La sécurité informatique Zero Trust pour une protection renforcée

Introduction au Zero Trust

Dans le paysage des cybermenaces en constante évolution, les entreprises d’aujourd’hui ont besoin de solutions de sécurité plus robustes et plus efficaces que jamais. Et comme le monde de l’informatique ne cesse d’évoluer, c’est la même chose pour la sécurité des infrastructures.

Par le passé, nous avions recourt à une méthode traditionnelle de conception de réseaux périmétriques. Le principe de cette façon de faire consistait à créer un réseau et une infrastructure informatique en mode « château fort ». C’est-à-dire que tout ce qui était à l’extérieur correspondant à un risque potentiel et à l’inverse tout ce qui était à l’intérieur avait notre confiance par défaut.

Ainsi, vos serveurs, vos utilisateurs, vos applications une fois déployé(e)s pouvaient interagir avec tout le reste de l’infrastructure pour peu que vous restiez au sein de cet espacé périmétrique sécurisé. Cet espace était ensuite protégé par de multiples firewalls et autres solutions de sécurité (un peu comme les remparts ou les gardes autour d’un chateau fort pour reprendre mon analogie précédente).

Et même pour les utilisateurs qui travaillent par exemple à distance ou qui se trouvaient en situation de mobilité (télétravail déplacement, etc.), la première étape consistait pour eux à démarrer la solution de VPN pour s’intégrer et se connecter au réseau de leur entreprise. Une fois cette connectivité en place alors on estimait l’utilisateur et son matériel comme étant de confiance et l’on pouvait accéder au reste de l’infrastructure.

Mais cette manière de procéder où l’on fait confiance aux utilisateurs et aux appareils se trouvant à l’intérieur du périmètre, montre ses limites face à des acteurs malveillants de plus en plus sophistiqués. Et c’est dans ce contexte que la norme Zero Trust s’impose comme une alternative prometteuse pour la protection des données et des systèmes informatiques.

Zéro confiance : rupture avec le modèle périmétrique

Contrairement aux approches traditionnelles basées sur la création d’un périmètre de sécurité, le Zero Trust part du principe que aucune entité, qu’elle soit interne ou externe, ne doit se voir accorder automatiquement la confiance. Cette approche met en place un système de vérification et d’autorisation en continu pour chaque accès aux ressources du réseau, qu’il s’agisse d’utilisateurs, d’appareils ou d’applications.

L’objectif du Zero Trust va donc être de contrôler en permanence et vérifier la légitimité et la confiance que l’on peut accorder à un utilisateur mais également aux équipements qui accèdent à notre SI (serveur, poste de travail, smartphone, tablette, …).

Les piliers fondamentaux du Zero Trust

Pour mettre en œuvre efficacement une stratégie Zero Trust, vous allez devoir vous appuyer sur plusieurs piliers fondamentaux en matière de sécurité.

1. Gouvernance et sécurité des identités

C’est probablement l’un des blocs les plus importants, nous devons nous assurer de la légitimité des utilisateurs qui se connectent et accèdent à nos ressources. Et nous devons le garantir dans tous les cas de figure possibles : l’utilisateur se connecte depuis le siège social de l’entreprise, depuis chez lui en télétravail ou bien depuis une situation de mobilité dans un train par exemple.

Vous trouverez ci-dessous plusieurs éléments permettant de sécuriser les connections de vos utilisateurs :

• Mise en place d’une gestion centralisée des identités et des accès (IAM) pour authentifier et autoriser les utilisateurs, les appareils et les applications.
• Utilisation de solutions d’authentification forte (MFA) pour s’assurer de l’identité des utilisateurs. Ou même aller encore plus loin en mettant en place une stratégie de type password-less (Windows Hello for Business est une possibilité au sein de l’écho-système Microsoft par exemple). Vous pouvez également utiliser des clés Yubikey (ou équivalent) si vous ne souhaitez pas acquérir de smartphone pour l’ensemble de vos salariés (une problématique que rencontre beaucoup d’entreprises).
• Mise en place de contrôles d’accès granulaires basés sur le principe du moindre privilège (Least Privilege), accordant aux utilisateurs uniquement les accès nécessaires à l’accomplissement de leurs tâches.

Dans un précédent article, je vous avais déjà parlé de la méthode de sécurisation d’une infrastructure de type Tiering Model. Le Zero Trust ne vous dispense d’ailleurs pas de respecter cette démarche.

Mais que vous soyez une entreprise Cloud, On-Prem ou Hybride, vous devez également respecter le principe du moindre privilège. 🔒

Cela signifie que vos populations d’administrateurs et utilisateurs à privilèges ne doivent plus disposer d’un accès administrateur de type « permanent » mais celui-ci doit être ce que l’on appelle éligible. En effet, l’accès à privilèges doit être spécifique et dimensionné par rapport aux tâches que votre administrateur doit accomplir (Just Needed Access) et surtout cet accès doit être actif pour une durée limitée Just-In-Time (le temps nécessaire à réaliser les actions).

