Nouveau : Candidatures pour rentrée décalée en janvier 2025 ouvertes !

Candidater

Boite à outils

Zero trust: une nouvelle approche de la protection des données

Le zero trust est un modèle de cybersécurité stipulant que chaque utilisateur représente une menace par défaut. Il repose sur la mise en place d’un contrôle des accès et au principe du moindre privilège. La gestion des identités constitue une composante importante de cette stratégie.

Romain Charbonnier
Par Romain Charbonnier
Journaliste indépendant
Contenu mis à jour le
Thumbnail-zerotrust
NB : Contenu en cours de réécriture.

Un modèle zero trust suppose que toutes les personnes représentent une menace, que l’on ne peut faire confiance à personne. Le terme est employé pour la première fois par John Kindervag dans son rapport « No more Chewy Centers: The zero trust model of information security ». La mise en place du modèle au sein d’une organisation implique l’utilisation de solutions comme le PAM (privileged access management) et le respect de plusieurs mesures et règles de sécurité. La vérification de l’identité d’un utilisateur est systématique à chaque fois qu’il accède aux données ou à un outil de l’organisation. Ses droits se réduisent au strict nécessaire pour mener à bien son travail. Dix ans après sa création, le modèle Zero Trust constituait déjà un vaste marché de 15 milliards de dollars selon Reportlinker.

Qu’est-ce que le zéro trust ?

La sécurité informatique classique repose sur le concept du « castle-and-moat ». Selon ce concept, la sécurité du réseau reste inaccessible pour les personnes provenant de l’extérieur. Par contre, les salariés en interne sont de confiance par défaut.

Le terme se traduit par « château » et « douve » en français, le périmètre réseau étant considéré comme une douve et l’entreprise comme le château. Une fois qu’un salarié franchit le pont-levis, il circule librement dans le château. Cela signifie qu’il peut se connecter au réseau, accéder à des données, utiliser des applications, etc.

Les entreprises ayant adopté ce modèle consacrent des moyens importants dans la défense de son périmètre réseau. Elles investissent dans des pare-feux, des systèmes de prévention d’intrusion, des systèmes de détection d’intrusion, etc.

Cependant, ces solutions ne sont pas efficaces face aux menaces internes. Les attaques internes peuvent être initiées par des salariés mécontents ou être le résultat d’une négligence. D’après un rapport de Verizon, une menace externe compromet en moyenne 200 millions d’enregistrements. Par contre, une menace interne expose plus d’un milliard d’enregistrements. De son côté, IBM rapporte que le coût d’une violation de données en interne est 9,5 % plus élevé qu’une violation de données externe.

Le système de sécurité « castle-and-moat » devient vulnérable face à l’essor du cloud computing. Les données de l’organisation ne se trouvent plus dans un seul endroit. Elles sont gérées par plusieurs fournisseurs. Ce contexte rend la mise en place d’un contrôle de sécurité plus difficile.

Le modèle de sécurité informatique « zéro trust » tente d’éliminer ces menaces. Dans ce modèle, toutes personnes accédant au réseau passent par une vérification stricte. Comme son nom l’indique, dans ce concept, la sécurité ne fait pas confiance à n’importe qui et à n’importe quoi.

Le zéro trust network access (ZTNA) est considéré comme la principale solution dans la mise en place de cette architecture. Pourtant, le zéro trust s’appuie sur d’autres technologies et d’autres principes. 

Gratuit
Téléchargez Le Grand Livre de la cybersécurité
Plus de 180 pages d’articles indispensables rédigés par des experts pour vous aider à mieux comprendre le secteur de la cybersécurité.
Téléchargez gratuitement le Grand Livre DE LA CYBERSÉCURITÉ

Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49

Quels sont les principes du zéro trust ?

L’architecture Zero Trust a été développée par John Kindervag, un ancien analyste chez Forrester Research, en 2010. Elle propose un cadre de sécurité plus efficace dans la protection des données de l’organisation. Le concept suppose que chaque utilisateur et point terminal utilisé représentent une menace. Pour cela, le zero trust repose sur trois principes :

L’authentification systématique pour accéder aux données

La sécurité Zero Trust implique une authentification systématique pour chaque demande d’accès à des ressources ou d’utilisation d’un service. La vérification de l’identité intervient à chaque partage de fichiers, à chaque utilisation d’un service dans le cloud, etc. même si l’utilisateur s’est déjà authentifié auparavant.

