La sécurité basée sur le périmètre réseau de l’entreprise s’est désagrégée à mesure que le modèle de l’IT hybride et distribuée s’est imposé durant la dernière décennie. Le modèle zéro confiance apporte une réponse aux risques, mais nécessite une adaptabilité dans l’abord de la cybersécurité.
Dans l’ère post-cloud de la transformation numérique, le réseau est une entité multiforme définie par logiciel et gérée via une architecture à base d’API et d’applicatifs spécifiques. L’irruption de la pandémie et la mise en télétravail des forces productives ont achevé l’œuvre de dispersion du réseau périmétrique entamée avec la transformation numérique et la mobilité. Par-dessus le marché, les télétravailleurs, utilisant leurs propres appareils pour des raisons de productivité, ont accéléré l’obsolescence de l’approche « citadelle » de la sécurité, avec ses douves, ses meurtrières et ses postes de garde surveillant les accès.
Dans ce modèle, la tentative pour empêcher les attaquants de pénétrer dans le réseau tout en permettant aux utilisateurs d’y accéder à distance est une cause perdue d’avance. La multiplication des incidents, dont certains à très grand retentissement, a démontré que les attaquants ont assez de ruse et d’inventivité pour prendre pied à l’intérieur du réseau et se déplacer latéralement pour assurer l’enracinement de leur tête de pont. Aujourd’hui le modèle zéro confiance gagne du terrain. La tenue du Zero Trust Demo Forum, du 23 au 25 mars, est l’occasion de faire le point sur cette architecture et de son implémentation.
Un modèle qui fait son chemin dans les entreprises
D’après un rapport d’enquête publié par Gigamon en septembre 2020, 97 % des personnes interrogées ayant entamé leur transition vers une architecture Zero Trust ont en effet déclaré que la mise en place de ce modèle a aidé ou pourrait aider leur entreprise à faire face à la situation mondiale actuelle. Si 54 % des répondants ont adopté zéro confiance pour rendre le réseau plus sûr et réduire les risques, la protection des données et la simplification de leur gestion sont les deuxièmes raisons les plus citées (51 %).
Comme il est impossible de surveiller ce que l’on ne voit pas, les entreprises doivent avoir une vision claire de tout ce qui se passe sur leur réseau afin d’adopter un modèle Zero Trust. Ainsi, 49 % des répondants ont indiqué l’avoir adopté afin de réduire le risque de compromission du système par les employés. Selon un livre blanc de Deloitte (Zero Trust, A revolutionary approach to Cyber or just another buzz word?), le modèle zéro confiance est avant tout une architecture d’authentification qui se définit comme suit : « Toutes les communications, quel que soit le lieu, sont traitées à partir du même point de départ, à savoir l’absence de confiance inhérente. La confiance est établie par une politique dynamique, alimentée par une série de signaux allant de l’analytique comportementale au renseignement sur les menaces, et elle est constamment revalidée ».
Comment construire une architecture zéro confiance
Cependant, la transition vers un modèle zéro confiance rebute nombre d’entreprises. L’ouverture d’accès extérieurs vers les applications critiques internes de l’entreprise est un risque pour certaines, qui rechignent à le faire. De plus, la multiplication des procédures d’authentification tatillonne fait craindre que le modèle zéro confiance ne nuise à la productivité des collaborateurs.
C’est la raison pour laquelle Deloitte suggère que l’adoption de la confiance zéro « doit être considérée comme un parcours à l’échelle de l’entreprise, qui consiste autant à repositionner la manière dont nous abordons et gérons le cyber-risque au sein de l’entreprise qu’à faire évoluer les capacités technologiques. Chez Deloitte, nous utilisons un framework qui englobe neuf domaines fondamentaux qui contribuent à façonner le parcours zéro confiance et à obtenir les résultats commerciaux souhaités ».
En somme, concluent les rédacteurs du livre blanc, « Les programmes de confiance zéro vont bien au-delà de la technologie et nécessitent l’intégration d’un large éventail de capacités pour réaliser tout leur potentiel ». Ainsi, les environnements zéro confiance sont principalement construits par l’intégration et l’évolution des capacités technologiques existantes, complétées par l’introduction de technologies de nouvelle génération. « En ayant une vision claire des avantages recherchés, les organisations doivent définir des principes architecturaux et des feuilles de route clairs, qui fournissent un modèle commun de zéro confiance à partir duquel les capacités peuvent être construites ».