Il existe de nombreuses solutions qui permettent de mettre en place ce genre de comportements. Au sein de Microsoft 365 ou Azure, c’est PIM – Privileged Identity Management qui vous permet de respecter cette norme de sécurité. Mais il existe également des alternatives comme CyberArk. Et si vous cherchez la solution Microsoft on-prem, elle s’appelle MIM with PAM.

2. Stratégies d’accès pour accéder à nos ressources

Peu importe la localisation de provenance géographie ou le périphérique de notre utilisateur, nous devons faire en sorte de contrôler comment accèdent les salariés à notre informatique. Pour cela, il nous faut donc définir :

• Des stratégies d’accès claires et précises pour chaque ressource du réseau, en fonction des rôles et des besoins des utilisateurs. On évitera donc de présenter du contenu dont un utilisateur n’a pas le besoin (permettant ainsi de limiter votre surface d’attaque potentielle en cas de compromission d’un périphérique et/ou d’un utilisateur).
• Utilisation de technologies de contrôle d’accès basées sur les attributs (RBAC) pour prendre en compte des facteurs contextuels dans les décisions d’autorisation. Toujours dans l’échosystème Microsoft, vous pouvez utiliser le composant Microsoft Entra ID – Conditional Access qui permet de définir des stratégies d’accès précises afin d’approuver ou refuser l’accès à une application.
  • On peut ainsi imaginer imposer du MFA pour accéder à des ressources plus sensibles ou encore restreindre l’accès à des ressources Teams ou SharePoint Online si l’utilisateur n’est pas présent physiquement dans les locaux ou le siège social de l’entreprise. Et les possibilités sont infinies tant l’outil ne cesse de s’améliorer.
• Implémentation de solutions de gestion des accès à distance (CASB) pour sécuriser les accès aux applications et services cloud, avoir recourt un SIEM tel que Microsoft Sentinel ou un produit équivalent afin d’analyser en temps réel les connexions à votre SI et détecter les déviances de comportement.

3. Cloisonnement et contrôle des ressources

D’un point de vue réseau, nous avons plein de manière de ségréger une infrastructure. Vous pouvez par exemple :

• Mettre en place différents réseaux virtuels (VLANs) ou de réseaux définis par logiciel (SDN) pour isoler les ressources critiques et limiter la propagation latérale des menaces. Le meilleur exemple pour cela est bien entendu le Tiering Model qui est une approche que j’avais déjà présenté dans un ancien article.
• Utilisation de machine d’administration dédiée pour les populations sensibles. On parle de PAW – Privileged Access Workstation ou SAW – Service Access Workstation (selon la documentation que vous allez lire – mais c’est la même démarche. L’idée c’est que vos admins doivent réaliser leurs élévations de privilège sur des machines différentes de leur poste de travail pour les mails ou Teams.
  • Selon le niveau d’accès de votre collaborateur, il peut peut être nécessaire de lui mettre à disposition plusieurs machines différentes. Si mon admin gère du niveau T0, T1, T2 et Cloud – cela n’a rien de surprenant qu’ils doivent disposer de 4 machines d’administration… En tout cas, c’est la cible que préconise les experts en cybersécurité et ce sera à vous de faire des choix pour éventuellement simplifier une certaine approche au sein de votre organisation.
• A l’heure du BYOD, les salariés peuvent disposer d’un poste membre de votre Active Directory ou être intégré uniquement dans Entra ID (Cloud-Joined). Dans certains cas, vous allez peut-être même permettre à un salarié d’utiliser un poste non mis à disposition par l’entreprise pour accéder à certaines ressources ? Peu importe votre choix, ces scénarios doivent être listés et les comportements non autorisés doivent être bloqués. Vous devez définir pour chaque serveur ou poste de travail utilisateur quel est le statut nominal : qu’est-ce qui fait que je fais confiance (ou non) à ce poste de travail ? A-t-il eu un scan anti-virus il y a moins de 48 heures ? Est-il exempt de tout malware ou logiciel piraté qui pourrait être vecteur de virus / ransomwares ? C’est ce que l’on appelle un device compliant et si ce dernier n’est pas conforme alors on doit pouvoir le détecter pour en bloquer l’accès (même si l’utilisateur semble légitime en termes d’identifiant / mot de passe).
• Mise en place de protections de données robustes telles que le chiffrement et le contrôle d’accès basé sur les rôles (RBAC), pour protéger les données sensibles. Pour le chiffrement, veillez à être vigilant à tous les moments d’utilisation de votre donnée : au repos, en transit, en cours d’utilisation. Le chiffrement doit être appliqué pour toutes vos données – peu importe que votre serveur soit on-prem ou dans le Cloud.

4. Renforcement des moyens de détection:

Evidemment, même lorsque vous êtes parvenus à mettre un outil ou avoir une démarche en face de chaque norme de sécurité (principe du moindre privilège, audit des postes de travail, stratégie de connexion pour les utilisateurs, …), vous devez renforcer vos moyens de détection afin d’être proactif concernant votre sécurité.

