Vers une philosophie Zero Trust : une rupture dans la continuité pour la sécurité des applications

3 février 2022 | ACTUALITÉS, Communiqués, Publications du Cigref

Le Cigref publie, sous forme de rapport, les travaux de son groupe de travail sur le thème « Zero Trust »piloté par Thierry BORGEL, DSI du groupe ICADE.

Le Zero Trust est une évolution des principes de sécurité IT et une philosophie que les organisations devront adopter pour renforcer la sécurité de leurs actifs numériques. Ce concept nécessite une démarche de transformation profonde, et une feuille de route de déploiement pluriannuelle ; il ne s’agit donc pas d’appliquer une seule solution ou une seule bonne pratique mais de mettre en œuvre un programme incluant de multiples projets sur plusieurs domaines : infrastructure, réseau, sécurité, applicatifs, cloud, etc.

Ce modèle de pensée ou état d’esprit décrit une approche où l’on considère que les équipements et utilisateurs ne sont pas dignes de confiance, jusqu’à prouver le contraire. Ainsi, le concept de Zero Trust repose-t-il sur la conviction que la confiance doit être établie et vérifiée avec des règles : « Never assume, always verify, give minimal privilege, monitor and respond quickly. »

This report is also published in English. Click here to access it.

Un contexte favorable à l’émergence du concept Zero Trust

Le contexte actuel montre les limites du modèle traditionnel du château fort consistant à protéger le SI interne de façon périmétrique (équivalent des remparts et des douves) – et favorise l’émergence et le développement du concept de Zero Trust. Parmi les phénomènes de contexte identifiés, nous avons convergé sur l’augmentation exponentielle de la cybermenace, l’éclatement du SI associé à la migration dans le cloud, la mobilité des collaborateurs et prestataires, ainsi que les évolutions technologiques et l’augmentation des projets numériques.

Aujourd’hui, la plupart des organisations du Cigref étudient le concept, commencent à le comprendre et à se l’approprier. Certains membres « font déjà du Zero Trust » sans le savoir mais la plupart n’en sont encore qu’au début de la démarche, et cherchent à identifier les opportunités qu’ils auraient à l’intégrer dans leur stratégie et politique de sécurité.

Zero Trust : « qui accède à quoi, pour quoi, comment, et d’où ? »

Les participants du groupe de travail du Cigref ont formulé un questionnement global permettant de résumer l’ensemble des éléments à vérifier dans l’implémentation d’un projet Zero Trust : « qui accède à quoi, pour quoi, comment, et d’où ? ». Le « qui » représente les utilisateurs et services, le « quoi », les applications, qu’elles soient dans le cloud ou non, le « pour quoi » concerne les raisons de l’accès, basées sur des règles spécifiées, le « comment » se réfère au réseau utilisé, soit le réseau d’entreprise, soit, de plus en plus, le réseau Internet, et enfin le « d’où » renvoie à l’équipement terminal de l’utilisateur et à sa localisation, tout cela devant être conforme au RGPD et aux autres réglementations en vigueur.

Le groupe de travail a ainsi permis de comprendre que le sujet est structurel, complexe, transverse, et inscrit dans le temps long. Dès aujourd’hui, dans chacun des projets en réflexion, les organisations peuvent commencer à intégrer les principes du Zero Trust, que ce soit autour du poste de travail, de la sensibilisation des utilisateurs, du référentiel d’identité, des techniques d’accès et du réseau. Elles doivent également s’interroger sur leur capacité à utiliser le réseau Internet comme réseau d’entreprise majoritaire et sur les impacts pour leur infrastructure et modèle de sécurité.

Le Zero Trust : un complément aux bonnes pratiques en matière de sécurité

Le modèle de Zero Trust doit venir s’ajouter aux bonnes pratiques de sécurité à mettre en place par toutes les organisations. Dans un avis dédié sur le sujet, l’ANSSI recommande une certaine vigilance dans le déploiement des solutions pour éviter des erreurs d’installation ou de configuration. Avec cette approche, les vulnérabilités intrinsèques des applications sont en effet encore problématiques. Les organisations ont donc besoin de s’appuyer sur des applications sécurisées par conception et par exploitation.

Pour préparer l’avenir, il s’agit de poser dès maintenant les bases des exigences pour les futurs réseaux notamment 5G, les modes de gestion de l’identité et de l’accès, en particulier en anticipant les approches sans mot de passe, et les autres ruptures organisationnelles et technologiques envisageables dans la continuité de cette philosophie.

Panorama des règlements européens sur le numérique : Comprendre les réglementations applicables

En réponse à l’évolution et au développement constant des technologies numériques, l’Union européenne s’est dotée d’une « Stratégie numérique pour l’Europe pour la décennie 2020-2030 ». C’est dans le cadre de cette Stratégie que la Commission européenne a proposé...

IT Department performance:
financial, but not only…

The digital transformation of businesses has never been so rapid, whether it's to meet their growing needs, to better manage and exploit company data or to offer an improved customer experience. This transformation is generating an ever-increasing number of projects...

Cigref memo: Recommendations on generative AI

When the ChatGPT (Chat Generative Pre-trained Transformer) application was made available to the general public in November 2022, it created a media storm in the field of artificial intelligence technologies and generated a veritable craze. ChatGPT made visible the...

Cigref memo: Recommendations on generative AI

When the ChatGPT (Chat Generative Pre-trained Transformer) application was made available to the general public in November 2022, it created a media storm in the field of artificial intelligence technologies and generated a veritable craze. ChatGPT made visible the...