« L’architecture Zero Trust fait son chemin, mais semble toujours difficile à appréhender sans considérer les éléments socle. L’observabilité avancée s’avère une solution facilitatrice, car la visibilité sur tous les aspects d’une infrastructure IT est essentielle ».

La confiance zéro est un modèle de sécurité qui découle de la désintégration du périmètre classique défini par le pare-feu et constituant une porte unique, et très surveillée, à l’entrée du réseau de l’entreprise. Il suppose que tous les utilisateurs, les appareils et les applications soient authentifiés et dûment autorisés avant de se voir accorder l’accès à toute ressource, qu’elle se trouve à l’intérieur ou à l’extérieur du périmètre du réseau.

Le concept repose sur l’hypothèse que les modèles traditionnels de sécurité des réseaux ne sont plus suffisants pour se protéger contre les cybermenaces modernes. Dans le passé, les périmètres des réseaux étaient bien définis et les organisations pouvaient s’appuyer sur une approche « faire confiance, mais vérifier », en supposant que tout trafic à l’intérieur du périmètre du réseau était autorisé et sûr. Toutefois, avec l’utilisation croissante des services dans le cloud, du travail à distance et des appareils mobiles, les périmètres des réseaux sont devenus plus fluides et difficiles à définir.

Au lieu d’un îlot facile à isoler, l’archipel numérique moderne est connecté et doit être ouvert pour permettre un fonctionnement en écosystème avec le reste de la chaîne de valeur. Il est plus difficile à défendre des menaces internes et des attaques externes, et les modèles de sécurité traditionnels ne peuvent plus garantir une protection efficace. Le principe qui sous-tend la confiance zéro consiste à ne plus se concentrer sur la protection d’un périmètre réseau, mais sur la protection des données et des ressources elles-mêmes.  

Les trois bases essentielles pour la mise en œuvre du Zero Trust

Cette approche met l’accent sur l’importance de la visibilité, du contrôle et de la surveillance, et permet aux organisations d’identifier rapidement les incidents de sécurité et d’y répondre, indépendamment de leur origine ou de leur emplacement. En mettant en œuvre un modèle de sécurité Zéro confiance, les entreprises peuvent réduire leur surface d’attaque, minimiser l’impact des incidents de sécurité et améliorer leur posture globale en matière de cybersécurité.

L’intégration d’un tel système doit procéder d’une démarche qui respecte certains principes fondamentaux, selon Gigamon. Dans un article intitulé « La mise en œuvre d’une architecture Zero Trust », l’éditeur affirme que l’intégration de ce modèle « ne peut pas s’envisager sous l’angle de la conformité, à chaque environnement sa stratégie »,
affirme-t-il, car « la diversité des missions, des équipes et des besoins propres rendent les documents, les feuilles de route, les orientations non uniformes ».  

1. La flexibilité

Les infrastructures informatiques s’adapteront et changeront en fonction de l’évolution des besoins de l’entreprise, de la mission et de l’environnement. Une visibilité constante et cohérente de bout en bout sur son environnement est nécessaire, à mesure que le système de calcul évolue et se déplace entre les ressources de calcul physiques et virtuelles, sur site et dans le cloud. La nature dynamique des réseaux définis par logiciel (SDN) exige également que la structure de visibilité soit facilement adaptable.  

2. La normalisation des données

Il s’agit d’une composante essentielle de l’élaboration d’analyses robustes, précises et étendues à diverses sources de données pour les réseaux sur site, les conteneurs et les multiples fournisseurs de cloud. La détection basée sur l’intelligence artificielle et le machine learning dépend des données utilisées pour former les classificateurs. De grandes variations de données et de sources rendront les classificateurs de détection peu fiables et incohérents dans l’environnement d’une organisation.

La standardisation et la normalisation des sources de données (telles que les journaux) dans tous les composants de l’environnement sont essentielles pour que les moteurs de détection basés sur l’IA/ML puissent être efficaces et aussi pour aider à prendre des décisions fondées sur des règles concernant les comportements des utilisateurs et des systèmes. La nature propriétaire des fournisseurs de services cloud continuera à faire de la normalisation des données un défi pour les organisations qui souhaitent l’interopérabilité.  

3. La visibilité

La visibilité de bout en bout est un autre élément essentiel de l’architecture Zero Trust. Les domaines critiques où la visibilité s’avère nécessaire sont :
  • le cloud : la plupart des organisations utilisent ou utiliseront plusieurs fournisseurs de cloud et chacun d’entre eux peut offrir ses propres outils de génération de logs natifs, uniques et modifiables. La possibilité de normaliser la visibilité du réseau et des applications entre les réseaux sur site et dans le cloud permettront une surveillance unifiée ;
  • les conteneurs : l’adoption rapide et la flexibilité des conteneurs créent des lacunes en matière de visibilité pour les équipes de sécurité et des lacunes dans l’architecture Zero Trust d’une organisation. En étant capables de surveiller les conteneurs et d’en extraire les communications, les organisations pourront ainsi éviter que leur infrastructure ne devienne un repaire pour cybercriminels.
  • l’hybridation : les infrastructures mixtes sur site et dans le cloud rendent difficile l’obtention d’une visibilité unique normalisée dans des environnements variés et disparates ;
  • les points d’extrémité : la visibilité des points d’extrémité offre une mine de données et d’informations, mais elle est potentiellement modifiable en cas de compromission d’un appareil. Il est souhaitable de croiser d’autres sources de données pour mieux identifier les attaques avancées et persistantes ;
  • les points d’extrémité non sécurisés : les points d’extrémité qui ne peuvent pas être couverts par un logiciel de surveillance, telle que les imprimantes, les appareils IoT, OT créent des angles morts à moins de disposer d’une solution d’observabilité avancée.