Le Cigref, association d’entreprises visant à « réussir le numérique », a publié un rapport sur le Zero Trust. Derrière cette notion se cache une philosophie très différente de la sécurité pour bon nombre d’acteurs. Le rapport présente plusieurs points de vue d’entreprises américaines, mais n’en reste pas moins intéressant dans ses conclusions.
Qu’est-ce que le Zero Trust ? Une approche radicale de la sécurité, au sein de laquelle on ne fait confiance à aucun élément de l'infrastructure et où tout doit être vérifié. Cette philosophie est à contre-courant de nombreuses infrastructures héritées dans lesquelles, en passant par les bons protocoles et en présentant parfois des certificats, les données circulent à peu près librement, le réseau étant une zone de confiance.
Dans le détail, ce n’est bien sûr pas si simple et le paysage est contrasté. Comme le note le Cigref, des entreprises « font déjà du Zero Trust sans le savoir mais la plupart n’en sont encore qu’au début de la démarche, et cherchent à identifier les opportunités qu’ils auraient à l’intégrer dans leur stratégie et politique de sécurité ».
L’idée générale est de se poser les questions « qui accède à quoi, pour quoi, comment, et d’où ? ». Le « qui » renvoie aux utilisateurs et services, le « quoi » aux applications, le « pour quoi » aux raisons de l’accès, le « comment » au réseau utilisé et le « où » au terminal, quel qu’il soit. Le fait de se conformer au RGPD et à tout autre cadre légal en vigueur n’est pas suffisant et ne garantit en rien la sécurité. En revanche, garantir la sécurité des données est un aspect essentiel du règlement.
Pour ce rapport, le Cigref s’est entretenu avec les filiales françaises de quelques grosses entreprises américaines comme Akamai et Microsoft, mais surtout avec un grand nombre d’entités françaises comme Air France KLM, Dassault Aviation, Axa, plusieurs ministères (dont l’Intérieur, les Armées et l’Éducation), la Banque de France, Geodis, BNP Paribas, Enedis, la SNCF, Sodexo, Pole Emploi ou encore Keolis.
La fin du périmètre
Pour le Cigref, le Zero Trust est un sujet « structurel, complexe, transverse, et inscrit dans le temps long », qui ajoute une grande piste de réflexion aux bonnes pratiques existantes de sécurité de l’ANSSI et autres organisations.
Cette réflexion peut cependant remettre en question l’intégralité d’une infrastructure, car il ne faut plus considérer le réseau comme un élément de confiance. Dans une structure Zero Trust, tout élément demandant quelque chose est traité comme s’il venait du monde extérieur. Il doit montrer patte blanche, qu’il s’agisse d’un smartphone aux antipodes ou d’un ordinateur sur le réseau de l’entreprise.
Pour donner un exemple, le Cigref cite le cas de Google, qui a développé sa vision BeyondCorp du Zero Trust il y a une dizaine d’années. L’initiative était d’abord interne, avant d’envahir finalement plusieurs produits et d’être proposée aux clients il y a environ un an. Point intéressant, le Cigref a noté dans les livres blancs de Google que l’entreprise assure elle-même que chaque entreprise peut avoir sa vision du Zero Trust et que la sienne n’ira pas à tout le monde.
Le cœur du sujet n’en reste pas moins mis en avant par la société : la fin du périmètre de sécurité au profit d’une sécurité centrée sur l’identité. Le Cigref rebondit et présente sur cette base les cinq principes fondamentaux du Zero Trust :
- Le réseau est toujours supposé hostile
- Des menaces externes et internes existent sur le réseau à tout moment
- La localisation du réseau n'est pas suffisante pour décider de la confiance dans un réseau
- Chaque dispositif, utilisateur et flux réseau, est authentifié et autorisé
- Les politiques d’accès doivent être dynamiques et calculées à partir d'autant de sources de données que possible
L’association note que selon les entreprises, certains points sont plus ancrés que d’autres. Pour Forrester par exemple, c’est très clair : ne jamais faire confiance, vérifier toutes les identités et les demandes d’accès, ne jamais supposer la confiance, prendre des décisions basée sur le risque transactionnel, ne jamais autoriser un accès sur la base uniquement de l’emplacement du réseau, enregistrer et surveiller autant d’informations que possible, micro-segmenter le réseau pour cantonner les menaces de sécurité, automatiser et orchestrer les tâches de sécurité pour améliorer la cohérence et l’exécution…
Des éléments communs à ce que l’on trouve chez Microsoft, qui met cependant l'accent sur une politique dynamique comprenant l'état observable de l'identité du client, de l'application ou du service et de l'actif demandeur. L’intégrité et la sécurité de tous les actifs détenus et associés sont surveillées et mesurées, et aucun accès n’est donné tant qu’une authentification et une autorisation de ressources n’ont pas eu lieu.
On peut y voir une remise à plat de la sécurité, dans laquelle plus aucune position n’est privilégiée. Tous les éléments sont au même niveau, tous les accès sont surveillés, mais la méthode pour y parvenir diffère selon la structure.
