Firewalls et VPN ont vécu. Et, avec eux, la sécurité périmétrique. Le Zero Trust introduit une nouvelle culture d’entreprise de cybersécurité.

Place au Zero Trust. Télétravailler en toute sécurité en ces temps de COVID-19 exige de revoir la stratégie sécuritaire . L’heure est aux changements, estime Rudolf de Schipper, Delivery Lead Belgium and International Institutions, Unisys.

Le basculement vers le travail à domicile -surtout s’il s’installe durablement- implique de nouveaux risques pour notre économie. «Et ceux-ci vont bien au-delà de l’actuelle pandémie. Aussi, il est crucial que nous passions de la simple autorisation de travail à domicile à des procédures plus engagées. Des procédures garantissant que citoyens, entreprises et pouvoirs publics opèrent en toute sécurité lorsque le travail se fait à domicile.»

Les solutions traditionnelles d’accès à distance ont été principalement conçues avec l’idée que seul un nombre limité de personnes, au sein d’un effectif mondial, travaillent hors site simultanément. Ce n’est plus le cas. Aujourd’hui, il faut être prêt à permettre immédiatement à de nombreux salariés de travailler à distance de manière efficace. 

Les VPN ? Dépassés !

De là, bien des risques. Dont celui de recourir simplement à un réseau privé virtuel. Il fut un temps où les VPN étaient la bonne solution. «Mais c’était lorsque moins de 20 % des effectifs devaient travailler à domicile. C’était, aussi, lorsque tous vos systèmes, dûment protégés, étaient installés dans votre propre salle serveurs au lieu d’’errer’ en ordre dispersé dans le cloud et dans des containers, nuance Rudolf de Schipper. Une telle connexion VPN était, en effet, une bonne solution lorsque les criminels ne tentaient pas encore de prendre votre société en ligne de mire. Enfin, il fallait du budget -un budget illimité et du personnel dûment formé pour l’utiliser. Ce qui était rarement le cas.»

Aujourd’hui, les VPN ne sont plus suffisants pour des sociétés qui opèrent dans le cloud, pour des sociétés qui ont besoin de tout leur personnel -en ce compris lorsqu’ils deviennent tous télétravailleurs. Ils ne le sont plus, non plus, pour des entreprises qui font partie de l’infrastructure critique. Rudolf de Schipper : «Pour le dire sans ambages : demander aujourd’hui à ‘pouvoir simplement utiliser un VPN’ pour se mettre rapidement au télétravail équivaut en fait à dévoiler tous vos mots de passe !»

Recrudescence des attaques

Au fil du temps, les dangers se sont accrus. Notamment avec les services VPN ‘gratuits’ ou économiquement avantageux derrière lesquels peuvent se cacher d’éventuels cyber-criminels. Des doutes, aussi, au sujet du chiffrement. Les VPN peuvent procurer une connexion chiffrée entre le domicile et l’un des points d’accès du réseau de l’entreprise, mais cela ne veut pas dire pour autant qu’il en soit de même vers les applications à proprement dit. Au lieu de cela, il se peut qu’ils rebasculent vers un mode pur texte, tandis que les paquets de données circulent sur votre réseau, ce qui les rend plus aisément accessibles pour des voleurs. La congestion, enfin. La demande est telle aujourd’hui que certains concentrateurs VPN sont à ce point submergés qu’ils ont besoin d’énormes quantités de matériels, de licences logicielles, de gestionnaires de règles et de temps pour faire face à la demande croissante.

De là, la recrudescence des attaques sur VPN. Soit une augmentation de 400 % du nombre d’attaques visant les infrastructures VPN. Dans certains cas, des problèmes de surcharge avaient été suspectés. Mais il s’est avéré qu’il s’agissait en fait d’activités criminelles, par exemple par le biais de ransomwares. «Le pire, aujourd’hui, est que des responsables, qui ont reçu pour mission de faciliter le passage au télétravail, ouvrent parfois toute grandes -sans le savoir- les portes de sécurité, observe Rudolf de Schipper. Ils autorisent des accès non sécurisés, du fait que leurs VPN ne peuvent pas faire face à la charge de travail.»

Zero Trust, un modèle, une culture

Si l’entreprise a déployé une stratégie de télétravail et se voit confrontée à un ou plusieurs des scénarios exposés ci-dessus, c’est peut-être le bon moment de passer à un modèle Zero Trust.

Ce modèle matérialise l’efficacité que permettent les containers, le cloud et Kubernetes. Un tel modèle comprend les menaces externes, bien sûr. Mais aussi les nombreuses menaces internes auxquelles nous sommes désormais tous confrontés. Il autorise par ailleurs l’évolutivité sécurisée qu’exigent l’opérationnel tel qu’on le connaît aujourd’hui.

«Nombre de nos clients, comme nous-mêmes bien entendu, disposent d’un ensemble unifié de règles de sécurité pilotées par le Zero Trust, enchaîne Rudolf de Schipper. Ces règles sont valables à la fois pour des implémentations dans l’enceinte de l’entreprise, dans le cloud et en containers, en tout point de la planète.»

Avec l’aide de notre méthodologie Always On Access qui s’appuie sur Stealth (ce dernier ayant recours à des technologies évoluées et éprouvées, notamment des technologies mobiles, la micro-segmentation et Kubernetes), toute organisation est en mesure d’ajouter autant de télétravailleurs que nécessaire et de garantir la sécurité, le contrôle d’identité et le chiffrement, jusqu’au niveau de l’application.

Une approche dynamique de la cybersécurité

Au-delà des technologies, l’approche Zero Trust est avant tout une culture d’entreprise face aux problématiques de sécurité. Elle résulte d’une stratégie à long terme que l’entreprise va implémenter de façon itérative en identifiant les différentes mesures à mettre en place. L’entreprise va aussi définir des priorités, opérer par «quick wins». Ainsi, par exemple, apprendre aux IT à ne plus s’accorder tous les droits d’administration même s’ils ont mis en place un réseau d’administration différent du reste de l’entreprise.

Certaines solutions permettent par exemple aux administrateurs de réclamer certains droits au travers d’un profil temporaire. Droits et profil qui seront retirés automatiquement à la fin de l’intervention. «Bien implémentée, la sécurité Zero Trust résout par son approche dynamique et agile bien des soucis, conclut Rudolf de Schipper. Il en résulte une meilleure expérience utilisateur, une meilleure agilité et résilience de l’accès aux applications et ressources. C’est enfin une connectivité mieux gérée. C’est enfin, une meilleure fragmentation du réseau… indispensable à la sécurité des microservices et de l’IoT.»