Pourquoi appliquer le zero trust en cybersécurité ?

Cybersécurité : pourquoi appliquer le zero trust ?

mercredi 10 juin

Cybersécurité

Pourquoi appliquer le zero trust en matière de cybersécurité pour assurer sa cyberdéfense, dans un monde IT sans périmètre ? Avis d’expert

Cet article est le premier d’une série de trois articles consacrés au zero trust.

Le « zero trust » est l’art d’assurer une sécurité dans un monde sans périmètre. Pourquoi l’adopter et l’appliquer ?

La sécurité périmétrique

Historiquement et pour beaucoup d’entreprises, encore aujourd’hui, les architectures de sécurité sont basées sur le principe consistant à établir un périmètre de sécurité autour du système d’information pour le protéger des menaces venant de l’extérieur. Cela reprend le concept du château fort qui est protégé par une ligne de pare-feux ou autres équipements défensifs isolant une infrastructure interne présumée sûre d’appareils et services publics potentiellement compromis.

Une fois la barrière de sécurité passée, le collaborateur pourra librement circuler à l’intérieur du système d’information de l’entreprise.

zéro trust- Sécurité NXO - concept image

VPN, pare-feux et antivirus restent des composantes clés de toute politique de sécurité, mais ils sont maintenant insuffisants. Aujourd’hui les utilisateurs sont de plus en plus nomades et se connectent au réseau de l’entreprise hors de ce périmètre via leur téléphone portable, leur propre tablette (BYOD=Bring Your Own Device) avec notamment l’émergence du travail à domicile. De plus les données et applications de l’entreprise sont de plus en plus souvent hébergées hors des murs de l’entreprise sur le Cloud. Pour les entreprises dans ce contexte, la sécurité de type périmétrique est devenue obsolète.

Aujourd’hui, la sécurité de type périmétrique est devenue un obsolète.

Si vous êtes intéressés suivez ce lien

Zéro Trust : qu’est-ce que c’est ?

A l’origine, la protection contre les cyber menaces était principalement axée sur la sécurisation du périmètre. On misait alors sur les pare-feux, les VPN et les zones démilitarisées pour protéger les actifs sensibles de l’entreprise centralisés en 1 lieu physique contre des intrusions et attaques. Ce modèle repose sur le principe que la menace vient de l’extérieur tout en ignorant la sécurité au sein de l’entreprise.

En matière de cybersécurité, le principe de Zero Trust consiste à ne faire confiance à rien ni personne, y compris dans le périmètre sécurisé

À l’heure de la génération cloud, les données sont au cœur de l’architecture de sécurité. Nous ne pouvons plus nous appuyer sur le principe de la sécurité périmétrique car les données sensibles peuvent aussi bien transiter depuis et vers le cloud que se trouver à l’intérieur du périmètre de l’entreprise.

L’émergence d’un nouveau concept est alors apparue : l’approche « Zero Trust ». Cela part du principe qu’il n’existe plus de zone de confiance et qu’il faut vérifier les utilisateurs, valider les terminaux et se baser sur un principe de moindre privilège : limiter les accès et privilèges.

L'approche zero trust NXO - Cybersécurité - Schéma

L’approche « Zero Trust » prône de n’accorder aucun droit d’accès à un utilisateur ou un dispositif tant que l’on n’a pas effectivement contrôlé et vérifié qu’il est bien ce qu’il prétend être au moment même où il a besoin des droits d’accès qu’il réclame.

Ainsi, un accès à une ressource, quelle qu’elle soit, ne peut être obtenu qu’après non seulement de multiples vérifications de l’authenticité de l’utilisateur ou du système qui le réclame mais également une bonne analyse et compréhension des contextes dans lesquels cet accès est réclamé.

L’approche « Zero Trust » pose des principes simples :

Les menaces internes ou externes doivent être considérées à tout moment
Il n’existe plus de réseau hostile ou sain
Chaque terminal, chaque utilisateur et chaque flux réseau doivent êtres authentifiés et autorisés
Les politiques de sécurité doivent être dynamiques donc évolutives

Pourquoi la sécurité périmétrique n’a plus de sens aujourd’hui ?

