Zero-trust : les leçons de son adoption chez Cisco
Le géant du réseau a expliqué lors de l’édition 2021 de la conférence RSA comment il est parvenu à déployer le modèle zero-trust (sans confiance) à l’échelle de l’ensemble du groupe en moins de 6 mois. Et ce qu’il a appris au passage.
Cisco espère que ses efforts de refonte de sa sécurité interne aideront ses clients dans leurs propres transitions vers un modèle sans confiance.
S’exprimant lors de l’édition 2021 de la conférence RSA, Brad Arkin, responsable de la sécurité et de la confiance chez Cisco, a déclaré que, sur une période de cinq mois, l’équipementier a réussi à faire passer un grand nombre de ses propres employés à un système zero-trust. Le nouveau système remplace les connexions traditionnelles avec mot de passe par une authentification alternative pour chaque utilisateur et chaque appareil, qui est vérifiée à chaque étape dans le réseau.
Dans ce système, les mots de passe ne sont plus utilisés ; à la place, chaque utilisateur et chaque appareil reçoit un certificat numérique, ainsi qu’une demande d’authentification à facteurs multiples (MFA). Une fois la vérification effectuée, le certificat est contrôlé chaque fois que l’utilisateur tente d’accéder à une ressource spécifique, telle qu’une base de données ou une application interne.
« Le véritable objectif est d’examiner le certificat que nous associons à l’utilisateur et celui que nous associons à chaque appareil que l’utilisateur pourrait utiliser », explique Brad Arkin au sujet de l’approche sans confiance de Cisco. « Nous pouvons alors commencer à poser des questions sur l’état des appareils : cet appareil est-il à jour de correctifs ? Est-il configuré comme il est censé l’être ? »
Outre l’amélioration de la sécurité, Cisco visait à offrir aux utilisateurs des expériences identiques pour se connecter aux applications SaaS et à celles hébergées dans les locaux. Ce qui nécessitait auparavant de se connecter à un VPN.
Avec ces objectifs en tête, Cisco s’est d’abord lancé dans un projet pilote relativement modeste, que Brad Arkin estime à environ 10 000 authentifications par jour, pour mettre en place le système de zero-trust.
« Ce que nous avons obtenu, c’est une expérience de l’utilisateur final grandement améliorée. »
Brad ArkinResponsable de la sécurité et de la confiance, Cisco
En l’espace de cinq mois, ce modèle fonctionnait à l’échelle de l’entreprise et gérait quelque 100 000 ordinateurs portables d’employés et encore plus de terminaux mobiles. Brad Arkin ajoute que la refonte a non seulement simplifié l’authentification, mais a également permis à Cisco de traiter en temps réel les éventuels problèmes de sécurité, tels que des appareils mal configurés ou pas à jour de correctifs.
« Ce que nous avons obtenu, c’est une expérience de l’utilisateur final grandement améliorée », relève-t-il. « Le fait de pouvoir intervenir à ce moment-là nous a permis de créer une bien meilleure posture de sécurité pour l’ensemble de la flotte. Cela nous a permis de changer complètement la façon dont les utilisateurs finaux accèdent à notre environnement ».
Cisco pense qu’il sera également en mesure de traduire ces leçons apprises en interne aux clients dans ce que l’entreprise considère comme un marché croissant pour le zero-trust. Pour Brad Arkin, le plus grand défi du projet était de préparer toutes les différentes équipes impliquées et de s’assurer qu’elles comprenaient qu’il s’agirait d’un changement transformationnel dans l’expérience de l’utilisateur final.
« C’est en prenant cette décision, et en y mettant les deux pieds, que nous avons pu mener ce projet à bien si rapidement ; car tout le monde a compris qu’il ne s’agissait pas d’une amélioration incrémentale, comme d’habitude, mais d’un changement vraiment spectaculaire, avec un avant et un après ».
« Ce sont généralement les points de contrôle d’accès, les politiques d’accès et les workflows de l’assistance informatique qui nécessitent le plus de changements, ainsi qu’une certaine formation des utilisateurs finaux. »
Carla RoncatoAnalyste, Enterprise Strategy Group
Pour Carla Roncato, analyste principale chez Enterprise Strategy Group, la décision de Cisco de montrer la voie par l’exemple n’est pas rare – Microsoft et Google ont tous deux déployé leurs propres modèles de zero-trust en interne. Et d’y voir un signe positif.
« Je soutiens de tout cœur ces initiatives, et bien qu’il y ait différentes approches techniques, en coulisses, ce sont toutes des solutions basées sur des normes et interopérables », relève Carla Roncato. « Chaque entreprise peut se concentrer sur l’expérience utilisateur, le contexte et les conditions qui lui conviennent. Les terminaux/appareils, pour la plupart (Windows, Linux, macOS, Android, iOS), sont tous capables d’authentification sans mot de passe et sans PIN. Ce sont généralement les points de contrôle d’accès, les politiques d’accès et les workflows de l’assistance informatique qui nécessitent le plus de changements, ainsi qu’une certaine formation des utilisateurs finaux ».
Le COVID accélère le passage au sans confiance
S’adressant à SearchSecurity avant la conférence, le responsable de la stratégie de sécurité de Cisco, Dug Song, a expliqué que, la pandémie ayant déplacé les employés hors des locaux et vers les offres SaaS, les entreprises ont dû accélérer leurs projets pour passer à une configuration dite sans confiance. La récente directive de la Maison-Blanche, qui encourage le passage à ces modèles, est venue étayer ce constat.
« Certaines entreprises ont vraiment fait le grand saut. D’autres ont dû se débrouiller. »
Dug SongResponsable de la stratégie de sécurité, Cisco
« Nous avons accéléré de trois à cinq ans dans le futur avec cette transformation numérique. Les clients ont dû agir rapidement », a déclaré Dug Song. « Certaines entreprises ont vraiment fait le grand saut. D’autres ont dû se débrouiller. Elles avaient beaucoup d’infrastructures et d’applications patrimoniales, et nous avons dû les aider à s’y retrouver ».
Une grande partie de cette transition est due au fait que les travailleurs quittent les locaux et accèdent aux réseaux d’entreprise non seulement depuis leur domicile, mais aussi, dans de nombreux cas, à l’aide de leurs PC personnels, de leurs ordinateurs portables et de leurs terminaux mobiles. Il a donc fallu mettre en place des configurations de sécurité qui tiennent compte non seulement des appareils contrôlés par l’entreprise et des comptes d’utilisateurs, mais aussi du matériel appartenant aux employés, qui peut présenter ses propres configurations à risque.
Pour Dug Song, les entreprises ont dépassé le point de bascule et les configurations de réseaux hybrides qui nécessitent un système sans confiance deviennent la norme. « Maintenant que nous commençons à voir une lumière dans le tunnel, nous voyons beaucoup d’organisations qui disent que c’est leur nouvelle normalité », a déclaré Dug Song. « Nos clients nous ont dit qu’ils ne reviendront pas en arrière ».
Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)
