Zero trust architecture, stratégie de sécurité sans VPN

Zero trust : une stratégie de sécurisation sans VPN

jeudi 11 juin

Cybersécurité

Le zero trust est l’art d’assurer sa cyberdéfense dans un monde sans périmètre. C’est une stratégie de cybersécurité sans VPN

Cet article est le troisième d’une série de trois articles consacrés au zero trust.

Zero trust : une stratégie de sécurisation sans VPN.

Après avoir vu pourquoi adopter le zero trust, dans le précédent article, puis sur sa mise en place dans un second, nous focalisons le thème de la sécurisation sans VPN

Nota : Avant de lire ce deuxième article sur le sujet du zéro trust, nous vous invitons à lire le premier article « pourquoi appliquer le zero trust » et le second article sur sa mise en oeuvre, si ce n’est fait.

Système d'authentification des accès sécurisé - NXO - Image

Le concept de sécurité périmétrique repose sur le fait d’accorder à l’utilisateur l’accès au réseau de l’entreprise via un système d’accès à distance VPN. Cela donne alors accès à l’ensemble des données et applications dans le cas où aucune segmentation du réseau n’a été prévu (la mise en pratique peut se révéler être complexe). Cette pratique de confiance illimitée peut se révéler être dangereuse pour l’entreprise dans son ensemble.

Aujourd’hui, ce type de pratique est encore très largement utilisé pour permettre aux utilisateurs externes d’accéder au réseau interne et aux applications hébergées dans le cloud. Cependant, cela peut exposer l’entreprise à de nombreux risques. En effet, les utilisateurs peuvent passer par des réseaux non sécurisés et via des appareils mobiles non gérés et non protégés par l’entreprise (BYOD).

Si vous êtes intéressés suivez ce lien

Le VPN : un point faible en terme de sécurité ?

En ayant accès à l’intégralité du réseau interne, il existe un risque accru de violation des données ou d’infection par malware. De plus, l’installation et la gestion de l’infrastructure VPN sont des opérations onéreuses et chronophages.

A cela s’ajoute souvent, une mauvaise expérience utilisateur, la latence, le cout qui pousse certaines entreprises à abandonner l’usage de VPN.

Il n’est donc pas étonnant que le concept de VPN est de plus en plus remis en cause aujourd’hui.

Evolution des SI : les données sont partout !

Travail mobile en toute sécurité - NXO vignette

Nous l’avons vu, le modèle de sécurité périmétrique est aujourd’hui dépassé. Pourquoi ? car les données sont maintenant partout. En effet, on constate que des applications internes côtoient d’autres en mode SaaS qui sont hébergées à l’extérieur du périmètre tandis que l’infrastructure passe de serveurs virtualisés dans le datacenter à des instances ou du stockage dans un Cloud public.
A cela s’ajoute le fait que les utilisateurs sont souvent mobiles (le télétravail est moteur dans ce sens). Avec tous ces aspects, il est devenu très difficile de déterminer qui est de confiance dans ces situations diverses.

On comprend alors que le concept de VPN est à remettre en cause car il est de plus en plus difficile d’adapter et de maintenir les configurations VPN.

C’est là qu’intervient le concept de Zéro trust : si le périmètre disparait alors la notion de confiance (Trust) accordé par défaut doit être remis en cause.

Ce concept qui a été introduit par Jogn Kindervag de Forrester en 2009, est de plus en plus populaire aujourd’hui. Cependant, d’après le Zero Trust Adoption Report 2019, réalisé par Cybersecurity Insiders, seulement 15 % des entreprises ont déjà adopté le Zéro trust mais plus de la moitié (59 %) prévoient le faire au cours des 12 prochains mois.

Avec le Zero Trust, est-ce la fin du VPN ?

Il n’est pas rare que des failles de sécurité soient identifiées chez les VPN. Ainsi par exemple, des chercheurs de Cisco Talos ont identifiés des failles de sécurité chez NordVPN et ProtonVPN. Cela montre encore une fois, l’importance de mettre à jour les clients VPN pour limiter les risques.

On le voit quotidiennement avec les diverses annonces de failles, d’attaques toujours plus complexes, de nouvelles technologies émergentes, la cyber sécurité évolue très rapidement et la frontière entre le réseau interne et externe est de plus en plus flou. La réalité du terrain tend à dire que l’approche Zéro Trust pose une remise en cause de la sécurité traditionnelle pour mieux se protéger. Cependant, il faut avoir conscience que cela nécessite une certaine maturité de l’entreprise. En effet, il existe beaucoup d’entreprises qui sont basés sur une sécurité périmétrique et cela leur convient encore très bien.

Cependant pour les entreprises ayant un fonctionnement plus mature et complexe, l’approche zéro trust prend aujourd’hui tout son sens. On trouve de nombreux éditeurs positionnés sur le terrain du zéro trust avec plusieurs angles d’attaque. On peut citer par exemple PALO ALTO NETWORKS et le spécialiste en gestion des identités OKTA.

Par où commencer ?

La mise en place du concept « Zero Trust » implique une importante remise en cause, et la mise en place de nombreuses solutions mais surtout une philosophie interne. Il faut donc commencer par étapes, autrement dit commencer « petit » dans un premier temps et par itération.