Dans une architecture zero trust, toutes tentatives d’accès à un réseau représentent une menace. L’application de ce principe passe par la mise en place d’un protocole d’authentification et des systèmes de contrôle de l’accès au réseau (NAC).

Le NAC (Network access control) désigne un serveur qui vérifie les informations de connexion d’un utilisateur avant de l’autoriser à pénétrer le réseau. Cet outil restreint les données auxquelles ce dernier peut accéder.

L’application du moindre privilège (PoLP)

Selon ce principe, le droit d’accès d’un salarié se limite aux données dont il a besoin pour accomplir ses missions, ni plus ni moins. Le moindre privilège consiste donc à restreindre les autorisations d’un utilisateur au strict minimum.

Ce principe limite les dégâts causés par une cyberattaque. Même si les cybercriminels arrivent à craquer un compte, le droit d’accès de ce dernier est restreint.

La mise en place du concept de moindre privilège commence par la localisation des données sensibles : où sont-elles exposées ? Qui y a accès ? Qui a besoin de ces données ? Les réponses à ces questions permettent d’identifier les utilisateurs disposant d’un droit d’accès excessif.

L’identification des besoins permet également de créer plusieurs groupes en fonction des besoins et de leurs rôles au sein de l’organisation. Cette étape est indispensable pour obtenir une gestion efficace des privilèges. À chaque rôle correspond une autorisation spécifique : administrateur, salarié, consultant informatique, etc.

Des solutions technologiques aident les organisations à appliquer le concept de moindre privilège à savoir la gestion des identités et des accès (IAM) et la gestion des comptes à privilèges (PAM). Ces outils rendent automatiques l’attribution et la révocation des autorisations. Ils représentent également des mines d’informations pour surveiller les activités des utilisateurs.

Selon une étude de Gartner, les organisations qui utilisent ces solutions rencontrent 70 % moins de violations que celles qui ne l’utilisent pas. De son côté, Grand View Research estime la taille du marché des IAM à 18 milliards de dollars en 2023. Ce chiffre pourrait atteindre les 41 milliards de dollars d’ici 2030, soit une croissance de 12,6 %.

Surveillance continue sur chaque réseau

La sécurité zero trust implique également une vérification et une surveillance systématique de tous les événements enregistrés sur le réseau. Chaque fichier envoyé, documents partagés, liens reçus, etc. passent au crible.

Vous souhaitez travailler dans la cybersécurité ?
2 FORMATIONS DE POST BAC À BAC+5 100% dédiées à la cybersécurité
Nos programmes de formation sont pensés avec les entreprises du secteur de la cybersécurité et du digital pour maximiser l’employabilité de nos étudiants. Le Bachelor a été construit pour transmettre de solides bases de développement informatique tout en parcourant progressivement les notions clés de la cybersécurité. Le MSc est à 100% dédié à la cyber et spécialise dans un métier de la cybersécurité. Nos diplômes sont reconnus par les entreprises et par l’Etat, ils délivrent en fin de cursus un titre RNCP de niveau 6 (Bac+3) ou 7 (Bac+5).

Comment mettre en place ce concept au sein de l’organisation ?

La mise en place d’un modèle zero trust commence par l’identification des données sensibles. L’organisation connaît ainsi les données à protéger et les moyens pour assurer cette protection.

Identification des données sensibles

Une organisation traite de différents types de données, dont certaines concernent leurs clients. Ils sont appelés données à caractère personnel (PII). Dans le domaine de la santé, on parle d’informations médicales protégées (PHI). Ces deux catégories de données sont considérées comme sensibles. Il est donc important de définir son espace de stockage et sa localisation, connaitre les utilisateurs qui manipulent ces informations. Cette étape permet le déploiement d’une stratégie de protection efficace.

Limite des accès

Cette étape porte sur l’identification des utilisateurs qui ont accès aux données sensibles. Sont-ils légitimes ? Ont-ils réellement besoin de ces informations pour mener à bien leurs missions ? En limitant les accès au strict nécessaire, l’entreprise limite également l’exposition des données aux hackers. Le droit d’accès ne concerne pas uniquement le personnel en interne, il touche aussi les consultants et prestataires.

Détection des menaces

Une fois le droit d’accès limité, l’équipe de sécurité surveille désormais tous les mouvements sur les réseaux. Cela consiste à enregistrer toutes les actions d’un utilisateur, y compris la consultation de données.

