Cybersécurité : pourquoi appliquer le zero trust ?
Le zéro trust est l’art d’assurer une sécurité dans un monde sans périmètre. Cet article de blog conçu par NXO vous explique l’essentiel
Découvrir l’offreUne demande, besoin d’un conseil ?
0821 201 201 (0,18€ TTC/min)
Cet article est le troisième d’une série de trois articles consacrés au zero trust.
Après avoir vu pourquoi adopter le zero trust, dans le précédent article, puis sur sa mise en place dans un second, nous focalisons le thème de la sécurisation sans VPN
Nota : Avant de lire ce deuxième article sur le sujet du zéro trust, nous vous invitons à lire le premier article « pourquoi appliquer le zero trust » et le second article sur sa mise en oeuvre, si ce n’est fait.
Le concept de sécurité périmétrique repose sur le fait d’accorder à l’utilisateur l’accès au réseau de l’entreprise via un système d’accès à distance VPN. Cela donne alors accès à l’ensemble des données et applications dans le cas où aucune segmentation du réseau n’a été prévu (la mise en pratique peut se révéler être complexe). Cette pratique de confiance illimitée peut se révéler être dangereuse pour l’entreprise dans son ensemble.
Aujourd’hui, ce type de pratique est encore très largement utilisé pour permettre aux utilisateurs externes d’accéder au réseau interne et aux applications hébergées dans le cloud. Cependant, cela peut exposer l’entreprise à de nombreux risques. En effet, les utilisateurs peuvent passer par des réseaux non sécurisés et via des appareils mobiles non gérés et non protégés par l’entreprise (BYOD).
Si vous êtes intéressés suivez ce lien
Le VPN : un point faible en terme de sécurité ?
En ayant accès à l’intégralité du réseau interne, il existe un risque accru de violation des données ou d’infection par malware. De plus, l’installation et la gestion de l’infrastructure VPN sont des opérations onéreuses et chronophages.
A cela s’ajoute souvent, une mauvaise expérience utilisateur, la latence, le cout qui pousse certaines entreprises à abandonner l’usage de VPN.
Il n’est donc pas étonnant que le concept de VPN est de plus en plus remis en cause aujourd’hui.
Evolution des SI : les données sont partout !
Nous l’avons vu, le modèle de sécurité périmétrique est aujourd’hui dépassé. Pourquoi ? car les données sont maintenant partout. En effet, on constate que des applications internes côtoient d’autres en mode SaaS qui sont hébergées à l’extérieur du périmètre tandis que l’infrastructure passe de serveurs virtualisés dans le datacenter à des instances ou du stockage dans un Cloud public.
A cela s’ajoute le fait que les utilisateurs sont souvent mobiles (le télétravail est moteur dans ce sens). Avec tous ces aspects, il est devenu très difficile de déterminer qui est de confiance dans ces situations diverses.
On comprend alors que le concept de VPN est à remettre en cause car il est de plus en plus difficile d’adapter et de maintenir les configurations VPN.
C’est là qu’intervient le concept de Zéro trust : si le périmètre disparait alors la notion de confiance (Trust) accordé par défaut doit être remis en cause.
Ce concept qui a été introduit par Jogn Kindervag de Forrester en 2009, est de plus en plus populaire aujourd’hui. Cependant, d’après le Zero Trust Adoption Report 2019, réalisé par Cybersecurity Insiders, seulement 15 % des entreprises ont déjà adopté le Zéro trust mais plus de la moitié (59 %) prévoient le faire au cours des 12 prochains mois.
Avec le Zero Trust, est-ce la fin du VPN ?
Il n’est pas rare que des failles de sécurité soient identifiées chez les VPN. Ainsi par exemple, des chercheurs de Cisco Talos ont identifiés des failles de sécurité chez NordVPN et ProtonVPN. Cela montre encore une fois, l’importance de mettre à jour les clients VPN pour limiter les risques.
On le voit quotidiennement avec les diverses annonces de failles, d’attaques toujours plus complexes, de nouvelles technologies émergentes, la cyber sécurité évolue très rapidement et la frontière entre le réseau interne et externe est de plus en plus flou. La réalité du terrain tend à dire que l’approche Zéro Trust pose une remise en cause de la sécurité traditionnelle pour mieux se protéger. Cependant, il faut avoir conscience que cela nécessite une certaine maturité de l’entreprise. En effet, il existe beaucoup d’entreprises qui sont basés sur une sécurité périmétrique et cela leur convient encore très bien.