Atteindre la confiance zéro est souvent perçu comme coûteux et complexe. Cependant, ce modèle est construit sur une architecture existante et n’oblige pas à extraire et à remplacer la technologie existante. Il n’y a pas vraiment de produit « Zero Trust ». Il existe des produits qui fonctionnent bien dans les environnements « Zero Trust ». Ce concept nécessite beaucoup de méthodologie

Selon John Kindervag (à l’origine du concept) cela repose sur 5 étapes clés :

Identifier la surface de protection
Cartographier les flux de transactions
Construire une architecture Zero Trust
Créer une politique de confiance zéro
Surveiller et maintenir

La mise en place d’une architecture « Zero trust » repose sur l’identité

Cela doit permettre de gagner en visibilité pour tout le trafic – utilisateur, appareil, emplacement et application – et être basé sur la segmentation permettant d’avoir une meilleure visibilité sur le trafic interne. Pour cela, il faut disposer d’un pare-feu de nouvelle génération (NextGen Firewall) doté de capacités de déchiffrement. Il doit permettre de faire la micro-segmentation des périmètres et pourra jouer le rôle de « contrôleur des frontières » au sein de l’organisation.

Clé d'authentification forte Yubikey de Yubico - NXO

Il est également essentiel de mettre en place des solutions de gestion d’identité et d’authentification forte afin de toujours vérifier l’identité des utilisateurs et du « device ». Cette identité doit désormais être le véritable pivot de de la cybersécurité de l’entreprise.

Dans ce domaine, cela va permettre d’autoriser des utilisateurs à accéder aux applications et ressources uniquement sur des terminaux fiables. Pour y parvenir, il y a plusieurs étapes afin de confirmer l’identité d’un utilisateur et du device :

1/ Vérifier que l’accès provient bien du bon utilisateur

2/ Le terminal est reconnu

La plateforme et le client utilisés pour cette tentative d’accès doivent être conformes à la politique de sécurité́ de l’entreprise. Pour s’assurer qu’il s’agit bien du bon utilisateur, il faut notamment mettre en place une politique d’authentification multi Facteur contextualisée.

Après authentification de l’utilisateur, il faudra ensuite procéder aux vérifications spécifiques au terminal. Une solution comme par exemple OKTA disposent de plusieurs méthodes efficaces pour reconnaître un terminal de confiance.

Au final, le Zéro Trust est une remise en cause profonde de la sécurité mais qui prendra du temps

Gartner prédit que d’ici 2023, 60% des entreprises réduiront leurs ressources VPN en faveur d’un accès réseau « Zero Trust » qui peut prendre la forme d’une passerelle qui authentifie aussi bien le terminal et l’utilisateur avant d’autoriser un accès basé sur le rôle et le contexte.

On constate qu’il existe une grande variété de failles associées à une approche périmétrique de la sécurité. Cette dernière ne permet pas de répondre efficacement aux attaques de l’intérieur. De plus, si un attaquant vole les identifiants VPN d’une personne (par de l’ingénierie sociale par exemple), il pourra accéder au réseau et se balader librement.

Solutions de sécurité et d'authentification forte sans VPN pour le télétravail sécurisé - Image

Au-delà des risques, avec l’émergence du télétravail, les employés sont de plus en plus nombreux à espérer bénéficier des mêmes conditions de travail chez eux qu’au travail.

Les départements informatiques doivent ainsi aujourd’hui optimiser les performances, tout en offrant aux employés une expérience utilisateur positive et personnalisée.

Cependant force est de constater que la mise en place du « Zero Trust » est contraignante et nécessite une remise en cause de nombreux acquis, et pousse à la mise en place de solutions dont la gestion des identités est la pierre angulaire.

Faut-il abandonner une solution de type VPN ?

Ce type de solution est toujours pertinent si l’organisation de l’entreprise toujours sur le principe du périmètre avec des utilisateurs n’ayant pas besoin d’accès à des solutions cloud, n’utilisant pas de BYOD par exemple.

En revanche pour les entreprises à plus forte maturité, il faut dès maintenant commencer à avancer dans la réflexion pour une mise en place de principe de zéro Trust à plus ou moins moyen terme. Cela ne signifie pas d’abandonner dès maintenant une solution de type VPN mais de procéder par étapes.

Nicolas Lacourte

Solution Manager Cybersécurité NXO

Découvrez aussi

Cybersécurité : pourquoi appliquer le zero trust ?

Le zéro trust est l’art d’assurer une sécurité dans un monde sans périmètre. Cet article de blog conçu par NXO vous explique l’essentiel

Découvrir l’offre

Mise en oeuvre du concept de zero trust

Comment déployer sa stratégie de cybersécurité « zero trust » pour globaliser sa cyberdéfense dans un monde sans périmètre ?

Découvrir l’offre

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durée	Description
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_01CQSTSNYF	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_92794824_2	1 minute	Set by Google to distinguish users.
_gat_UA-92794824-2	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
ln_or	1 day	Linkedin sets this cookie to registers statistical data on users' behaviour on the website for internal analytics.
pardot	past	The pardot cookie is set while the visitor is logged in as a Pardot user. The cookie indicates an active session and is not used for tracking.

Cookie	Durée	Description
DEVICE_INFO	5 months 27 days	YouTube: Utilisé pour suivre l'interaction de l'utilisateur avec le contenu intégré.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lpv983551	30 minutes	Ce cookie empêche le suivi de chaque rechargement en tant que vue de page.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
visitor_id983551	1 year	Le cookie visiteur inclut un identifiant unique de visiteur et l'identifiant unique de notre unité commerciale.
visitor_id983551-hash	1 year	Ce cookie est une mesure de sécurité qui empêche un utilisateur malveillant de se faire passer pour un visiteur et d’accéder aux informations du prospect correspondant.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durée	Description
AnalyticsSyncHistory	1 month	No description
li_gc	2 years	No description
SGPBShowingLimitationPage65978	session	No description
SGPBShowingLimitationPage68398	session	No description