Wallix Live 2020 : Zero Trust, la liberté n’exclut pas le contrôle

L’aspect humain, indissociable d’une approche Zero Trust

Pour le fondateur de Wallix, le concept de Zero Trust est devenu le nouveau standard d’architecture de sécurité. L’éditeur veut s’inscrire dans la mouvance Zero Trust, avec son offre de bastion et un PAM qui peut jouer le rôle de pivot du Zero Trust – un modèle de sécurité où aucune confiance n’est accordée par défaut à un utilisateur, mais dans lequel celui-ci se voit accorder des droits de manière dynamique, suivant divers critères définis au préalable.

« Notre système d’information se compose d’énormément de boîtes noires dont le fonctionnement est géré par des experts qui sont en dehors de l’entreprise. »

Cédric Cantillon, DPO et conseiller en sécurisation et gestion des risques à la RTBF a déployé le PAM Wallix, depuis 7 ans maintenant, afin de sécuriser les accès de nombreux utilisateurs externes, parfois étrangers, qui interviennent sur le système d’information de la Radio-Télévision belge en dehors des heures d’antenne, bien souvent la nuit.
« Notre système d’information se compose d’énormément de boîtes noires dont le fonctionnement est géré par des experts qui sont en dehors de l’entreprise. Nous devions au moins comprendre ce que faisaient nos prestataires, non pas ne pas leur faire confiance puisqu’on leur donne les clés de notre système d’information, mais savoir ce qui s’est passé en cas d’incident constaté le matin, quand nos équipes arrivent ».

Avec le bastion de Wallix, Cédric Cantillon disposait d’une solution pouvant enregistrer tout ce que faisaient ses prestataires, mais celui-ci n’avait pas le pouvoir d’imposer une telle solution à tous les administrateurs. Ce sont donc les nouveaux arrivants qui voient leurs accès gérés par l’outil de PAM (Privileged Access Management, ou gestion des accès à privilèges). « La diffusion du PAM ne fait que progresser et son acceptation est de plus en plus facile. On ne se pose plus la question pour les nouveaux prestataires, c’est automatique alors que c’était auparavant un combat. C’est maintenant naturel ».

Une nécessaire transparence vis-à-vis des collaborateurs

Lors du Webinar, Jean-Noël de Galzain a pointé les différences culturelles sur la diffusion de tels outils dans différentes régions du globe, avec des systèmes de sécurité qui sont acceptés sans que cela pose de problèmes aux collaborateurs aux États-Unis ou plus encore dans les pays asiatiques – par opposition aux Européens, beaucoup plus sensibles à la protection des libertés individuelles dans les entreprises.

« En Allemagne, à chaque projet de mise en place d’un bastion, les syndicats réclament leur propre accès au système avant que celui-ci soit déployé dans toute l’organisation. Ils veulent être certains que le système ne sera pas intrusif dans la vie privée des collaborateurs et se limitera à ce qui est prévu dans le cadre de la loi ».

« La transparence, la confiance et la loyauté sont très importantes pour amener les utilisateurs qui ont des accès à privilèges à accepter ce changement. »

Le PDG de Wallix évoque l’exemple estonien, l’État sans doute le plus numérisé au monde qui a pu déployer son modèle 100 % connecté auprès de sa population, grâce d’une part aux bénéfices pour chaque citoyen d’une administration ultra-connectée, mais grâce aussi à une transparence totale de l’État sur l’utilisation de ces données. Une double priorité, bénéfice utilisateur/transparence, qui, selon Jean-Noël de Galzain, doit être reprise par les entreprises dans leurs démarches Zero Trust.

Cédric Cantillon a lui aussi souligné la nécessité de transparence vis-à-vis des collaborateurs sur la mise en place de tels systèmes : « le collaborateur doit être dans un environnement où il sait sur quoi il est contrôlé, c’est important. La transparence, la confiance et la loyauté sont très importantes pour amener les utilisateurs qui ont des accès à privilèges à accepter ce changement ».

