CrossinG, la passerelle de Bertin IT, vient faire le tampon entre différents réseaux afin notamment de confiner les attaques en cascade.Si le terme n’est plus tout jeune, il revient en force depuis quelques mois. Zero Trust couvre tout un ensemble de processus, de pratiques et d’outils qui viennent s’inscrire dans un certain état d’esprit : la frontière entre zones internes et zones externes du système d’information s’efface, il ne faut donc par défaut accorder sa confiance à personne et protéger, plutôt que le périmètre, la donnée.
Théorisé par un analyste de Forrester il y a quelques années, le concept de « Zero Trust » part du constat que l’informatique en entreprise a évolué. Entre applications on premise, hébergées dans un Cloud ou encore en SaaS, instances dédiées ou mutualisées, serveurs physiques ou machines virtuelles, conteneurs… on est loin de la vision monolithique du système d’information. Si bien qu’il est devenu difficile de distinguer l’externe et l’interne. Ajoutons à cela des prestataires ou des clients qui vont venir se connecter à ces applications. Sans oublier les salariés eux-mêmes, de plus en plus mobiles, connectés sur le terrain, quand ils ne sont pas en télétravail. Et passons rapidement sur l’explosion du nombre d’API et d’interactions machine-to-machine et app-to-app.
Dans ce contexte, le périmètre s’efface. En d’autres termes, plus imagés, « la représentation du SI comme un château fort entouré de remparts est dépassée », nous explique Ketty Cassamajor, PreSales Manager chez CyberArk. « La frontière entre intérieur et extérieur s’efface et de nombreuses options s’offrent aux opérations malveillantes. Si l’on veut filer la métaphore, une vulnérabilité non patchée va représenter une brèche dans le mur, une erreur humaine involontaire une porte mal fermée, le phishing consistera à survoler les remparts. Sans oublier les menaces internes. »
La fin du bastion
La traditionnelle sécurité périmétrique – fameux rempart autour du SI – est donc datée, impuissante. Entre alors en scène le Zero Trust. L’approche antérieure consistait à ne pas faire confiance à ce qui était en dehors du SI mais de l’accorder par défaut au sein du réseau. « Aujourd’hui cette zone de confiance ne devrait plus exister dans l’esprit des gens », souligne Christophe Auberger, responsable technique de Fortinet pour la France. « Il faut donc contrôler tout ce qu’il se passe au niveau du SI, y compris les flux internes. Zero Trust est le mot que l’on met sur cette approche. » Un petit côté « buzzword » donc, mais qui recouvre un vrai modèle où l’on met de côté la sécurité du réseau en mode « bastion » – loin de nous l’idée d’affirmer que cette protection est invalidée – au profit de la sécurité des machines, des utilisateurs, des applications et, en creux, de la donnée. « Peu importe l’endroit où elle se trouve, une donnée a toujours un degré de sensibilité et il est nécessaire de définir un niveau de sécurité pour cette donnée », poursuit Christophe Auberger. « Avec le Zero Trust, on parle aussi de sécurité en profondeur : la démarche nécessite un peu plus d’efforts puisqu’il ne s’agit pas simplement de mettre un garde-barrière entre deux zones, mais bien de savoir ce que sont les différentes données et de mettre en place pour chacune le niveau de protection adéquat. » En résumé, le Zero Trust consiste à faire en sorte que chaque ressource, peu importe son emplacement, ne puisse être accédée que par un utilisateur – au sens large, il peut également être question d’API par exemple – légitime, authentifié et sécurisé.
Zscaler joue le rôle de firewall entre l’utilisateur passant par Internet et les applications de l’entreprise.
Et pour ce faire, on va commencer par segmenter, par partitionner, par compartimenter ces ressources. « La sécurisation des réseaux se fait en les compartimentant. Le but, c’est vraiment d’appliquer une rupture protocolaire et d’avoir le contrôle sur les communications entre ces réseaux », précise Olivier Jolland, COO de Bertin IT. Arnaud Gallut, Country Manager de Ping Identity France, abonde en ce sens : « La micro-segmentation apporte d’énormes avantages au sein d’une architecture Zero Trust en limitant de manière significative le rayon d’action d’une attaque, ou ce qu’un pirate peut accéder en termes de ressources lorsqu’une intrusion a eu lieu. » Un exemple parlant est celui du firefwall. Si longtemps il a été perçu en mode bastion, à savoir protégeant le périmètre de confiance contre les agressions extérieures, les firewalls de segmentation, protégeant et compartimentant les ressources à l’intérieur du périmètre, ne sont certes pas récents mais sont de plus en plus plébiscités. « Aujourd’hui les responsables informatiques sont convaincus qu’une approche bastion est largement dépassée et les firewalls de segmentation sont largement adoptés. Toutefois, la concrétisation dans les faits de cette approche est variable en fonction de la maturité de l’entreprise », assure Christophe Auberger.