Le contexte actuel pousserait au Zero Trust
Pour le Cigref, le contexte actuel ne peut que pousser vers le Zero Trust : « l’augmentation exponentielle de la cybermenace, l’éclatement du SI associé à la migration dans le cloud, ainsi que les évolutions technologiques et l’augmentation des projets de numérique », auxquels l’association ajoute le « besoin de mobilité des collaborateurs », qui a grandi avec le contexte de crise sanitaire, et l’éclatement du système d’information.
Ce dernier point est d’autant plus important que trois tendances se recoupent : la déportation des applications sur site vers le cloud, l’élargissement du périmètre des utilisateurs (salariés, sous-traitants, partenaires, clients…) et les politiques de BYOD (bring your own device).
Tant est si bien que l’on est passé d’une ancienne situation où 80 % des échanges se faisaient sur le réseau interne (ce qui peut encore être le cas dans certaines structures) à une nouvelle où plus des trois quarts se font avec Internet.
Mais il ne s’agit pas, dans la majorité des cas, de partir à la découverte de l’inconnue. Le Cigref cite par exemple le rapport « State of Zero Trust Security 2021 » d’Okta, dans lequel 78 % des entreprises dans le monde ont indiqué avoir mieux compris la nécessité d’une approche Zero Trust. Mieux, 90 % travailleraient sur une initiative Zero Trust, contre 41 % un an avant.
Toutes les initiatives ne sont pas au même niveau. Chaque taille de structure présente ses propres défis, sans parler de la sensibilité des décideurs à l’encontre du Zero Trust. Certaines entreprises ayant fait du cloud leur fonds de commerce – à l’instar des GAFAM – dépassent leurs propres besoins, puisqu’ils doivent héberger les informations des autres. Et même ainsi, le chemin à parcourir est encore grand.
La route sera longue
Que 90 % des entreprises travaillent sur le Zero Trust d’une manière ou d’une autre est une bonne nouvelle. Cependant, Forrester Research, spécialisé dans les études de marché, accole une « jauge de maturité » pour mesurer le travail accompli face à une transformation totale de la chaine dans une approche Zero Trust.
Au niveau mondial, la majorité des structures se situerait entre 5 et 10 % seulement de maturité. Le secteur bancaire serait le plus en avance avec de 20 à 25 % de maturité.
Wavestone est de son côté un cabinet de conseil français spécialiste de la transformation des entreprises et des organisations, et ses conclusions vont dans le même sens. Sur la base d’un panel de clients disposant d’un système d’information historique et international, il fournit les statistiques suivantes :
- 5 % conservent leur ancienne approche de « château fort »
- 20 % ont basculé sur un modèle « aéroport » (hall accessible à tout le monde, zones sensibles et sécurisées pour accéder aux avions et au tarmac)
- 70 % étudient comment faire pour se lancer vers le Zero Trust
- 5 % ont lancé de premiers projets ou débuté une implémentation
Et si bien peu se sont vraiment lancés, c’est que le Zero Trust rebat profondément les cartes. Comme le signale Wavestone, il est difficile de dire si une structure quelconque « est » Zero Trust ou pas. Il est probable que la tentation du cloud devienne encore plus forte et alimente les forces déjà grandes des GAFAM, de nombreuses entreprises pouvant se sentir dépassées par les changements impliqués. Toutes n’ont pas les ressources nécessaires.
Akamai donne quelques conseils pour procéder par étapes, en commençant par exemple par des problématiques spécifiques ou groupes d’utilisateurs faciles, comme les applications purement web. La société recommande alors une mise en place en parallèle du VPN d’entreprise, pour une progression douce, avant de supprimer le réseau virtuel pour certains groupes. L’information et la documentation doivent suivre au sein des utilisateurs.
Une fois cette base installée, la structure peut élargir progressivement le nombre d’applications et d’utilisateurs, automatiser la découverte d’applications et leur inclusion, pour enfin intégrer petit à petit des niveaux de contrôle : identité et rôle, vérification de l’adéquation entre l’appareil et l’aspect critique de l’application, et contrôles comportementaux. On retrouve ce dernier notamment chez Wavestone et Microsoft, qui insistent sur l’adaptation dynamique.
L’un des aspects les plus perturbateurs dans l’organisation des structures – et donc contraignants – est la transversalité qu’exige le Zero Trust. Ce dernier réclame une approche globale dans laquelle les équipes ne peuvent plus être des ilots isolés. Dans la plupart des cas, cela implique de faire évoluer et de redéfinir ces équipes.
Voici, à titre d’exemple, l’implémentation du Zero Trust par Forrester au cours de l’année passée :
Une évolution de l’existant, mais un très grand pas
Les principes fondateurs du Zero Trust ne sont pas des nouveautés en soi. Ils sont pour la plupart de simples évolutions des bonnes pratiques existantes, qui ne sont pas remises en question. Ce qui change en revanche, c’est leur application à l’ensemble de l’infrastructure, et non aux seuls systèmes critiques.
