Comment mettre en œuvre une stratégie de sécurité zero trust ?

Mise en oeuvre du concept de zero trust

jeudi 11 juin

Déployer sa stratégie de sécurité Zéro trust - Concept image

Cybersécurité

Comment déployer sa stratégie de cybersécurité en « zero trust » pour globaliser sa cyberdéfense, dans un monde IT sans frontière ?

Cet article est le second d’une série de trois articles consacrés au zero trust.

Après avoir vu pourquoi adopter le zero trust, dans le précédent article, nous focalisons ici sur sa mise en place

Nota : Avant de lire ce deuxième article sur le sujet du zéro trust, nous vous invitons à lire le premier article « pourquoi appliquer le zero trust », si ce n’est fait.

Comment mettre en oeuvre du zero trust ?

Le « zero trust » est l’art d’assurer une sécurité dans un monde sans périmètre

Avec un système d’information de plus en plus décentralisé et étendu, un nombre d’utilisateurs toujours plus important qui accèdent à des données sensibles de l’entreprise via des appareils mobiles, l’adoption d’une approche « Zero trust » est devenue nécessaire.

Grâce à ce modèle, il est possible de contrôler qui a accès à quoi, comment et quand. L’enjeu est donc de pouvoir contrôler de bout en bout la chaîne d’utilisateur.

Comment mettre en œuvre ce concept ?

Tout d’abord, il faut commencer par penser différemment. Aujourd’hui il n’y a plus de château fort à protéger où on considérait que tout ce qui est à l’intérieur est « de confiance » et tout ce qui est en dehors est « dangereux ».

Si vous êtes intéressés suivez ce lien

1/ Mise en place d’une politique de gestion des identités avec du MFA

MISE EN OEUVRE DU CONCEPT DE ZERO TRUST NXO

La mise en œuvre d’une approche Zéro Trust repose sur une remise en question des politiques et processus de gestion des identités et des accès. Les solutions de types IAM (Identity & Access Management) sont donc indispensables à toute approche Zéro Trust. En effet, cela va permettre de contrôler les accès des utilisateurs en répondant à des questions spécifiques telles que : cet utilisateur est-il autorisé à accéder au terminal, à cette ressource, est-il bien ce qu’il prétend être, utilise-t-il le bon « device » ?

Contrairement à une identification par VPN, la gestion des identités va permettre de mettre en place une politique granulaire. Ce type de solutions, bien qu’indispensable ne se suffit pas, il faut y ajouter d’autres solutions.

On pense évidemment à de l’authentification forte (MFA) qui est nécessaire pour contrecarrer la trop grande facilité de compromission des approches par mots de passe et les risques accrus induits par les solutions de type SSO (Single Sign On : soit une identification unique). Ces derniers sont aujourd’hui très utiles en termes de sécurité mais aussi en matière de productivité pour l’utilisateur qui pourra s’authentifier une seule fois pour accéder à l’ensemble des services en ligne par exemple.

2/ Mise en place d’une politique de traçabilité des comptes

Au-delà des solutions de type IAM, il faut s’assurer d’attribuer des droits de manière dynamique (sans systématicité) et assurer une traçabilité des accès. Il est en effet essentiel de savoir qui fait quoi et à quel moment pour détecter une activité anormale. Les bastions comme WALIX permettent de suivre toutes les actions des comptes supervisés voire même de pouvoir enregistrer les sessions. Cela permet ainsi, en cas d’attaque, de pouvoir comprendre plus précisément l’étendue de l’attaque.

Ce type de solution permettra également de détecter les comportements anormaux.

3/ Limiter les accès à certains outils et non à l’ensemble du réseau

Il s’agit ici d’appliquer la notion de moindre privilège

Le principe de « moindre privilège » implique de restreindre les droits d’accès d’utilisateur ou groupe d’utilisateurs dans l’entreprise, afin qu’ils n’aient accès qu’à ceux qui lui sont nécessaires pour effectuer leur travail. Selon ce même principe, chaque processus, appareil et application du système doit se voir attribuer la moindre autorité nécessaire, pour éviter de compromettre des informations privilégiées.

Dis autrement, il s’agit de donner des accès minimums à tout le monde afin de réduire la « surface d’attaque » et, par conséquent, de réduire les risques encourus par l’entreprise.

