Le Cigref publie, sous forme de rapport, les travaux de son groupe de travail sur le thème « Zero Trust », piloté par Thierry BORGEL, DSI du groupe ICADE.
Le Zero Trust est une évolution des principes de sécurité IT et une philosophie que les organisations devront adopter pour renforcer la sécurité de leurs actifs numériques. Ce concept nécessite une démarche de transformation profonde, et une feuille de route de déploiement pluriannuelle ; il ne s’agit donc pas d’appliquer une seule solution ou une seule bonne pratique mais de mettre en œuvre un programme incluant de multiples projets sur plusieurs domaines : infrastructure, réseau, sécurité, applicatifs, cloud, etc.
Ce modèle de pensée ou état d’esprit décrit une approche où l’on considère que les équipements et utilisateurs ne sont pas dignes de confiance, jusqu’à prouver le contraire. Ainsi, le concept de Zero Trust repose-t-il sur la conviction que la confiance doit être établie et vérifiée avec des règles : « Never assume, always verify, give minimal privilege, monitor and respond quickly. »
This report is also published in English. Click here to access it.
Un contexte favorable à l’émergence du concept Zero Trust
Le contexte actuel montre les limites du modèle traditionnel du château fort – consistant à protéger le SI interne de façon périmétrique (équivalent des remparts et des douves) – et favorise l’émergence et le développement du concept de Zero Trust. Parmi les phénomènes de contexte identifiés, nous avons convergé sur l’augmentation exponentielle de la cybermenace, l’éclatement du SI associé à la migration dans le cloud, la mobilité des collaborateurs et prestataires, ainsi que les évolutions technologiques et l’augmentation des projets numériques.
Aujourd’hui, la plupart des organisations du Cigref étudient le concept, commencent à le comprendre et à se l’approprier. Certains membres « font déjà du Zero Trust » sans le savoir mais la plupart n’en sont encore qu’au début de la démarche, et cherchent à identifier les opportunités qu’ils auraient à l’intégrer dans leur stratégie et politique de sécurité.
Zero Trust : « qui accède à quoi, pour quoi, comment, et d’où ? »
Les participants du groupe de travail du Cigref ont formulé un questionnement global permettant de résumer l’ensemble des éléments à vérifier dans l’implémentation d’un projet Zero Trust : « qui accède à quoi, pour quoi, comment, et d’où ? ». Le « qui » représente les utilisateurs et services, le « quoi », les applications, qu’elles soient dans le cloud ou non, le « pour quoi » concerne les raisons de l’accès, basées sur des règles spécifiées, le « comment » se réfère au réseau utilisé, soit le réseau d’entreprise, soit, de plus en plus, le réseau Internet, et enfin le « d’où » renvoie à l’équipement terminal de l’utilisateur et à sa localisation, tout cela devant être conforme au RGPD et aux autres réglementations en vigueur.
Le groupe de travail a ainsi permis de comprendre que le sujet est structurel, complexe, transverse, et inscrit dans le temps long. Dès aujourd’hui, dans chacun des projets en réflexion, les organisations peuvent commencer à intégrer les principes du Zero Trust, que ce soit autour du poste de travail, de la sensibilisation des utilisateurs, du référentiel d’identité, des techniques d’accès et du réseau. Elles doivent également s’interroger sur leur capacité à utiliser le réseau Internet comme réseau d’entreprise majoritaire et sur les impacts pour leur infrastructure et modèle de sécurité.
Le Zero Trust : un complément aux bonnes pratiques en matière de sécurité
Le modèle de Zero Trust doit venir s’ajouter aux bonnes pratiques de sécurité à mettre en place par toutes les organisations. Dans un avis dédié sur le sujet, l’ANSSI recommande une certaine vigilance dans le déploiement des solutions pour éviter des erreurs d’installation ou de configuration. Avec cette approche, les vulnérabilités intrinsèques des applications sont en effet encore problématiques. Les organisations ont donc besoin de s’appuyer sur des applications sécurisées par conception et par exploitation.
Pour préparer l’avenir, il s’agit de poser dès maintenant les bases des exigences pour les futurs réseaux notamment 5G, les modes de gestion de l’identité et de l’accès, en particulier en anticipant les approches sans mot de passe, et les autres ruptures organisationnelles et technologiques envisageables dans la continuité de cette philosophie.