Les accès au cœur du Zero Trust
Mais cette segmentation pose tout de même quelques problèmes, notamment en termes d’accès. Faut-il un VPN et un serveur de rebond pour chaque application ? Et une gestion des règles et des privilèges pour chacun d’entre eux ?
Les éditeurs vont proposer des solutions diverses et variées, en fonction des besoins de l’entreprise, pour simplifier ces interactions. CrossinG, passerelle inter-réseaux de Bertin IT, fonctionne comme un antivirus et une gateway pour les transferts de fichiers entre segments, passage obligé qui va contrôler et vérifier l’intégrité et la conformité du fichier et le bloquer le cas échéant. « Un cas d’usage par exemple voit des fichiers passer d’une usine au siège d’une entreprise. Ils doivent transiter à travers cette passerelle qui empêche la propagation d’un réseau à un autre. Un fichier vérolé sera identifié et bloqué au niveau de l’usine », explique Benoît Poulot-Cazajous, Platforms & Security Senior Expert pour Bertin IT.
Du côté de CyberArk, Ketty Cassamajor nous explique que la solution est modulable. « Pour chaque entrée de segment, je positionne un serveur de rebond qui va communiquer avec le coffre-fort central, soit un serveur de rebond central autorisé à communiqué avec les différents segments. » En quelque sorte un proxy qui va filtrer les accès, en fonction des droits des utilisateurs. « Beaucoup de clients choisissent la première solution – un serveur de rebond par zone segmenté – pour des questions de simplicité par rapport aux firewalls et à l’ouverture de flux et pour des questions de sécurité. » Mais attention, il ne s’agit pas d’empêcher un éventuel pirate de faire de la reconnaissance du réseau, mais de faire en sorte qu’il ne puisse pas récupérer des identifiants de plus en plus critiques à mesure de sa progression.
Chez Zscaler, on ne fait pas non plus confiance à Internet : c’est un réseau public, partagé par tous. Et pourtant, dans nombre d’entreprises, les employés passeront par son biais pour accéder aux applications et, par ricochet, à des données parfois critiques. « C’est le fondement même d’une architecture Zero Trust : Internet est le transport et l’usage est plus granulaire, l’utilisateur n’accédant plus à un réseau mais à une application ou un sous-ensemble d’applications », nous explique Yogi Chandiramani, CTO Europe de Zscaler. « Pour pouvoir établir une connexion entre l’utilisateur et le réseau de l’entreprise, il va falloir un ensemble de gatekeepers, de contrôleurs, qui lui permettront d’accéder à une ressource. » Le contrôleur va mettre en place un principe de segmentation entre l’utilisateur et l’application que Yogi Chandiramani compare aux opérateurs(trices) de l’époque du téléphone manuel, qui mettaient, du central, l’abonné et son correspondant en relation. Le principe est en effet sensiblement le même : le contrôleur joue aussi le rôle d’opérateur. « Il va vérifier l’utilisateur (identité/sécurité), voir à quelle application il cherche à accéder et vérifier en fonction des politiques établies si l’utilisateur peut se connecter à l’application. C’est un point de passage obligé. » L’application Zscaler transfère automatiquement le trafic des utilisateurs vers le Cloud Zscaler et les applications auxquelles ils accèdent ne se connectent pas à Internet mais au contrôleur. « Ainsi, on sécurise l’accès vers ces applications en ne les rendant visibles qu’aux utilisateurs qui ont besoin d’y accéder au moment où ils ont besoin d’y accéder. »
L’identité occupe une place essentielle dans une architecture Zero Trust, de même que la gestion des privilèges. Heureusement, l’IAM et le PAM ont le vent en poupe.