4/ Segmenter le réseau

Comme le modèle Zéro Trust le préconise, la micro-segmentation permet de considérer chaque paire utilisateur-ressource comme totalement indépendante, à la fois de l’origine de la connexion, mais aussi des autres connexions applicatives qui pourraient être actives sur le même terminal.

Pour cette raison, si on veut appliquer le modèle Zero trust progressivement, il faut commencer à implémenter de la micro-segmentation pour une partie des utilisateurs, et commencer ainsi à accumuler une expérience qui sera précieuse pour l’avenir, lorsque le Zero Trust sera complètement mis en place. Cette micro-segmentation du réseau permettra de mieux protéger les applications en micro-services.

5/ Protéger les applications d’entreprise

En accordant aux utilisateurs uniquement l’accès aux applications dont ils ont besoin et non plus à l’ensemble du réseau, cela permettra de limiter les risques.

Quand on parle d’applications d’entreprises on sous-entend dans la majorité des cas d’applications web donc accessibles via un navigateur web.

Les utilisateurs pouvant accéder aux applications par exemple depuis des réseaux wifi publics, il n’est pas suffisant de sécuriser uniquement les accès au réseau d’entreprise. Les applications critiques doivent donc être sécurisées pour tout type d’accès à distance.

Une solution de type WAF (Web application Firewall) permettra de protéger les applications internes et les données qu’elles contiennent contre les attaques de couche applicative et d’injection, telles que l’injection SQL, l’exécution de fichiers malveillants, la falsification de requêtes intersites (CSRF) et les scripts inter-sites.

Finalement c’est une approche, une culture à mettre en place en entreprise qui prend du temps

Au-delà des diverses approches et solutions à mettre en place, le modèle Zéro trust est avant tout une culture d’entreprise à mettre en place face aux diverses problématiques de sécurité. Cette stratégie prendra du temps pour sa mise en œuvre. Pour cette raison cela nécessitera des mesures plutôt itératives en définissant des priorités dans chaque étape.

Néanmoins, il ne faut pas voir cette approche comme contraignante et statique, la sécurité « Zero Trust » doit être dynamique et sans cesse ajustée et adaptée en fonction des contextes et besoins.

De plus, que ce soit d’un point de vue de la sécurité, de l’usage, ce modèle permet surtout d’accompagner sereinement la montée en maturité de la sécurité informatique de l’entreprise.

Vous souhaitez en savoir plus ou vous aimeriez être accompagné pour sa mise en place ?
Faites confiance à NXO et ses experts pour sa mise en oeuvre.

Nicolas Lacourte

Solution Manager Cybersécurité NXO

Découvrez aussi

Cybersécurité : pourquoi appliquer le zero trust ?

Le zéro trust est l’art d’assurer une sécurité dans un monde sans périmètre. Cet article de blog conçu par NXO vous explique l’essentiel

Découvrir l’offre

L’humain : la principale faille de la chaîne cybersécurité ?

Cybersécurité : comment minimiser le risque que représente le facteur humain ?

Découvrir l’offre

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durée	Description
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_01CQSTSNYF	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_92794824_2	1 minute	Set by Google to distinguish users.
_gat_UA-92794824-2	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
ln_or	1 day	Linkedin sets this cookie to registers statistical data on users' behaviour on the website for internal analytics.
pardot	past	The pardot cookie is set while the visitor is logged in as a Pardot user. The cookie indicates an active session and is not used for tracking.

Cookie	Durée	Description
DEVICE_INFO	5 months 27 days	YouTube: Utilisé pour suivre l'interaction de l'utilisateur avec le contenu intégré.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lpv983551	30 minutes	Ce cookie empêche le suivi de chaque rechargement en tant que vue de page.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
visitor_id983551	1 year	Le cookie visiteur inclut un identifiant unique de visiteur et l'identifiant unique de notre unité commerciale.
visitor_id983551-hash	1 year	Ce cookie est une mesure de sécurité qui empêche un utilisateur malveillant de se faire passer pour un visiteur et d’accéder aux informations du prospect correspondant.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durée	Description
AnalyticsSyncHistory	1 month	No description
li_gc	2 years	No description
SGPBShowingLimitationPage65978	session	No description
SGPBShowingLimitationPage68398	session	No description