Est-il vraiment nécessaire d’appliquer les principes du Zero Trust pour protéger un Système d’Information (SI) désormais sans périmètre physique ? C’est une question à laquelle il est difficile de répondre avec certitude. Ce qui est sûr c’est que seule une transformation numérique du Système d’Information permet aujourd’hui à une entreprise de survivre. Le contexte mondial postpandémie a entraîné une crise économique d’ampleur planétaire qui aura obligé les organismes, tant privés que publics, à opérer leur transformation numérique, voire à l’accélérer quand elle était déjà en cours. Au centre de cela, un travail à distance indispensable pendant le confinement, devenu une véritable institution professionnelle une fois la crise sanitaire passée. Grâce à cela, la plupart des organismes de toutes tailles ont pu survivre et poursuivre leur activité… mais à quel prix ?
La plupart des DSI n’étaient pas prêtes à subir une telle situation avec souvent une stratégie de cybersécurité non adaptée pour ce contexte. Des liaisons à distance mises en place dans l’urgence, des ordinateurs personnels utilisés dans un cadre professionnel… beaucoup trop de raisons sont à l’origine de l’augmentation de la surface d’attaque de la plupart des SI durant cette période. Et l’opportunisme des cyberattaquants n’étant plus à démontrer, c’est ainsi que de trop nombreuses attaques ont réussi à percer leurs défenses.
Notre quotidien chez Insight, c’est une multiplication de projets pour mettre en place une cyberprotection plus efficace car beaucoup d’organismes subissent en permanence la pression d’un grand nombre de cyberattaques. Qu’elles soient réussies ou non, ces intrusions mettent en exergue un problème de base : comment savoir si la personne qui demande un accès au SI est réellement celle qu’elle prétend être ? La gestion des identités est au cœur des préoccupations de nos clients. Et nous avons également une forte demande pour mettre en place non seulement une réelle gestion des postes de travail mais aussi une sécurisation de ces derniers. C’est ce type d’expertise que recherchent la plupart de nos clients.
Si l’on considère dans le détail ces requêtes, les organismes ne demandent rien de bien révolutionnaire d’un point de vue technologique. A savoir que toutes les technologies nécessaires pour mettre en place une protection sur ces différents points existent d’ores et déjà sur le marché. Et c’est là où le Zero Trust entre en ligne de compte car il recommande, en quelques mots, « de ne jamais faire confiance à personne ». C’est un principe qui n’est pas tout jeune mais qui n’a jamais vraiment connu de succès auprès des organisations. Ce n’est que depuis peu qu’il prend enfin de l’ampleur. Le Zero Trust est un concept proposé pour mettre en place une stratégie de cybersécurité au sein de l’organisme. Il permet de sécuriser un SI ouvert, sans réelle frontière physique notamment depuis l'avènement du Cloud. Les GAFAM en tête appliquent ce concept pour s’assurer que leur SI a et conserve une surface d’attaque minimum et ce, de manière pérenne. Le NIST, National Institute of Standards and Technology, décrit ce principe au sein d’un document considéré par la plupart des acteurs comme la vision officielle du Zero Trust.
L’idée du Zero Trust est d’être proactif et non plus réactif. Les protections que désirent nos clients, sont parmi les briques principales que décrit ce principe. Cela nous permet également de tenir compte de la menace interne, d’appliquer réellement les patchs nécessaires pour éviter de nouvelles failles de sécurité et de surtout mettre en œuvre une politique d’accès adéquate. Le voyage vers le Zero Trust peut naturellement se faire par étapes. Par exemple l’un de nos clients nous a approché pour une simple sécurisation des postes de travail puis Insight l’accompagne sur un projet Identité et Authentification (MFA, accès conditionnels…). Ensuite nos experts sont à nouveau requis pour, cette fois, mettre en place un système de visibilité des postes du parc. L’étape suivante fut la gestion de « la compliance » de ces postes. Pour finir, l’entreprise cliente a estimé que la gestion complète par nos soins de leur SI sous forme de services managés, Soc managé à l’appui, était la meilleure des solutions pour appliquer au fil du temps le principe ZT chez eux.
En résumé, il faut vérifier en premier lieu que la personne qui demande une connexion est bien celle qu’elle prétend être, puis ne lui donner accès qu’à ce qu’il lui est nécessaire en fonction de son profil. Quant à l’administrateur, il doit rester en éveil : bien segmenter les accès c’est-à-dire ouvrir la connexion pour la bonne personne, au bon moment et dans le bon périmètre ; chiffrer de bout en bout ; vérifier que les potentielles failles de sécurité ont bien été patchées et également s’assurer que la reprise d’activité soit bien opérationnelle.
L’objectif est de mettre des bâtons dans les roues de l’attaquant et donc l’utilisation d’un MFA, Multi-Factor Authentification, est recommandée et même de l’adapter en fonction du contexte de la personne, au moment de la demande de connexion.
Mais attention ce n’est pas parce que l’on a mis en place le bon moyen de se protéger que l’on l’est bien. Une étude de Microsoft affirmait, il y a deux ans, que 89% des employés qui possédaient un MFA ne l’avaient pas activé et si l’on ne considère que les administrateurs, ce taux passerait à 70%. Par ailleurs, les cybermenaces s’adaptent et le « MFA Fatigue » est à la mode : la patience des administrateurs est mise à rude épreuve et ils finissent par donner accès au cyberattaquant en dépit de la présence du MFA. Pour pallier ces attaques, la formation et la communication comme la réflexion sont importantes pour réduire au maximum la surface vulnérable.
Que l’on suive les principes du Zero Trust de façon fidèle ou pas, certaines briques proposées deviennent quasi-incontournables pour que le SI conserve une surface d’attaque minimum. Mais quoi qu’il en soit la vigilance reste de mise et notamment le suivi de l’évolution du paysage des menaces, que ce soit au travers d’une équipe spécialisée ou par souscription à un service.
Par Hakim Taoussi, Technical Architect chez Insight