Akamai propose une solution similaire avec Enterprise Application Access, qui requiert pour sa part que l’utilisateur s’identifie avec Akamai Platform et l’Active Directory de l’entreprise. Une fois authentifié l’utilisateur, la solution associe la session TLS de l’utilisateur avec des connecteurs pour fournir à travers la plateforme Akamai un accès uniquement aux applications autorisées sur le réseau d’entreprise et à rien d’autre. Là encore, l’application n’est pas visible sur Internet. De même, certaines applications vont par définition être accessibles sur Internet : les applications en mode SaaS. Ici, l’intégration du contrôleur se fait en travaillant avec le fournisseur de cette application. En effet, une application SaaS peut permettre de contourner même le meilleur firewall au monde, d’où l’intérêt d’en contrôler les accès en fonction des profils utilisateurs, par le biais notamment d’un CASB (Cloud Access Security Broker).
Questions d’identité
Mais en réduisant les accès, ne s’expose-t-on pas à des soucis en termes de performances ? « Il faut faire en sorte qu’à l’instant T, où il en a besoin, un utilisateur ait accès à telle ressource », indique William Culbert, directeur Europe du Sud pour BeyondTrust. Mais les portes ne peuvent être laissées ouvertes. « Pour la partie PAM [Privileged Access Management], on ne peut pas défendre les systèmes qu’on ne connaît pas. Il faut en faire la cartographie, de même que celle de tous les comptes et des postes, et toujours valider que c’est la bonne personne qui fait la demande pour accéder à la ressource dont elle a besoin. Mais il faut que les utilisateurs puissent faire leur travail de manière fluide : c’est le challenge aujourd’hui. Il faut donc comprendre les fonctions des utilisateurs et les droits dont ils ont besoin. » Il faut définir au départ les politiques d’accès et de privilèges tout en restreignant les applications et workflow, de même que les échanges inter-segments, toujours en fonction de cette politique de sécurité. Chez Fortinet, on parle d’une « segmentation basée sur l’intention, en fonction des rôles et des métiers de sorte à limiter le risque d’accès non autorisé aux informations et, de fait, minimiser le risque de latéralisation des menaces ». Exemple : définir une gestion différenciée des accès d’un même utilisateur à une application selon qu’il utilise un poste maîtrisé par l’entreprise ou sa tablette personnelle. Vous l’avez saisi, le Zero Trust sera une question de process et, par extension, d’identités.
« En raison de son importance critique pour la sécurité, la plupart des organisations démarrent la mise en œuvre de leur architecture Zero Trust par la gestion des identités », précise Arnaud Gallut. « Ping s’intègre avec des fournisseurs de micro-segmentation, en leur permettant d’exploiter des attributs d’identité tels que l’appartenance à un groupe de travail, la géolocalisation, et la configuration du terminal pour limiter le nombre et le type de ressources accessibles sur la base du niveau de risque présenté par l’utilisateur à un instant T. » Ce qui vaut pour les humains vaut également pour les VM ou encore les conteneurs. Et lorsque leur création et leur provisionnement est automatisé, il faut faire en sorte d’automatiser la fourniture d’identité machine pour que ces derniers puissent accéder là encore à la ressource dont ils ont besoin. Soit toujours plus de comptes à privilèges qu’il est nécessaire de cartographier et de sécuriser.
En résumé, le Zero Trust repose sur diverses composantes : IAM, PAM, firewalls, gateways, chiffrement, sécurité des données, du réseau, des workloads, des équipements… « La façon dont une organisation donnée mettra en œuvre Zero Trust dépendra des projets ou des initiatives digitales qui sont les plus importantes pour elle au départ. Par exemple, un constructeur automobile engagé dans l’extension des partenariats digitaux avec ses fournisseurs dans le cadre de sa “ supply chain” donnera probablement en premier lieu la priorité aux aspects d’identification et d’authentification fortes du modèle, tandis que des établissements financiers engagés dans des projets d’Open Banking donneront la priorité aux aspects de sécurité des données de Zero Trust », décrit Arnaud Gallut. Il n’existe donc pas une solution miracle qui permettra la mise en œuvre d’une stratégie Zero Trust, mais un ensemble d’outils à imbriquer. Selon Christophe Auberger, « Les moyens technologiques existent et ne sont pas compliqués à mettre en œuvre une fois qu’on a défini le niveau de sécurité qu’on souhaite atteindre. »