Zero trust: une nouvelle approche de la protection des données

Un modèle zero trust suppose que toutes les personnes représentent une menace, que l’on ne peut faire confiance à personne. Le terme est employé pour la première fois par John Kindervag dans son rapport « No more Chewy Centers: The zero trust model of information security ». La mise en place du modèle au sein d’une organisation implique l’utilisation de solutions comme le PAM (privileged access management) et le respect de plusieurs mesures et règles de sécurité. La vérification de l’identité d’un utilisateur est systématique à chaque fois qu’il accède aux données ou à un outil de l’organisation. Ses droits se réduisent au strict nécessaire pour mener à bien son travail. Dix ans après sa création, le modèle Zero Trust constituait déjà un vaste marché de 15 milliards de dollars selon Reportlinker.

La sécurité informatique classique repose sur le concept du « castle-and-moat ». Selon ce concept, la sécurité du réseau reste inaccessible pour les personnes provenant de l’extérieur. Par contre, les salariés en interne sont de confiance par défaut.

Le terme se traduit par « château » et « douve » en français, le périmètre réseau étant considéré comme une douve et l’entreprise comme le château. Une fois qu’un salarié franchit le pont-levis, il circule librement dans le château. Cela signifie qu’il peut se connecter au réseau, accéder à des données, utiliser des applications, etc.

Les entreprises ayant adopté ce modèle consacrent des moyens importants dans la défense de son périmètre réseau. Elles investissent dans des pare-feux, des systèmes de prévention d’intrusion, des systèmes de détection d’intrusion, etc.

Cependant, ces solutions ne sont pas efficaces face aux menaces internes. Les attaques internes peuvent être initiées par des salariés mécontents ou être le résultat d’une négligence. D’après un rapport de Verizon, une menace externe compromet en moyenne 200 millions d’enregistrements. Par contre, une menace interne expose plus d’un milliard d’enregistrements. De son côté, IBM rapporte que le coût d’une violation de données en interne est 9,5 % plus élevé qu’une violation de données externe.

Le système de sécurité « castle-and-moat » devient vulnérable face à l’essor du cloud computing. Les données de l’organisation ne se trouvent plus dans un seul endroit. Elles sont gérées par plusieurs fournisseurs. Ce contexte rend la mise en place d’un contrôle de sécurité plus difficile.

Le modèle de sécurité informatique « zéro trust » tente d’éliminer ces menaces. Dans ce modèle, toutes personnes accédant au réseau passent par une vérification stricte. Comme son nom l’indique, dans ce concept, la sécurité ne fait pas confiance à n’importe qui et à n’importe quoi.

Le zéro trust network access (ZTNA) est considéré comme la principale solution dans la mise en place de cette architecture. Pourtant, le zéro trust s’appuie sur d’autres technologies et d’autres principes. 

L’architecture Zero Trust a été développée par John Kindervag, un ancien analyste chez Forrester Research, en 2010. Elle propose un cadre de sécurité plus efficace dans la protection des données de l’organisation. Le concept suppose que chaque utilisateur et point terminal utilisé représentent une menace. Pour cela, le zero trust repose sur trois principes :

La sécurité Zero Trust implique une authentification systématique pour chaque demande d’accès à des ressources ou d’utilisation d’un service. La vérification de l’identité intervient à chaque partage de fichiers, à chaque utilisation d’un service dans le cloud, etc. même si l’utilisateur s’est déjà authentifié auparavant.

Dans une architecture zero trust, toutes tentatives d’accès à un réseau représentent une menace. L’application de ce principe passe par la mise en place d’un protocole d’authentification et des systèmes de contrôle de l’accès au réseau (NAC).

Le NAC (Network access control) désigne un serveur qui vérifie les informations de connexion d’un utilisateur avant de l’autoriser à pénétrer le réseau. Cet outil restreint les données auxquelles ce dernier peut accéder.

Selon ce principe, le droit d’accès d’un salarié se limite aux données dont il a besoin pour accomplir ses missions, ni plus ni moins. Le moindre privilège consiste donc à restreindre les autorisations d’un utilisateur au strict minimum.

Ce principe limite les dégâts causés par une cyberattaque. Même si les cybercriminels arrivent à craquer un compte, le droit d’accès de ce dernier est restreint.

La mise en place du concept de moindre privilège commence par la localisation des données sensibles : où sont-elles exposées ? Qui y a accès ? Qui a besoin de ces données ? Les réponses à ces questions permettent d’identifier les utilisateurs disposant d’un droit d’accès excessif.

L’identification des besoins permet également de créer plusieurs groupes en fonction des besoins et de leurs rôles au sein de l’organisation. Cette étape est indispensable pour obtenir une gestion efficace des privilèges. À chaque rôle correspond une autorisation spécifique : administrateur, salarié, consultant informatique, etc.