Cependant pour les entreprises ayant un fonctionnement plus mature et complexe, l’approche zéro trust prend aujourd’hui tout son sens. On trouve de nombreux éditeurs positionnés sur le terrain du zéro trust avec plusieurs angles d’attaque. On peut citer par exemple PALO ALTO NETWORKS et le spécialiste en gestion des identités OKTA.
Par où commencer ?
La mise en place du concept « Zero Trust » implique une importante remise en cause, et la mise en place de nombreuses solutions mais surtout une philosophie interne. Il faut donc commencer par étapes, autrement dit commencer « petit » dans un premier temps et par itération.
Atteindre la confiance zéro est souvent perçu comme coûteux et complexe. Cependant, ce modèle est construit sur une architecture existante et n’oblige pas à extraire et à remplacer la technologie existante. Il n’y a pas vraiment de produit « Zero Trust ». Il existe des produits qui fonctionnent bien dans les environnements « Zero Trust ». Ce concept nécessite beaucoup de méthodologie
Selon John Kindervag (à l’origine du concept) cela repose sur 5 étapes clés :
La mise en place d’une architecture « Zero trust » repose sur l’identité
Cela doit permettre de gagner en visibilité pour tout le trafic – utilisateur, appareil, emplacement et application – et être basé sur la segmentation permettant d’avoir une meilleure visibilité sur le trafic interne. Pour cela, il faut disposer d’un pare-feu de nouvelle génération (NextGen Firewall) doté de capacités de déchiffrement. Il doit permettre de faire la micro-segmentation des périmètres et pourra jouer le rôle de « contrôleur des frontières » au sein de l’organisation.
Il est également essentiel de mettre en place des solutions de gestion d’identité et d’authentification forte afin de toujours vérifier l’identité des utilisateurs et du « device ». Cette identité doit désormais être le véritable pivot de de la cybersécurité de l’entreprise.
Dans ce domaine, cela va permettre d’autoriser des utilisateurs à accéder aux applications et ressources uniquement sur des terminaux fiables. Pour y parvenir, il y a plusieurs étapes afin de confirmer l’identité d’un utilisateur et du device :
1/ Vérifier que l’accès provient bien du bon utilisateur
2/ Le terminal est reconnu
La plateforme et le client utilisés pour cette tentative d’accès doivent être conformes à la politique de sécurité́ de l’entreprise. Pour s’assurer qu’il s’agit bien du bon utilisateur, il faut notamment mettre en place une politique d’authentification multi Facteur contextualisée.
Après authentification de l’utilisateur, il faudra ensuite procéder aux vérifications spécifiques au terminal. Une solution comme par exemple OKTA disposent de plusieurs méthodes efficaces pour reconnaître un terminal de confiance.
Au final, le Zéro Trust est une remise en cause profonde de la sécurité mais qui prendra du temps
Gartner prédit que d’ici 2023, 60% des entreprises réduiront leurs ressources VPN en faveur d’un accès réseau « Zero Trust » qui peut prendre la forme d’une passerelle qui authentifie aussi bien le terminal et l’utilisateur avant d’autoriser un accès basé sur le rôle et le contexte.
On constate qu’il existe une grande variété de failles associées à une approche périmétrique de la sécurité. Cette dernière ne permet pas de répondre efficacement aux attaques de l’intérieur. De plus, si un attaquant vole les identifiants VPN d’une personne (par de l’ingénierie sociale par exemple), il pourra accéder au réseau et se balader librement.
Au-delà des risques, avec l’émergence du télétravail, les employés sont de plus en plus nombreux à espérer bénéficier des mêmes conditions de travail chez eux qu’au travail.
Les départements informatiques doivent ainsi aujourd’hui optimiser les performances, tout en offrant aux employés une expérience utilisateur positive et personnalisée.
Cependant force est de constater que la mise en place du « Zero Trust » est contraignante et nécessite une remise en cause de nombreux acquis, et pousse à la mise en place de solutions dont la gestion des identités est la pierre angulaire.
Faut-il abandonner une solution de type VPN ?
Ce type de solution est toujours pertinent si l’organisation de l’entreprise toujours sur le principe du périmètre avec des utilisateurs n’ayant pas besoin d’accès à des solutions cloud, n’utilisant pas de BYOD par exemple.
En revanche pour les entreprises à plus forte maturité, il faut dès maintenant commencer à avancer dans la réflexion pour une mise en place de principe de zéro Trust à plus ou moins moyen terme. Cela ne signifie pas d’abandonner dès maintenant une solution de type VPN mais de procéder par étapes.
Nicolas Lacourte
Solution Manager Cybersécurité NXO