Et pour les organisations qui le peuvent – bien évidemment, je vous encourage à investir dans des solutions de sécurité dédiées qui vont vous rendre plus rapides pour votre sécurité :

• Déploiement de solutions de sécurité des informations et des événements (SIEM) pour collecter et analyser les logs provenant de l’ensemble du réseau et des systèmes. Les plus connus sont IBM QRadar, Splunk ou encore Microsoft Sentinel (mais il en existe d’autres).
• Utilisation d’outils de détection d’intrusion (IDS) et de prévention d’intrusions (IPS) pour identifier et bloquer les activités malveillantes. Je pense ici par exemple à des outils comme Microsoft Defender for Identity ou encore Cloud App Security…
• Mise en place de solutions de protection d’antivirus sur vos serveurs et postes de travail afin de vous protéger contre les malwares et les ransomwares pour neutraliser les cyberattaques sophistiquées.
  • Selon le type de données que vous gérer et la réglementation à laquelle vous devez faire face il pourra être également nécessaire de déployer une solution de tag de vos documents (labels) comme Microsoft Purview ou encore Varonis DatAdvantage. Selon les tags appliqués à vos données (de manière automatique ou manuelle) on peut alors contrôler les comportements qui vont être autorisés ou non sur vos données (empêcher l’envoie de pièces jointes contenant des brevets, etc.).

La sécurité Zero Trust une méthode plutôt qu’un outil

Tout comme le Tiering Model et nombre d’autres méthodes permettant de sécuriser une infrastructure, l’approche Zero Trust est davantage une manière de travailler et de créer une infrastructure qu’un ensemble d’outils à acquérir. En effet, ce n’est pas parce que vous allez acquérir un ou plusieurs outils que vous pourrez dire que vous respectez le principe du Zero Trust. De plus, – tout comme le Tiering Model – ces approches en matière de sécurisé sont onéreuses et doivent être adaptées en prenant en compte le fonctionnement interne de votre entreprise ainsi que le budget que vous souhaitez y consacrer.

Le marché regorge de solutions de sécurité pouvant contribuer à la mise en œuvre d’une stratégie Zero Trust. Parmi les exemples notables, on peut citer :

• SIEM, pour collecter et analyser un gros volume de logs : Microsoft Sentinel, Splunk, IBM QRadar.
• Google Cloud Identity and Access Management (IAM): Un service IAM complet pour la gestion des identités et des accès dans les environnements cloud Google. Et si vous êtes plutôt Microsoft, alors vous utiliserez sans aucun doute Microsoft Entra ID (qui est le nouveau nom de Azure Active Directory).
• Entra ID – Conditional Access: Un outil de gestion des accès cloud permettant de définir des politiques d’accès granulaires.
• Zscaler Cloud Access Security Broker (CASB): Une solution CASB pour sécuriser les accès aux applications et services cloud. Côté Microsoft, jetez un oeil sur l’ensemble de la gamme Microsoft Defender et en particulier Microsoft Defender for Cloud Apps.
• Palo Alto Networks Cortex XDR: Une plateforme de détection et de réponse étendue (XDR) pour la protection contre les cybermenaces sophistiquées.

La liste ci-dessus est évidemment loin d’être exhaustive. Mais la plupart de ces solutions impliqueront un coût, il convient donc de tester ces solutions afin de trouver celle qui conviendra le mieux à votre organisation.

Conclusion

La sécurité Zero Trust représente une évolution majeure dans la lutte contre les cybermenaces. En adoptant une approche centrée sur la vérification constante et l’autorisation granulaire des accès, les entreprises peuvent renforcer leur posture de sécurité et protéger leurs données critiques.

J’ajouterai également qu’un autre aspect du Zero Trust que vous avez peut-être lu ou enendu c’est ce que l’on appelle : assume breach. Cela signifie que vous devez déployer et configurer votre infrastructure en prenant pour hypothèse que les autres couches sont compromises… Ou en tout cas on souhaite travailler de manière à ce que chaque coucher ou pilier puisse être compromise sans pour autant affecter l’ensemble de la chaîne de toute votre infrastructure. Certaines entreprises croient tellement en cette méthodologie qu’elles vont même jusqu’à simuler des incidents afin de préparer les équipes à réagir à toute éventualité – dans ce cas, on parle de chaos engineering.

Alors oui, la mise en œuvre d’une stratégie Zero Trust peut s’avérer complexe mais les avantages en termes de sécurité et de résilience face aux cyberattaques sont indéniables. Cette démarche est un processus continu qui nécessite un engagement à long terme. Les entreprises doivent adopter une approche proactive pour surveiller leur environnement, identifier les nouvelles menaces et adapter en conséquence leurs politiques de sécurité.

PS : Et si vous avez tout lu, n’hésitez pas à me partager votre ressenti dans les commentaires ! 🙂