Le SANS Institute défend la ZTA -Zero Trust Architectrure, approche qui intègre la sécurité à chaque niveau de l’entreprise. Explications de Matt Bromiley, Certified Instructor.

Plus question d’accorder la confiance implicitement ; elle doit désormais être évaluée en permanence. C’est le principe du Zero Trust. Et donc de la ZTA -Zero Trust Architecture -qui définit la roadmap à suivre. Pour Matt Bromiley, Certified Instructor SANS Institute, la ZTA se définit comme une approche holistique de la sécurité intégrant  plusieurs principes et technologies.

Avec l’avènement du cloud, mais aussi du télétravail et du BYOD (Bring Your Own Device), il est de plus en plus difficile de contrôler l’accès et la protection des systèmes d’information et leurs données. C’est dans ce contexte que les mesures traditionnelles de sécurité (firewall, VPN…) atteignent une limite. Dès lors une remise en cause de la « confiance implicite » se pose. 

Plus d’opportunités d’attaques que jamais

Le passage accéléré au télétravail et aux environnements de travail hybrides suite au COVID-19 a élargi de manière exponentielle le périmètre d’attaque des cybercriminels. En cause ? L’intégration de technologies cloud, d’applications tierces et d’autres services dans les opérations quotidiennes. Résultat ? Plus de vulnérabilités externes susceptibles d’être exploitées par le biais de campagnes d’ingénierie sociale et d’attaques de malware. « L’empreinte digitale des organisations offre plus d’opportunités d’attaques que jamais, notamment grâce aux nouveaux outils de collaboration comme Slack et Microsoft Teams, et à la popularité croissante de toutes sortes d’appareils IoT distants », observe Matt Bromiley.

Pour compliquer encore les choses, de nombreuses entreprises investissent dans des solutions conçues pour sécuriser des infrastructures complexes sur site, et non les actifs de données non structurées des écosystèmes reposant sur le cloud. Pour répondre à cette dynamique changeante, il est essentiel de passer des mécanismes de contrôle classiques basés sur le périmètre patrimonial à une ZTA plus agile, assure Matt Bromile. Étant donné que les cybercriminels disposent de plus en plus de ressources et utilisent des méthodes toujours plus sophistiquées, le problème n’est pas de savoir si cela se produira, mais quand cela se produira. »

Les fondements de la ZTA

La ZTA va au-delà d’éléments ou de contrôles concrets. Il s’agit d’une approche qui intègre la sécurité à chaque niveau de l’entreprise, avec des directives pour limiter les dommages de manière ciblée en cas d’intrusion. Matt Bromiley : « En éliminant la ‘confiance implicite’ ainsi que les autorisations et accès qui en découlent, il devient beaucoup plus difficile d’occasionner des dommages au sein de l’écosystème digital de l’organisation par le biais d’un compte compromis. Il ne suffit cependant pas d’appuyer sur un bouton, la ZTA nécessite une refonte complète de l’architecture digitale et un nouveau mode de réflexion… »

Les fondements de la ZTA comprennent l’identification et l’inventaire de tous les actifs de l’entreprise, la définition de la politique d’accès et l’endroit où la mettre en œuvre, ainsi que son application (et le contrôle de cette application). La ZTA n’est toutefois envisageable qu’en disposant d’une visibilité de bout en bout sur l’infrastructure digitale existante d’une organisation. Cela permet en effet de déterminer quels actifs sont les plus précieux pour les hackers et, sur cette base, de prévoir un niveau de sécurité adéquat. Tout dépend de l’environnement et des circonstances propres à chaque organisation

Sécuriser un périmètre d’attaque hybride

De nombreuses entreprises qui sont passées d’un environnement de travail sur site à un environnement de travail hybride utilisent encore des Virtual Private Networks (VPN) qui fournissent aux utilisateurs un accès distant mais partagé à une multitude de terminaux et d’applications. « Mais si un hacker parvient à pirater le bon compte avec les bonnes autorisations via un e-mail de phishing, ce VPN ne sert pas à grand-chose, nuance Matt Bromiley. Après avoir contourné le périmètre de sécurité limité, le hacker peut utiliser le compte compromis à sa guise pour subtiliser des données sensibles et les crypter à des fins d’extorsion. »

En revanche, la situation serait très différente avec la ZTA : l’accès serait accordé à un utilisateur individuel à partir d’un PDP (Policy Decision Point), avec des droits minimaux comme point de départ. Dans ce cas, un système de PEP (Policy Enforcement Point), qui surveille en permanence l’activité du compte, serait déjà actif pour détecter les comportements suspects et mettre fin à la session en temps réel, minimisant ainsi l’impact de l’intrusion. Les systèmes PDP et PEP déterminent l’accès aux différents actifs pour chaque session, en fonction de certains critères essentiels.

La ZTA, porteuse d’espoir

Conclusion ? Les hackers réussissent (beaucoup trop) bien à attaquer les entreprises modernes. Malgré la croissance organisationnelle et les mises en œuvre infrastructurelles, suivies de nouveaux mécanismes et procédures de sécurité, les cybercriminels continuent de trouver de nouvelles vulnérabilités à exploiter. Les évolutions de ces dernières années en matière de technologies de l’information et d’architecture d’entreprise ne font qu’aggraver la situation.

« La ZTA offre toutefois une lueur d’espoir, conclut Matt Bromiley. Les entreprises aux ressources, systèmes et apps étendus, et disposant de données globales, ont besoin d’un modèle de sécurité capable d’évoluer avec l’organisation, sans entraver cette croissance ni créer de brèche pour les hackers. »