Avec l’émergence du cloud, du télétravail, l’utilisation de plus en plus courante de ses propres outils (BYOD), il est devenu d’autant plus complexe de sécuriser les accès. De plus le fait d’accorder une confiance (Trust) à un utilisateur qui a pu accéder au réseau affaiblit la sécurité d’une organisation pour plusieurs raisons:

Aucune prise en compte des terminaux compromis

Pourquoi le zero trust en sécurité ? NXO vous explique - Photo DSI

Avec la multiplicité des appareils et notamment du BYOD, il n’est pas rare d’avoir des terminaux « jailbreakés » ou infectés par un malware. Les utilisateurs, bien que légitimes en utilisant ce type d’appareil peuvent exposer et compromettre des ressources sensibles de l’entreprise. En effet, les acteurs malveillants peuvent alors faire un déplacement transversal à travers le réseau de l’entreprise pour voler des données.

Aucune prise en compte du vol d’identifiants

On le sait, dans le domaine de la cybersécurité, le 1^er maillon faible est l’individu qui souvent par manque de formation et sensibilisation expose son entreprise à des failles. Que cela soit voulu avec des collaborateurs mal intentionnés, ayant quitté l’entreprise ou des personnes ayant été subi un vol de leur identifiant via du « phishing », la sécurité périmétrique ne permet pas de se couvrir contre ce type de vol. (Selon le rapport « Data breaches investigations 2019 » de Verizon, 29% des intrusions sont liées à l’utilisation d’identifiants volés.)

Aucune prise en compte du contexte lors de la demande d’accès

Avec la sécurité périmétrique, les utilisateurs sont identifiés via leurs adresses IP. Il s’agit d’une sécurité limitée car on ignore alors des risques basés sur le type d’utilisateur (service, ancienneté, privilège) mais aussi le contexte de la demande (géolocalisation, horaire) et le niveau de risque lié à la ressource demandée (ex : un accès à une application financière alors que la personne ne devrait pas y avoir accès).

Repenser la sécurité

Au final il faut donc revoir la façon de penser et de concevoir la sécurité. L’idée est surtout de protéger les données les plus critiques. Pour cela il faudra construire un périmètre autour de chacune de ses ressources en contrôlant les accès (« Qui ? », « où ? », « comment ? », etc).

Pour y arriver il faut, en amont, s’assurer que chaque dispositif connecté au système d’information est connu et sécurisé.

Il faut également s’assurer que tous les « devices » (PC, Smartphones, tablettes…) sont bien à jour. Il est également très important de prévoir une authentification forte afin d’éviter de potentiels vols de « Credentials ». En effet l’authentification uniquement par LOGIN/PASSWORD est très insuffisant.

Pour résumer, l’outil de gestion des identités est la 1^ère brique essentielle pour mettre en œuvre cette méthode. Elle va permettre une identification des utilisateurs mais également celle des machines et d’identifier les applications voire les bases de données et autres systèmes de stockage.

« Zero Tust » est donc un concept qui implique un changement de paradigme sur la façon dont est pensée la sécurité. Ce qui est proposé dans ce modèle fait sens et améliore sans aucun doute possible le niveau de sécurité. Avec des consultants expérimentés en cybersécurité, NXO peut vous aider dans la mise en œuvre de ce modèle.

Nicolas Lacourte

Solution Manager Cybersécurité NXO

Découvrez aussi

BROCHURE : CYBER SÉCURITÉ NXO

Découvrez les solutions cybersécurité NXO, leader français de l’intégration et de la gestion des flux digitaux des entreprises

Découvrir l’offre

L’humain : la principale faille de la chaîne cybersécurité ?

Cybersécurité : comment minimiser le risque que représente le facteur humain ?

Découvrir l’offre

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durée	Description
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_01CQSTSNYF	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_92794824_2	1 minute	Set by Google to distinguish users.
_gat_UA-92794824-2	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
ln_or	1 day	Linkedin sets this cookie to registers statistical data on users' behaviour on the website for internal analytics.
pardot	past	The pardot cookie is set while the visitor is logged in as a Pardot user. The cookie indicates an active session and is not used for tracking.

Cookie	Durée	Description
DEVICE_INFO	5 months 27 days	YouTube: Utilisé pour suivre l'interaction de l'utilisateur avec le contenu intégré.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lpv983551	30 minutes	Ce cookie empêche le suivi de chaque rechargement en tant que vue de page.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
visitor_id983551	1 year	Le cookie visiteur inclut un identifiant unique de visiteur et l'identifiant unique de notre unité commerciale.
visitor_id983551-hash	1 year	Ce cookie est une mesure de sécurité qui empêche un utilisateur malveillant de se faire passer pour un visiteur et d’accéder aux informations du prospect correspondant.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durée	Description
AnalyticsSyncHistory	1 month	No description
li_gc	2 years	No description
SGPBShowingLimitationPage65978	session	No description
SGPBShowingLimitationPage68398	session	No description