Cette année, sur le circuit des conférences et au sein de la communauté de la cybersécurité en général, le terme le plus à la mode est probablement l'expression « Zero Trust », qui a vu le jour en 2010. Oubliés la blockchain et le Machine Learning.
Dans un précédent article de blog, nous avons expliqué le concept de sécurité Zero Trust et les leçons que la communauté de la cybersécurité peut tirer de ce cadre. Nous avons également abordé les défis liés à l'implémentation du modèle Zero Trust, notamment :
- Les obstacles à la sécurisation des applications, des ressources réseau, des outils et des protocoles existants
- Les difficultés réglementaires, étant donné que le cadre peut théoriquement aller à l'encontre de la législation internationale, notamment le RGPD
- La réalité des grandes entreprises internationales, qui ne disposent généralement pas de la visibilité et du contrôle nécessaires à une implémentation à l'échelle de l'entreprise
Il existe de nombreuses autres raisons pour lesquelles la plupart des entreprises sont loin d'atteindre une sécurité véritablement Zero Trust, malgré le consensus croissant au sein du secteur quant à la nécessité d'un tel cadre. En pratique, l'implémentation d'un modèle Zero Trust peut nécessiter la refonte de l'ensemble du réseau de l'entreprise, une opération coûteuse et souvent politisée qui nécessite l'approbation de la direction (voire du conseil d'administration).
Dans cet article, nous présentons un cadre pour l'implémentation d'un véritable modèle Zero Trust qui respecte les bonnes pratiques du secteur, tout en évitant spécifiquement le risque de restructuration excessive du réseau, le gaspillage du budget informatique et des perturbations organisationnelles potentiellement coûteuses.
Cinq étapes pour l'élaboration d'une stratégie Zero Trust
Pour implémenter un modèle Zero Trust réaliste qui ne nécessite pas une refonte prohibitive, il convient de développer une compréhension stratégique de l'identité, du comportement et du profil de risque de chaque utilisateur, ainsi que des capacités de mise en œuvre appropriées, reposant notamment sur la visibilité et le contrôle. Et cela à l'échelle de tous les environnements informatiques : cloud, sur site et hybride.
Voici cinq étapes à suivre pour élaborer une stratégie Zero Trust susceptible d'améliorer considérablement le niveau de sécurité de votre entreprise :
Étape 1. Vérifiez la confiance en temps réel lors de chaque accès aux ressources réseau.
Incluez les ressources qui sont actuellement ignorées. Veillez à vous concentrer sur les systèmes, outils et protocoles d'ancienne génération, qui ne sont généralement pas protégés, ne reposent pas sur la confiance ou le risque et sont couramment utilisés à mauvais escient par les cyberadversaires (par exemple, PsExec est un outil très prisé des cybercriminels).
Étape 2. Définissez la confiance, surtout eu égard aux terminaux.
Dans votre entreprise, qu'est-ce que la confiance ? Théoriquement, si l'on examine le concept au niveau du réseau, la confiance repose sur l'identité, les niveaux d'accès et les risques liés aux terminaux observés simultanément à un moment précis, lequel peut constituer une quatrième dimension. Mais qu'en est-il si vous ne disposez pas d'une solution de gestion des terminaux ? Ou si vous n'utilisez pas de certificats ? Cela signifie-t-il que vous devez d'abord vous atteler à ces implémentations ?
Vous pouvez définir la confiance dans le terminal en fonction d'autres caractéristiques liées aux activités du terminal lors de la mesure des relations de propriété entre l'utilisateur en cours d'authentification et le terminal. Vous pouvez également utiliser les données EDR ou même les logiciels de protection des endpoints. Ceux-ci peuvent être utilisés très simplement en guise de contrôles compensatoires pour le risque perçu des terminaux traditionnels.
Étape 3. Personnalisez votre dispositif de sécurité grâce à une approche centrée sur l'utilisateur.
Le concept Zero Trust repose sur une prise de conscience du déplacement de la responsabilité sur l'utilisateur final et de la nécessité de renforcer la sécurité au niveau de celui-ci. Il s'agit dès lors de permettre aux utilisateurs finaux de prendre en main les actions nécessaires pour accéder aux ressources. Les utilisateurs finaux doivent pouvoir résoudre leurs problèmes eux-mêmes, par exemple en activant l'authentification multifacteur (MFA) sur leur terminal, en installant un certificat, en appliquant les correctifs requis à leur système pour obtenir l'accès, en choisissant le fournisseur MFA avec lequel ils veulent travailler ou en prenant d'autres mesures qui leur permettront d'atteindre le niveau de confiance défini par l'entreprise.
Étape 4. Inventoriez les cas d'usage.