Des outils basés sur l’IA peuvent comparer et analyser le comportement des utilisateurs. C’est le cas par exemple d’EDR (endpoint detection and response). Ils prennent directement des mesures en cas d’activités suspectes. Néanmoins, l’équipe de sécurité doit dans un premier temps définir des règles de sécurité.

Quels sont les avantages et les inconvénients du zero trust ?

Une série de pentesting réalisée par Positive Technologies révèle que dans 93 % des cas, les experts ont réussi à pénétrer le réseau d’une organisation. Cela signifie que les hackers peuvent également le faire. Dans ce contexte de menaces grandissantes, chaque entreprise cherche la solution pour se défendre. La sécurité zero trust fait partie de ces solutions. Bien qu’elle présente des avantages indéniables, ses limites méritent d’être connues.

seulement 22. Néanmoins, le nombre d’étudiants a fortement augmenté, générant un manque de ressources pour soutenir les cours.

Une meilleure visibilité du réseau

Aucun utilisateur n’est digne de confiance dans une architecture zero trust, chacun doit s’authentifier pour accéder à des données. Ce système offre une plus grande visibilité sur les activités sur le réseau. L’équipe de sécurité connaît l’heure, l’emplacement, les données consultées et l’appareil utilisé pour chaque authentification.

Une sécurité renforcée pour le télétravail

47 % des entreprises françaises pratiquent le télétravail en 2023 d’après l’INSEE. Le chiffre a doublé depuis la fin de la pandémie de Covid-19. Cette hausse soulève de nouveaux problèmes en cybersécurité. Les salariés peuvent utiliser des appareils personnels pour accéder à des données critiques. Ils se connectent au réseau depuis n’importe quel emplacement. Les solutions de sécurité traditionnelles, à l’instar du pare-feu, ne sont pas adaptées dans ce contexte. Le zero trust représente une meilleure alternative.

Une adaptation difficile face à l’essor du BYOD

Le BYOD (bring your own device) désigne l’utilisation d’appareils personnels dans le cadre professionnel. Pour les employés, cette pratique améliore leur productivité. En effet, le BYOD permet de gagner 37 minutes en moyenne sur son temps de travail par semaine. Par ailleurs, 30 % des employés consultent désormais leurs mails en dehors des heures de bureau.

Pour l’entreprise, le BYOD présente des avantages, mais pose de sérieux problèmes de sécurité. La mise en place du modèle zero trust devient plus complexe. Il faut tenir compte de chaque appareil, des protocoles de communication, etc.

Un nombre important d’applications

Au-delà du BYOD, les salariés utilisent également un nombre important de logiciels SaaS, dont certains en Shadow IT. Selon les chiffres de BetterCloud, le nombre moyen de logiciels SaaS utilisés par une organisation est passé de huit en 2015 à 130 en 2022. Chacune de ces solutions doit être surveillée dans le cadre d’une sécurité zero trust. Ceci augmente le volume de travail de l’équipe de sécurité. Il est donc important de trier les applications afin de déterminer celles qui sont essentielles.

Une authentification ne vérifie pas l’intention

Une authentification systématique ne garantit pas à 100 % la sécurité des données. Le modèle zero trust ne peut pas identifier les intentions malveillantes de certains collaborateurs. Ces derniers peuvent toujours voler les données auxquels ils ont accès. 

 

01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110

Le zéro trust c'est quoi ?

Le zéro trust est un modèle de sécurité informatique où personne n'est considéré comme fiable par défaut, qu'il soit interne ou externe au réseau. Chaque accès doit être strictement vérifié, contrairement au modèle traditionnel "castle-and-moat" qui fait confiance aux utilisateurs internes. Ce modèle répond aux menaces internes et aux défis des environnements cloud en exigeant une authentification rigoureuse pour chaque accès aux ressources.

C'est quoi les avantages du zero trust ?

Le zéro trust offre une meilleure visibilité sur les activités réseau, renforce la sécurité du télétravail, gère l'utilisation d'appareils personnels (BYOD), et surveille les nombreuses applications SaaS utilisées. Cependant, il ne peut pas toujours détecter les intentions malveillantes.

Comment on met en place le zero trust ?

Pour mettre en place le zéro trust :

  1. Identification des données sensibles : Définir quelles données sont sensibles, où elles sont stockées et qui les utilise.
  2. Limite des accès : Accorder l'accès aux données sensibles uniquement aux utilisateurs qui en ont réellement besoin.
  3. Détection des menaces : Surveiller les activités réseau et utiliser des outils basés sur l'IA pour détecter et réagir aux comportements suspects.