système – à la faveur, bien souvent, d’une erreur humaine – ne pourrait pas pour autant s’y mouvoir et y agir à sa guise.

Une vigilance extrême et systématique

Pour être tout à fait efficace, cette extrême vigilance doit s’exercer sur tous les composants du SI : identités, réseaux, données, applications, terminaux… Et s’appuyer sur quelques principes clés : la menace est perpétuelle et omniprésente, tout élément (utilisateur, machine, flux…) est supposé hostile a priori et doit être vérifié, la présence sur le réseau n’est jamais une garantie suffisante, et les politiques doivent être évolutives et reposer sur un maximum d’informations.

Le Zero Trust ne se limite donc pas à un contrôle accru des identités (auquel il est parfois réduit), mais la question des identités en constitue à la fois un pilier majeur et une parfaite illustration. Dans la perspective Zero Trust, personne ne bénéficie de passe-droits, et surtout pas les comptes à privilège (administrateurs, dirigeants…).

La rigueur des contrôles est toujours fonction des risques encourus (applications critiques, données sensibles…). Pour s’assurer des identités, on multiplie les éléments de preuve, en considérant notamment le contexte de connexion (horaire, localisation, appareil…). Enfin, dans tous les cas, on n’accorde que les droits strictement nécessaires.

On le voit, Zero Trust est bien plus qu’une question de technologies. C’est avant tout une philosophie, une exigence de tous les instants, qui doit imprégner chaque système, chaque procédure, chaque projet. C’est ce qui explique que beaucoup de responsables sécurité, d’abord séduits, peinent ensuite à passer à l’action. Face à un chantier si vaste, ils ne savent pas par où commencer, redoutant d’avoir à sacrifier l’existant ou hésitant à imposer de nouveaux contrôles susceptibles de nuire aux performances ou d’être mal acceptés par les utilisateurs.

Une démarche propice aux petits pas

En réalité, il faut renverser l’objection. Puisque Zero Trust est une démarche de fond, une transformation profonde et durable, elle s’accommode d’un démarrage mesuré et d’une progression pas à pas. Le sujet étant très vaste, il y a souvent des quick wins à réaliser (par exemple, mettre en place le MFA1 pour les administrateurs) ou des projets qui peuvent se prêter à une nouvelle approche (par exemple, le move to cloud). Enfin, au lieu de jeter et remplacer les solutions de sécurité existantes, on peut souvent les envisager sous un angle Zero Trust et les faire évoluer par petites touches.
Zero Trust n’impose donc pas de faire table rase du passé. En revanche, pour ne pas disperser ses efforts, il est essentiel d’avoir une vision claire et de se fixer un cap. La démarche débutera donc par une évaluation de la maturité de l’organisation, qui fait parfois du Zero Trust sans le savoir, et de l’adaptabilité de son existant. Puis, on établira une feuille de route permettant de progresser sur chacun des piliers, en tenant bien sûr compte des priorités, des risques et des contraintes liés au métier de l’entreprise, à sa stratégie, à la réglementation, etc.

Ne pas négliger la dimension organisationnelle

Si des implémentations techniques relativement modestes peuvent donc constituer une bonne porte d’entrée à Zero Trust, il ne faut pas perdre de vue que le but est bien de transformer la vision de la cybersécurité toute entière. La feuille de route doit donc accorder une place importante à la dimension organisationnelle car il faut parvenir à inculquer aux équipes cette nouvelle façon de penser qui consiste à ne jamais rien tenir pour acquis et à toujours tout vérifier. Cela passe par de la sensibilisation, de la formation, l’adaptation des outils et des pratiques, voire des réorganisations. Et il faut mettre en place les instances et les indicateurs adéquats pour inscrire la démarche dans la durée : suivi des initiatives, mesure de l’avancement du programme et de la maturité, veille renforcée sur l’innovation technologique et les menaces pour sans cesse adapter le modèle.

L’implication constante et résolue du RSSI est bien entendu impérative pour le succès d’une transformation d’une telle ampleur. Lui seul est en mesure de débloquer les ressources nécessaires, d’aplanir les obstacles et de garantir la cohérence des initiatives entre elles et avec la cible à long terme. Avec la recrudescence des cyberattaques, personne ne peut plus s’estimer à l’abri. Adopter la philosophie Zero Trust, c’est élever sa défense au niveau de la menace.

3 points à retenir sur le Zéro Trust :

1. Zero Trust n’est pas une somme de solutions technologiques, mais un nouveau paradigme qui permet d’aligner la cybersécurité sur la réalité actuelle de l’IT et des menaces.
2. C’est une démarche qui, à terme, doit imprégner tous les aspects de l’IT, mais qui peut se déployer progressivement, en commençant par des projets relativement simples.
3. Les mises en œuvre techniques doivent se doubler d’un fort volet organisationnel et humain pour faire changer durablement les mentalités et les réflexes.