Créé en 2010 par John Kindervag, analyste spécialiste du secteur, le modèle de sécurité Zero Trust repose sur la conviction que les entreprises ne doivent pas automatiquement faire confiance à tout, que cela soit à l'intérieur ou à l'extérieur de leur périmètre. En effet, le modèle exige de vérifier absolument toutes les connexions aux systèmes, avant d’accorder le moindre accès.
Plusieurs études montrent que Zero Trust, et les technologies qui le prennent en charge, sont de plus en plus répandus et facilement adoptés par les entreprises. En effet, la sécurité périmétrique a évolué au fil du temps, et repose désormais davantage sur une approche basée sur la sécurisation des accès à privilèges – ou accès administrateurs.
Progression et décentralisation du périmètre
A l’origine, la protection contre les cybermenaces était essentiellement axée sur la sécurisation du périmètre. C'était l'âge d'or des pares-feux, des VPN et des zones démilitarisées. La confiance était donc essentiellement établie et définie par le périmètre. À ce moment-là, les actifs sensibles de l’entreprise résidaient alors majoritairement à l'intérieur des murs physiques de l'organisation ; et tout individu connecté au réseau était considéré comme fiable. Les entreprises se concentraient, à cette époque, sur la sécurisation du périmètre afin d'empêcher des incidents tels que les intrusions, les logiciels malveillants, le phishing, le déni de service et les attaques Zero Day. Or, ce modèle traditionnel mettait presque exclusivement l’accent sur la menace perçue de l’extérieur, tout en ignorant complètement la sécurisation des données précieuses et vulnérables.
Au fil du temps, les spécialistes IT se sont affranchis de ce modèle de sécurité traditionnel, entraînant ainsi une redéfinition de la confiance et des niveaux de contrôles appropriés. Tout d’abord, les utilisateurs sont devenus des « nomades numériques », abandonnant leurs bureaux pour travailler à distance. Les entreprises ont par conséquent ouvert leurs réseaux pour permettre aux employés d’utiliser les applications métiers en dehors du bureau, en télétravail ou en déplacement, ce qui a conduit à l’apparition de réseaux extranets, et donc à une couche supplémentaire de sécurité. Ces connexions à distance sont protégées par des VPN qui permettent souvent à la moitié du trafic d’aller directement à l’extérieur, tandis que l’autre moitié transite via le VPN pour accéder aux applications de l’organisation. Toutefois, cette connexion fait automatiquement confiance à la machine de l’utilisateur, or, elle est potentiellement exposée à des malwares. Ces derniers peuvent ensuite se répandre dans le réseau, grâce aux autres accès potentiels du terminal. Vinrent ensuite les applications SaaS, aspirant à réduire les coûts et les espaces de stockage, avec une migration vers le cloud telle que nous la connaissons actuellement.
Tout au long de cette évolution, le périmètre est devenu si fluide et dynamique que ses frontières, au sens traditionnel du terme, ont finalement disparu. Le périmètre n'est plus, par conséquent, qu’une entité statique ; il est rendu perméable par le cloud, la transformation numérique, l’Internet des objets (IoT), l’accès mobile et une main-d’œuvre de plus en plus géo-distribuée.
Au sein de ces architectures modernisées, la gestion des accès – et donc des privilèges associés – doit être étroite pour contenir la surface d’attaque. Il existe deux types d’accès : celui de l’utilisateur standard qui dispose d’un accès applicatif basique ; et celui de l’utilisateur privilégié, qui possède un accès illimité aux applications, aux données sensibles et aux ressources critiques. Pour ce dernier, le niveau de cyber-risque est beaucoup plus élevé, compte tenu de la nature décentralisée de ce modèle, et du fait que l’utilisateur peut accéder à l’ensemble du réseau, et en prendre le contrôle. Autre cas d’usage possible, les utilisateurs non humains - à l’instar des applications qui interagissent avec les systèmes d'exploitation, via des comptes de service et des processus d'automatisation commerciaux (et robotiques), dans lesquels des bots se connectent, stockent et accèdent à des données et applications sensibles. Alors que l'organisation gère difficilement les nombreuses couches de sécurité, la protection des données critiques devient un défi significatif et incontournable.
Cette évolution du modèle de sécurité ne correspond pas seulement aux principes de Zero Trust, il réaffirme aussi l’importance de la sécurisation des accès à privilèges. C’est pourquoi, bien que la plupart des entreprises ne soient pas encore prêtes à abandonner complètement les pares-feux et la sécurité périmétrique, elles devraient certainement s’attacher davantage à renforcer la sécurité de l’intérieur, afin de limiter les risques d’attaque sophistiquée.
Par Jean-Christophe Vitu, VP Solution Engineers EMEA, chez CyberArk
