La politique du « Trust but verify » consistant à faire confiance tout en vérifiant est révolue avec l’apparition de menaces avancées qui s’infiltrent dans le périmètre de l’entreprise. « Les périmètres classiques sont complexes, porteurs de risques et ne conviennent plus aux modèles économiques actuels »[1]. La transformation numérique fait émerger un nouveau paradigme reposant sur la politique du « Never trust, verify all » considérant toute interaction comme hostile et exigeant donc vérification. « Il s’agit donc de repenser la structure même de l’entreprise par l’évolution de ses réseaux et le renforcement de sa sécurité »[1].
Des risques technologiques et humains du fait de l’émergence des nouveaux usages
Les entreprises qui ne prennent pas pleinement conscience de l’élargissement de leur surface d’attaque s’exposent non seulement à des risques technologiques mais également humains. En effet, l’acculturation à la cybersécurité est un travail de longue haleine qui n’en est qu’à ses débuts tant pour le grand public que pour les employés. De plus, la mobilité ainsi que le turnover grandissant du personnel sont autant de facteurs humains qui amoindrissent la confiance qui peut leur être accordée au sein de l’entreprise venant s’ajouter au risque technologique intrinsèque. Une transition amorçant la fin du paradigme de la sécurité dite périmétrique est en donc train de s’opérer au profit du paradigme concurrent du Zero Trust.
La fin d’un paradigme inadapté à l’évolution de son environnement
Au début des années 1960, la conception d’un réseau de communication maillé est le fruit de la volonté de créer un nouveau moyen de communication qui ne serait plus centralisé. La sécurité n’était donc pas la préoccupation première de la communauté scientifique. Ce réseau des réseaux s’est cependant transcendé, dépassant les simples espérances de l’armée et de la communauté scientifique pour s’ouvrir au grand public dans les années 1990.
Dès lors, toutes les entreprises commencent progressivementà se connecter à cette plateforme mondiale. Les échelles et le contrôle qu’elles portaient sur leur réseau est dès lors affectés par cet immense réseau mondial qui ne bénéficie pas des mêmes niveaux de contrôle de sécurité. Se sont donc développés des protocoles de sécurisation des échanges sur un réseau informatique par l’intermédiaire de la cryptographie. Le but étant d’instaurer la confiance au sein des transactions.
Néanmoins, les modèles de sécurité informatique classiques s’inspiraient à l’époque de principes exogènes. En effet, ceux-ci proviennent de l’adaptation de doctrines de protection périmétrique de sites physiques. Cette représentation repose sur une comparaison illustrée par l’idée d’un château fort protégé par ses douves. C’est ce que nous appelons aujourd’hui la sécurité réseau périmétrique. Les entreprises ont adopté Internet et y ont migré toutes leurs ressources, marchés et infrastructures stratégiques. Le paradigme a donc changé et les criminels ont réalisé qu’il y avait moins de risques à opérer en ligne. Les pirates informatiques se sont retrouvés dans une position préférentielle. Ils comprennent ou ont aidé à concevoir ces systèmes. A l’heure de la crise, la très coûteuse sécurisation des réseaux n’est pas prioritaire et prend du retard. Une course contre la montre est donc lancée car une attaque informatique n’est plus une hypothèse d’école.
La nécessité d’appréhender le contexte de la demande d’accès aux ressources
Selon Arnaud Gallut[2], « Le fait d’accorder une confiance aveugle à un utilisateur qui a pu, d’une manière ou d’une autre, obtenir un accès au réseau affaiblit la posture de sécurité d’une organisation »[3]. Dès lors, une illusoire impression de sécurité l’anime. Une potentielle attaque peut alors être durablement négligée ou même ignorée. De ce fait, aucune mesure n’est donc prise pour circonscrire la faille de sécurité. En effet, la sécurité périmétrique n’est pas à même de percevoir les vols d’identifiants. En d’autres termes, des identifiants valides suffisent souvent à accéder à un réseau d’entreprise. L’ingénierie sociale et plus spécifiquement l’hameçonnage ou « phishing » et ses dérivés sont pourtant une arme de prédilection en ce qui concerne les intrusions auprès des entreprises et organisations[4].Le Data breaches Investigations Report 2020 de Verizon a révélé que 22% des intrusions étaient engendrés par de l’hameçonnage, et que 37% impliquaient l’utilisation d’identifiants volés[5].
De plus, ce modèle ne discerne pas les terminaux compromis. L’Internet Security Threat Report 2019 de Symantec a révélé qu’« un appareil sur trente-six utilisés dans les organisations était classé comme à haut risque »[6]. « Des utilisateurs légitimes sur des terminaux compromis peuvent exposer, par accident, des ressources sensibles à des acteurs malveillants via leur propre accès au réseau d’entreprise »[3].
Par ailleurs, il n’appréhende pas le contexte dans lequel la demande d’accès a été effectuée. Les adresses IP aident à établir qu’un utilisateur demande un accès à partir d’un « réseau de confiance ». Mais compter sur ces seules données et ignorer d’autres sources de risques basées sur le « type d’utilisateur (service, ancienneté, privilège), sur le contexte de la demande (moment de la journée, terminal, géolocalisation), ainsi que le niveau de risque de la ressource demandée »[3] a pour résultat une protection insuffisante des ressources de l’entreprise. La mise à mal de ce modèle force les responsables et les équipes de sécurité à évaluer attentivement la sécurité et le profil de risque de chaque ressource de manière régulière pour garantir une protection suffisante. La vocation du modèle Zero Trust réside dans la volonté de supplanter le paradigme antérieur de la sécurité périmétrique afin d’en dissiper ses lacunes.
Tout contexte d’utilisation des ressources de l’entreprise par un utilisateur comprend de multiples facteurs. L’identifiant, le terminal, l’emplacement géographique, le réseau et l’application ou le navigateur utilisé pour accéder à une ressource constituent une association d’éléments analysés par le modèle Zero Trust. De ce fait, l’étude comportementale de l’utilisateur devient un prérequis de la sécurité. La sûreté des systèmes d’information d’une entreprise exige dès lors un fin paramétrage des outils de gestion de la politique de sécurité à l’instar des moteurs de conditions et d’autorisations, ainsi que les droits utilisateurs. En effet, la protection des ressources de l’entreprise repose alors sur les conditions fixées pour déterminer la norme.
Il faut s’assurer d’avoir une visibilité complète des activités du réseau afin de pouvoir déterminer ce qui est “normal”, de ce qui ne l’est pas au cours de l’ensemble des étapes (l’authentification, de l’autorisation, des transactions, de l’accès aux données) composant le cycle d’utilisation des ressources de l’entreprise. En d’autres termes, « en fonction du profil de risque de chaque utilisateur, de chaque terminal et de la ressource dont l’accès est demandé »[3]. Une activité inhabituelle telle qu’un emplacement nouveau, une adresse IP ou des terminaux inconnus peut donc être repérée.
[1] https://www.journaldunet.com/solutions/dsi/1209561-zero-trust-la-cle-d-une-transformation-numerique-reussie/
[2] Directeur des Ventes Europe du sud, Ping Identity
[3] https://www.silicon.fr/avis-expert/zero-trust-comment-ce-modele-ameliore-la-securite
[4] Data breaches Investigations Report 2020, Threat action varieties, p.13
[5] Data breaches Investigations Report 2020, Summary of findings, p.7
[6] https://docs.broadcom.com/doc/istr-24-2019-en, p.41
Rédigé par : Wilfried IME