Le Cigref donne plusieurs conseils généraux pour avancer dans la réflexion. Le premier est de prendre le temps de comprendre pleinement ce qu’implique le Zero Trust, car il recouvre aussi bien l’intégralité des systèmes que des utilisateurs, y compris les responsables et la direction. Une fois les bases posées et les défis cernés, on intègre le schéma dans les nouveaux projets du système d’information, sans toucher aux applicatifs existants. On retrouve une généralisation des recommandations formulées par Akamai.
L’idée centrale est la progression douce, car le temps éprouve les concepts et permet à une entreprise de tester la nouvelle recette sans remettre toute son infrastructure. Le conseil est valable dans tous les cas, que l’entreprise choisisse de rester sur site ou de basculer sur un cloud privé ou public. L’association note à ce sujet que le cloud apporte d’autres problématiques de sécurité en même temps que des outils complémentaires pour le Zero Trust. Là encore, l’analyse de la réponse aux besoins sera cruciale.
Dans tous les cas, et comme l’indique Wavestone, le Zero Trust n’est pas une solution magique. C’est une réflexion sur le long cours qui ne disparaît pas une fois l'infrastructure adaptée, même totalement. Elle invite à se poser des questions sur l’existant et se bâtit sur tout un lot de technologies et de solutions. Rien ne sert par exemple pour une entreprise de courir si elle a déjà du mal à implémenter l’authentification à facteurs multiples (MFA). Or, comme on a pu le voir par exemple avec Azure Active Directory chez Microsoft récemment, la MFA a encore de gros progrès à faire en entreprise.
Un avis qui recouvre celui de l'ANSSI, qui s'était exprimée sur le sujet : « Il convient en outre de garder à l’esprit que l’adoption d’un modèle Zero Trust et l’architecture associée ne se substituent aucunement à l’inventaire et au contrôle des terminaux clients utilisés pour accéder aux ressources et aux services ».
Et la France dans tout ça ?
C’est le point critiquable du rapport du Cigref, malgré l’intérêt à mettre en lumière le Zero Trust, tout en se voulant rassurant, notamment sur l’aspect progressif du changement. Les sociétés à s’exprimer sont presque toutes de grandes entités américaines, et bien que les apports soient intéressants puisqu’il s’agit de retours d’expériences, on ne va pas dans le sens d’une souveraineté nationale ou même européenne dans ce rapport. Le Cigref avait d'ailleurs été critiqué pour les mêmes raisons en octobre dernier.
Toutefois, comme dit, il s’agit d’un effort global et d’une prise de conscience à l’échelle mondiale. Et bien que l’on parle pour l’instant d’entreprises, il ne fait aucun doute que les services grand public finiront eux aussi par être concernés. On sait par exemple que Microsoft veut éliminer les mots de passe, considérés depuis longtemps comme un maillon faible de la chaine de sécurité. Même si des gestionnaires simplifient leur utilisation et en augmentent la force, ils ne peuvent renforcer des solutions plus robustes comme la biométrie et les puces de sécurité.
Au sein d’un rapport émanant d’une association française, représentant des entreprises et administrations françaises, on aurait toutefois lire des avis des entreprises citées en préambule. On espère qu’une future version permettra de mesurer le chemin parcouru dans l’Hexagone et en Europe.
Commentaires (3)
#1
C’est une très bonne chose que le Cigref et l’ANSSI s’intéressent au sujet. Sur le concept de Zero Trust, c’est une idée apatride et surtout un mode d’architecture de sécurité qui n’est pas lié à des outils, on peut donc penser que les réflexions issues des discussions avec des entreprises anglo-saxonnes restent globalement pertinentes.
Mais cela reste un objectif difficile à atteindre car la tentation sera souvent de remplacer les sécurités existantes par les nouvelles, issues de cette architecture, avant que ces nouvelles protections ne soient suffisamment déployées et éprouvées. Exemple : on enlève les firewall périmétriques parce qu’on fait du Zero Trust. Selon moi, le Zero Trust devrait compléter les architectures existantes, devenues insuffisantes face à la professionnalisation des attaquants et la sophistication des attaques.
Un mot sur la biométrie : les puces de sécurité sont efficaces, mais la biométrie c’est plus du confort que de la sécurité
#2
Tout à fait d’accord, le zéro trust, c’est un peu du périmétrique avec autant de périmètres que d’applications (voire plus). Si on n’est pas capable de faire du périmétrique sur un seul périmètre, ça ne va pas mieux marcher en multipliant le travail par un facteur 100+.
#3
Pour avoir vu comment fonctionne les systèmes avec token/donuts/biscuit pour le web, est-ce qu’il existe la même chose au niveau TLS ?
L’exemple legacy que j’ai en tête c’est la connection ssh à une machine, mais on veut interdire certain utilisateur de s’en servir pour un rebond vers ailleurs.