Recensez et définissez les situations auxquelles la solution doit répondre. La plupart des utilisateurs n'ont besoin que d'une connexion Internet et, éventuellement, d'un VPN. Étant donné que le modèle Zero Trust est conçu pour gérer les situations qui surviennent, une approche fondée sur des règles personnalisées constitue dès lors l'option la plus réaliste. Vous devez prioriser vos cas d'usage. Par exemple, nous vous recommandons de commencer par contrôler les authentifications au domaine, puis d'examiner l'accès aux services et aux applications, et enfin aux outils. Ne limitez pas l'analyse aux applications web simplement parce que c'est facile à faire avec un proxy web. Prenez soin de contrôler chaque aspect des accès nécessitant une authentification, indépendamment du type d'application.
Étape 5. Étendez progressivement l'implémentation.
Il n'est pas nécessaire d'abandonner immédiatement les VPN d'accès à distance. Même pour Google, il a fallu des années pour adopter et mettre en œuvre BeyondCorp, qui peut être considéré comme l'une des implémentations les plus connues du concept Zero Trust. Citons également Netflix Lisa, qui se définit comme un modèle Zero Trust pratique, mais qui n'élimine pas pour autant immédiatement le VPN. Une fois les cas d'usage identifiés priorisés, il est temps de convertir ces situations en règles. À terme, les entreprises peuvent passer du mode d'audit au mode d'application active.
Par le passé, la plupart des implémentations du modèle Zero Trust dans les grandes entreprises ont tenté de placer un proxy devant chaque point d'accès (par exemple, un proxy pour les applications web et un proxy pour SSH, avec des proxys sur site pour les autres communications). En bout de chaîne, tous ces proxys sont connectés à un fournisseur d'authentification. Cependant, le scénario idéal d'implémentation du modèle Zero Trust ne présente pas cet amalgame complexe de solutions et consiste plutôt à rendre le fournisseur d'authentification plus intelligent en ajoutant une couche d'évaluation basée sur l'identité, le comportement et le risque. Une approche centralisée de ce type facilite non seulement l'implémentation, mais permet en outre de traiter de nombreux autres cas d'usage qui ne sont généralement pas pris en compte par l'approche actuelle basée sur les proxys.
Comment la prévention des menaces basée sur l'identité et l'accès peut favoriser l'approche Zero Trust
À l'heure actuelle, une solution tout-en-un assurant la sécurité Zero Trust n'est ni une réalité ni une possibilité pour la plupart des entreprises. Dans la plupart des cas, les entreprises se concentrent sur les applications web, mais ne savent pas comment étendre le modèle Zero Trust aux autres ressources ou ne disposent pas des outils appropriés. La prévention des menaces basée sur l'identité et l'accès (IATP) peut aider les entreprises à se rapprocher de l'adoption du modèle Zero Trust aux endroits du réseau et dans les situations qui leur posent problème sans nécessiter de modifications du réseau.
La prévention des menaces basée sur l'identité et l'accès offre aux entreprises une visibilité unifiée et un contrôle proactif sur les solutions et plateformes cloisonnées. Elle prévient les menaces avant qu'elles n'aient un impact grâce à des réponses adaptatives et basées sur des règles.
Elle offre en outre une approche adaptative et personnalisée de l'expérience de sécurité des utilisateurs finaux, basée sur l'identité, le comportement et le risque. Les solutions IATP telles que celle de CrowdStrike offrent notamment les avantages suivants :
- Contrôle de l'accès à toutes les applications (services web, outils réseau, applications d'ancienne génération, connexion au domaine, bureau à distance)
- Gestion adaptative et situationnelle basée sur des règles
- Évaluation des risques et détection des menaces
- Vérification de l'identité et des accès en temps réel
- Contrôle complet qui n'alourdit pas inutilement les flux de travail et la productivité des collaborateurs
Une approche IATP peut fonctionner de manière transparente, indépendamment de l'emplacement, du terminal ou du flux de travail de l'utilisateur, tout en réduisant considérablement la surface d'attaque de l'entreprise.
Conclusion
Le modèle Zero Trust a beaucoup de mérites et nous prévoyons une adoption croissante de cette philosophie. Les entreprises tournées vers l'avenir cherchent de plus en plus souvent à mettre en place une sécurité Zero Trust dotée de fonctionnalités proactives pour répondre aux activités suspectes en temps réel, sur n'importe quelle application et sur n'importe quel réseau (pas uniquement sur les applications web). L'approche proactive de CrowdStrike en matière de prévention des menaces offre une solution complète aux entreprises qui souhaitent adopter le modèle Zero Trust et bénéficier d'une visibilité complète sur l'identité, le comportement et le risque.