Un grand nombre d’entreprises envisagent leurs réseaux connectés comme s’il s’agissait de Mallomars. Vous l’ignorez peut-être, mais les Mallomar sont des gâteaux américains qui se composent d'un biscuit croquant sur lequel est posé un généreux chamallow moelleux, le tout recouvert de chocolat au lait. Les entreprises « Mallomar » pensent que si elles installent un pare-feu suffisamment robuste, la couche de biscuit croquant, elles n’auront plus à se préoccuper de la sécurité interne. Or, bien entendu, leurs réseaux internes ne sont pas suffisamment sécurisés, à l’image du chamallow tout mou au cœur d’un Mallomar.
Depuis quelques temps maintenant, la plupart des experts en sécurité s’accordent sur un point : peu importe le degré de fiabilité du pare-feu, la sécurité des réseaux ne se limite pas à une seule passerelle. La plupart recommandent donc une approche de défense en profondeur ou DiD (Defense-in-Depth). Plutôt que d’envisager le réseau interne comme un espace de confiance ouvert, j’ai réfléchi avec nos clients aux points où il serait judicieux d’ajouter des couches de segmentation et d’authentification supplémentaires, pour que les réseaux ressemblent moins à des Mallomar et plus à des casse-dents.
Au début des années 2000, le Jericho Forum s’est mis à promouvoir la dé-périmétrie. Son adaptation la plus récente est celle de l’approche Zero Trust, terme que l’on doit à John Kindervag quand il travaillait chez Forrester. L’approche Zero Trust consiste à protéger chaque ressource sans exception et convient particulièrement aux équipes distribuées et aux architectures cloud. C’en est fini de l’approche douce et confiante en interne : chaque agissement, chaque accès doit désormais être vérifié et approuvé au préalable.
Que l’on parte de zéro ou qu’il faille adapter un périmètre Mallomar traditionnel à une vision ZTA, voici comment procéder :
- Inventaire : bien entendu, pour bien protéger vos ressources selon une stratégie ZTA, il vous faut d’abord savoir de quelles ressources vous disposez. Assurez-vous de pouvoir tenir un inventaire systématiquement à jour de vos actifs, à savoir : logiciels, matériels, workflows, serveurs cloud, charges cloud, individus (les êtres humains aussi sont des ressources !).
- Règles : ce n’est qu’en écrivant les règles que l’on peut savoir ce qui est autorisé ou non dans un environnement. Si vous devez subir une évaluation de sécurité formelle, les règles sont les premiers éléments que les contrôleurs voudront vérifier. Le fait de pouvoir s’appuyer sur des règles de déploiement ZTA permettra de réfléchir sur papier à ce qui est ou non possible avant de se décider à investir dans de nouvelles technologies coûteuses ou à mettre à niveau/reconfigurer l’existant.
- Pas à pas : maintenant que l’inventaire est fait et queles règles sont connues, il est temps de sélectionner un ou deux candidats pour la stratégie ZTA avant de s’engager dans un déploiement de grande ampleur. Comme il existe plusieurs options de déploiement ZTA, il faut choisir celle qui convient le mieux au candidat retenu. Par exemple, certaines solutions ZTA exigent que l’on déploie un agent sur les endpoints. Dans certains environnements BYOD, il vaut parfois mieux préférer un point d’application des règles de passerelle cloud. Quoi que vous décidiez, commencez petit et déployez avec soin. Une fois que vos premiers candidats donnent entière satisfaction, tirez les enseignements de l’expérience avant de généraliser votre approche ZTA à tout l’environnement.
La bonne nouvelle est qu’avec une bonne expérience de la sécurité et une bonne connaissance de l’approche de défense en profondeur, adopter un état d'esprit fondé sur l'architecture Zero Trust ou ZTA (Zero Trust Architecture) ne devrait pas poser problème. Les entreprises qui privilégient la segmentation, une gestion robuste des actifs matériels et logiciels, la gestion des comptes/identités privilégiés et une stratégie de protection adaptée des ressources réunissent déjà plusieurs éléments fondateurs d’une architecture ZTA. Des avancées techniques, comme les réseaux définis par logiciel ou SDN (software-defined networking) et la gestion des secrets, rendent les approches DiD et ZTA plus faciles à mettre en œuvre et à gérer.
Par William Culbert, Directeur EMEA Sud chez BeyondTrust