Une demande, besoin d’un conseil ?
0821 201 201 (0,18€ TTC/min)

MISE EN OEUVRE DU CONCEPT DE ZERO TRUST | 2/3

Cet article est le second d’une série de trois articles consacrés au zero trust.

Après avoir vu pourquoi adopter le zero trust, dans le précédent article, nous focalisons ici sur sa mise en place

Nota : Avant de lire ce deuxième article sur le sujet du zéro trust, nous vous invitons à lire le premier article « pourquoi appliquer le zero trust », si ce n’est fait.

Comment mettre en oeuvre du zero trust ?

Le « zero trust » est l’art d’assurer une sécurité dans un monde sans périmètre

Avec un système d’information de plus en plus décentralisé et étendu, un nombre d’utilisateurs toujours plus important qui accèdent à des données sensibles de l’entreprise via des appareils mobiles, l’adoption d’une approche « Zero trust » est devenue nécessaire.

Grâce à ce modèle, il est possible de contrôler qui a accès à quoi, comment et quand. L’enjeu est donc de pouvoir contrôler de bout en bout la chaîne d’utilisateur.

Comment mettre en œuvre ce concept ?

Tout d’abord, il faut commencer par penser différemment. Aujourd’hui il n’y a plus de château fort à protéger où on considérait que tout ce qui est à l’intérieur est « de confiance » et tout ce qui est en dehors est « dangereux ».

Si vous êtes intéressés suivez ce lien

1/ Mise en place d’une politique de gestion des identités avec du MFA

La mise en œuvre d’une approche Zéro Trust repose sur une remise en question des politiques et processus de gestion des identités et des accès. Les solutions de types IAM (Identity & Access Management) sont donc indispensables à toute approche Zéro Trust. En effet, cela va permettre de contrôler les accès des utilisateurs en répondant à des questions spécifiques telles que : cet utilisateur est-il autorisé à accéder au terminal, à cette ressource, est-il bien ce qu’il prétend être, utilise-t-il le bon « device » ?

Contrairement à une identification par VPN, la gestion des identités va permettre de mettre en place une politique granulaire. Ce type de solutions, bien qu’indispensable ne se suffit pas, il faut y ajouter d’autres solutions.

On pense évidemment à de l’authentification forte (MFA) qui est nécessaire pour contrecarrer la trop grande facilité de compromission des approches par mots de passe et les risques accrus induits par les solutions de type SSO (Single Sign On : soit une identification unique). Ces derniers sont aujourd’hui très utiles en termes de sécurité mais aussi en matière de productivité pour l’utilisateur qui pourra s’authentifier une seule fois pour accéder à l’ensemble des services en ligne par exemple.

2/ Mise en place d’une politique de traçabilité des comptes

Au-delà des solutions de type IAM, il faut s’assurer d’attribuer des droits de manière dynamique (sans systématicité) et assurer une traçabilité des accès. Il est en effet essentiel de savoir qui fait quoi et à quel moment pour détecter une activité anormale. Les bastions comme WALIX permettent de suivre toutes les actions des comptes supervisés voire même de pouvoir enregistrer les sessions. Cela permet ainsi, en cas d’attaque, de pouvoir comprendre plus précisément l’étendue de l’attaque.

Ce type de solution permettra également de détecter les comportements anormaux.

3/ Limiter les accès à certains outils et non à l’ensemble du réseau

Il s’agit ici d’appliquer la notion de moindre privilège

Le principe de « moindre privilège » implique de restreindre les droits d’accès d’utilisateur ou groupe d’utilisateurs dans l’entreprise, afin qu’ils n’aient accès qu’à ceux qui lui sont nécessaires pour effectuer leur travail. Selon ce même principe, chaque processus, appareil et application du système doit se voir attribuer la moindre autorité nécessaire, pour éviter de compromettre des informations privilégiées. 

Dis autrement, il s’agit de donner des accès minimums à tout le monde afin de réduire la « surface d’attaque » et, par conséquent, de réduire les risques encourus par l’entreprise. 

4/ Segmenter le réseau

Comme le modèle Zéro Trust le préconise, la micro-segmentation permet de considérer chaque paire utilisateur-ressource comme totalement indépendante, à la fois de l’origine de la connexion, mais aussi des autres connexions applicatives qui pourraient être actives sur le même terminal.

0 trust

Pour cette raison, si on veut appliquer le modèle Zero trust progressivement, il faut commencer à implémenter de la micro-segmentation pour une partie des utilisateurs, et commencer ainsi à accumuler une expérience qui sera précieuse pour l’avenir, lorsque le Zero Trust sera complètement mis en place. Cette micro-segmentation du réseau permettra de mieux protéger les applications en micro-services.

5/ Protéger les applications d’entreprise

En accordant aux utilisateurs uniquement l’accès aux applications dont ils ont besoin et non plus à l’ensemble du réseau, cela permettra de limiter les risques.

Quand on parle d’applications d’entreprises on sous-entend dans la majorité des cas d’applications web donc accessibles via un navigateur web.

Les utilisateurs pouvant accéder aux applications par exemple depuis des réseaux wifi publics, il n’est pas suffisant de sécuriser uniquement les accès au réseau d’entreprise. Les applications critiques doivent donc être sécurisées pour tout type d’accès à distance.

Une solution de type WAF (Web application Firewall) permettra de protéger les applications internes et les données qu’elles contiennent contre les attaques de couche applicative et d’injection, telles que l’injection SQL, l’exécution de fichiers malveillants, la falsification de requêtes intersites (CSRF) et les scripts inter-sites.

Finalement c’est une approche, une culture à mettre en place en entreprise qui prend du temps

Au-delà des diverses approches et solutions à mettre en place, le modèle Zéro trust est avant tout une culture d’entreprise à mettre en place face aux diverses problématiques de sécurité. Cette stratégie prendra du temps pour sa mise en œuvre. Pour cette raison cela nécessitera des mesures plutôt itératives en définissant des priorités dans chaque étape.

Néanmoins, il ne faut pas voir cette approche comme contraignante et statique, la sécurité « Zero Trust » doit être dynamique et sans cesse ajustée et adaptée en fonction des contextes et besoins.

De plus, que ce soit d’un point de vue de la sécurité, de l’usage, ce modèle permet surtout d’accompagner sereinement la montée en maturité de la sécurité informatique de l’entreprise.

Vous souhaitez en savoir plus ou vous aimeriez être accompagné pour sa mise en place ?
Faites confiance à NXO et ses experts pour sa mise en oeuvre.

Nicolas Lacourte

Solution Manager Cybersécurité NXO

Découvrez aussi

CYBERSÉCURITÉ : POURQUOI APPLIQUER LE ZERO TRUST ? | 1/3

Le zéro trust est l’art d’assurer une sécurité dans un monde sans périmètre. Cet article de blog conçu par NXO vous explique l’essentiel

Découvrir l’offre

L’HUMAIN : LA PRINCIPALE FAILLE DE LA CHAÎNE CYBERSÉCURITÉ ?

Cybersécurité : comment minimiser le risque que représente le facteur humain ?

Découvrir l’offre

SERVICES DE CYBERSÉCURITÉ

NXO sélectionne, intègre et opère des services avancés de cybersécurité afin de garantir la protection de votre système d’information.

Découvrir l’offre