Pour son concepteur, le zero-trust est une stratégie, pas une technologie
La sécurité zero-trust doit être considérée comme une stratégie de protection des actifs IT de grande valeur et n’est pas liée à une technologie ou à un produit spécifique, explique John Kindervag, le créateur du modèle. Quelques précisions de sa part.
Lorsque John Kindervag a conçu le modèle de sécurité « zero-trust » chez Forrester Research, il l’a d’abord porté comme une stratégie pour aider les organisations à se prémunir contre les cyberattaques et les violations de données.
Pour celui qui travaille désormais chez Illumio en tant qu’évangéliste en chef, le concept a rapidement trouvé un écho auprès des chefs d’entreprise et des fonctionnaires, qui ont très vite souhaité le mettre en œuvre en s’appuyant sur une solution technologique clé en main disponible immédiatement.
Reste que dans son approche « la stratégie et les tactiques sont volontairement découplées et il n’est surtout pas question que la stratégie change. […] Nous voulons que celle-ci permette de mettre fin aux violations de données, qu’elle fasse échouer les autres cyberattaques et qu’elle puisse être mise en œuvre de mieux en mieux au fur et à mesure que la technologie s’améliore. »
Fondamentalement, la sécurité zero-trust (« zéro confiance » ou « sans confiance » en français) traite tous les utilisateurs et toutes les données de la même manière, où qu’ils se trouvent, en éliminant le périmètre traditionnellement défini par le réseau et en partant du principe qu’aucun utilisateur ou appareil n’est a priori digne de confiance, jusqu’à preuve du contraire. Contrairement à ce que certains fournisseurs de technologie pourraient prétendre dans leurs messages marketing, l’approche n’est cependant pas liée à une technologie ou à un produit spécifique.
« Il y a toujours une certaine confusion parce que les gens ne reçoivent pas toujours les bonnes informations », explique John Kindervag, pour qui « beaucoup de gens ont transformé le zero-trust en ce qu’ils vendent actuellement, mais ce n’est pas vraiment le cas pour nous. »
Illumio fournit une technologie de segmentation des clés qui est utilisée dans les environnements de zéro confiance, mais ce n’est pas la panacée, et cela ne vous rendra pas « zero-trust » à 100 % pour autant.
Zero-trust est un long périple
L’évolution rapide du paysage technologique et spécifiquement de la cybersécurité montre que le zero-trust n’est pas un état figé ou final, mais plutôt un voyage. « Les organisations ont parfois du mal avec cela, parce qu’elles souhaiteraient que la confiance zéro soit un projet dont elles pourraient voir le bout ou même se débarrasser ».
Les organisations commettent également l’erreur d’essayer de mettre en œuvre une approche zero-trust pour absolument tout ce qu’elles possèdent, même si certains actifs n’ont pas une valeur et une sensibilité suffisantes pour justifier une protection aussi importante.
« Il faut essayer de voir quelles sont les choses qui ont une grande valeur, puis les protéger en utilisant le concept de zero-trust afin qu’elles soient mieux protégées que d’autres systèmes, en particulier lorsque l’on est au début de la démarche. »
John KindervagConcepteur de la sécurité zero-trust et évangéliste en chef, Illumio
« Il faut essayer de voir quelles sont les choses qui ont une grande valeur, puis les protéger en utilisant le concept de zero-trust afin qu’elles soient mieux protégées que d’autres systèmes, en particulier lorsque l’on est au début de la démarche », explique John Kindervag.
Citant l’exemple de la violation massive de données qui a touché la société Target en 2013, il montre comment le géant américain du commerce de détail n’avait qu’à se concentrer sur la protection de sa base de données de détenteurs de cartes de crédit et de ses dossiers clients, et pas nécessairement sur tout ce qu’il possédait.
« Ainsi, en amenant les gens à se concentrer sur ce qui est le plus important, ils peuvent réussir à protéger ces éléments, et ils peuvent placer d’autres éléments dans leur environnement sans confiance par la suite », affirme John Kindervag.
Il s’agit de commencer par une « surface de protection d’apprentissage » – l’inverse d’une surface d’attaque – afin de réduire de manière significative la taille potentielle de cette dernière.
Et d’expliquer que « dans le cas de Target, il s’agirait des données de votre carte de crédit et il est facile de les trouver, car il suffit d’utiliser une formule mathématique (appelée Luhn) pour examiner les paquets, identifier les données et les protéger à l’aide d’une solution DLP [prévention de la perte de données] ».
Selon John Kindervag, les technologies de segmentation du réseau peuvent contribuer à créer un micropérimètre autour d’une surface de protection, en plaçant des contrôles – tels que des règles granulaires d’autorisation qui limitent ce qui peut être fait à l’intérieur de la surface de protection – à côté des actifs à protéger.
« La segmentation du réseau est un élément fondamental de la confiance zéro. […] Si le réseau est plat, peu importe ce que vous faites, c’est un environnement trop vaste pour être géré par les outils de MFA [authentification multifactorielle] ou un pare-feu périmétrique. Il y aura tout simplement trop de coins sombres dans lesquels les attaquants pourront se cacher ».
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