Des solutions technologiques aident les organisations à appliquer le concept de moindre privilège à savoir la gestion des identités et des accès (IAM) et la gestion des comptes à privilèges (PAM). Ces outils rendent automatiques l’attribution et la révocation des autorisations. Ils représentent également des mines d’informations pour surveiller les activités des utilisateurs.

Selon une étude de Gartner, les organisations qui utilisent ces solutions rencontrent 70 % moins de violations que celles qui ne l’utilisent pas. De son côté, Grand View Research estime la taille du marché des IAM à 18 milliards de dollars en 2023. Ce chiffre pourrait atteindre les 41 milliards de dollars d’ici 2030, soit une croissance de 12,6 %.

La sécurité zero trust implique également une vérification et une surveillance systématique de tous les événements enregistrés sur le réseau. Chaque fichier envoyé, documents partagés, liens reçus, etc. passent au crible.

La mise en place d’un modèle zero trust commence par l’identification des données sensibles. L’organisation connaît ainsi les données à protéger et les moyens pour assurer cette protection.

Une organisation traite de différents types de données, dont certaines concernent leurs clients. Ils sont appelés données à caractère personnel (PII). Dans le domaine de la santé, on parle d’informations médicales protégées (PHI). Ces deux catégories de données sont considérées comme sensibles. Il est donc important de définir son espace de stockage et sa localisation, connaitre les utilisateurs qui manipulent ces informations. Cette étape permet le déploiement d’une stratégie de protection efficace.

Cette étape porte sur l’identification des utilisateurs qui ont accès aux données sensibles. Sont-ils légitimes ? Ont-ils réellement besoin de ces informations pour mener à bien leurs missions ? En limitant les accès au strict nécessaire, l’entreprise limite également l’exposition des données aux hackers. Le droit d’accès ne concerne pas uniquement le personnel en interne, il touche aussi les consultants et prestataires.

Une fois le droit d’accès limité, l’équipe de sécurité surveille désormais tous les mouvements sur les réseaux. Cela consiste à enregistrer toutes les actions d’un utilisateur, y compris la consultation de données.

Des outils basés sur l’IA peuvent comparer et analyser le comportement des utilisateurs. C’est le cas par exemple d’EDR (endpoint detection and response). Ils prennent directement des mesures en cas d’activités suspectes. Néanmoins, l’équipe de sécurité doit dans un premier temps définir des règles de sécurité.

Une série de pentesting réalisée par Positive Technologies révèle que dans 93 % des cas, les experts ont réussi à pénétrer le réseau d’une organisation. Cela signifie que les hackers peuvent également le faire. Dans ce contexte de menaces grandissantes, chaque entreprise cherche la solution pour se défendre. La sécurité zero trust fait partie de ces solutions. Bien qu’elle présente des avantages indéniables, ses limites méritent d’être connues.

seulement 22. Néanmoins, le nombre d’étudiants a fortement augmenté, générant un manque de ressources pour soutenir les cours.

Aucun utilisateur n’est digne de confiance dans une architecture zero trust, chacun doit s’authentifier pour accéder à des données. Ce système offre une plus grande visibilité sur les activités sur le réseau. L’équipe de sécurité connaît l’heure, l’emplacement, les données consultées et l’appareil utilisé pour chaque authentification.

47 % des entreprises françaises pratiquent le télétravail en 2023 d’après l’INSEE. Le chiffre a doublé depuis la fin de la pandémie de Covid-19. Cette hausse soulève de nouveaux problèmes en cybersécurité. Les salariés peuvent utiliser des appareils personnels pour accéder à des données critiques. Ils se connectent au réseau depuis n’importe quel emplacement. Les solutions de sécurité traditionnelles, à l’instar du pare-feu, ne sont pas adaptées dans ce contexte. Le zero trust représente une meilleure alternative.

Le BYOD (bring your own device) désigne l’utilisation d’appareils personnels dans le cadre professionnel. Pour les employés, cette pratique améliore leur productivité. En effet, le BYOD permet de gagner 37 minutes en moyenne sur son temps de travail par semaine. Par ailleurs, 30 % des employés consultent désormais leurs mails en dehors des heures de bureau.

Pour l’entreprise, le BYOD présente des avantages, mais pose de sérieux problèmes de sécurité. La mise en place du modèle zero trust devient plus complexe. Il faut tenir compte de chaque appareil, des protocoles de communication, etc.

Au-delà du BYOD, les salariés utilisent également un nombre important de logiciels SaaS, dont certains en Shadow IT. Selon les chiffres de BetterCloud, le nombre moyen de logiciels SaaS utilisés par une organisation est passé de huit en 2015 à 130 en 2022. Chacune de ces solutions doit être surveillée dans le cadre d’une sécurité zero trust. Ceci augmente le volume de travail de l’équipe de sécurité. Il est donc important de trier les applications afin de déterminer celles qui sont essentielles.

Une authentification systématique ne garantit pas à 100 % la sécurité des données. Le modèle zero trust ne peut pas identifier les intentions malveillantes de certains collaborateurs. Ces derniers peuvent toujours voler les données auxquels ils ont accès.