La gestion des identités au cœur de la stratégie Zero Trust

Si, pour Jean-Noël de Galzain comme pour Zeina Zakhour, la simplicité de l’expérience utilisateur, mais aussi le bénéfice que va en tirer ce dernier dans son quotidien sont des conditions clés de la réussite d’un projet Zero Trust, la CTO Cybersécurité d’Atos souligne l’importance de la gestion d’identité dans de tels projets : « la gestion des identités doit être aujourd’hui une priorité. Il faut une bonne gestion des identités des utilisateurs à privilège, des utilisateurs humains, mais aussi des objets ».

La migration des infrastructures IT des entreprises vers le cloud ou plutôt le multicloud est clairement, pour l’experte en cybersécurité, un déclencheur afin de se diriger vers le sans-confiance : « avec le cloud public et l’externalisation, les infrastructures n’appartiennent plus à 100 % à l’entreprise. Celles-ci doivent donc s’assurer de sécuriser ces infrastructures au moyen d’une microsegmentation des services, de SASE (Secure Access Service Edge), etc. »

Outre ces deux leviers, l’experte souligne l’importance de travailler sur le chiffrement des données : « on a l’habitude de dire que le chiffrement, c’est le dernier bastion quand toutes les mesures de sécurité ont été tenues en échec. Si on a bien sécurisé la donnée, les attaquants ne pourront rien en faire. Les entreprises doivent maintenant s’intéresser à des innovations telles que le chiffrement homomorphe, sur le Privacy Preserving Encryption : la donnée est chiffrée en permanence, tout au long de son existence même lorsqu’on travaille dessus ».

Marier IA et éthique, un nouveau défi pour le RSSI

Parmi les nouvelles technologies à se mettre au service du RSSI, l’intelligence artificielle est de plus en plus omniprésente dans les outils à sa disposition. Zeina Zakhour évoque le Machine Learning pour la détection de signaux faibles ou encore l’analyse comportementale. Des applications du Machine Learning sont déjà en place sur la solution de Wallix, mais Jean-Noël de Galzain compte désormais aller plus loin : « nous allons initier en début d’année 2021 un partenariat avec un laboratoire du CNRS, afin d’intégrer des algorithmes d’intelligence artificielle. Notre objectif est d’améliorer les capacités d’anticipation de notre bastion. Celui-ci voit passer tous les flux d’identités et les flux d’accès dans l’organisation, et nos clients auront la possibilité d’analyser les données qui viennent de l’intérieur et de l’extérieur du système d’information afin d’améliorer la qualité et l’agilité de l’organisation ».

« Des frameworks liés à la Privacy et à l’éthique, vont nous permettre d’adopter ces technologies dans une approche Zero Trust by design. »

L’IA poursuit sa montée en puissance dans les solutions de cybersécurité, y compris sur les solutions de gestion des accès, mais Zeina Zakhour souligne la nécessité d’adopter une démarche éthique qui préserve les données personnelles de chacun : « l’IA est d’une grande aide dans la cybersécurité, notamment avec le comportemental, la détection des signaux faibles et donc l’anticipation de la menace. Il est important d’adopter un framework éthique assorti d'un volet Privacy. Si le grand public partage sans doute trop d’information sur les réseaux sociaux, une entreprise doit garder la maîtrise des données qu’elle partage. Des frameworks liés à la Privacy et à l’éthique vont nous permettre d’adopter ces technologies dans une approche Zero Trust by design ».

Jean-Noël de Galzain, a conclu cette édition 2020 de l’événement Wallix Live, en soulignant qu’au-delà du « concept marketing du Zero Trust, il y a l’évolution naturelle des systèmes d’information à être proprement organisés et gérés ». À l’issue du Webinar, 44 % des répondants au sondage mené lors de l’événement déclaraient être engagés dans une démarche sans-confiance.