Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le Zéro Trust peut-il vraiment protéger les gouvernements des cyberattaques ?

novembre 2021 par Nicolas Ippolito, directeur Sud-EMEA, Adaptiva

La récente vague de cyberattaques contre les réseaux gouvernementaux, qu’il s’agisse de l’incident SolarWinds ou de l’intrusion des services de renseignement russes dans les ministères du Trésor et du Commerce US, montre clairement que nos adversaires trouvent de nouveaux moyens d’infiltrer les systèmes gouvernementaux. Autrefois considérés comme impénétrables, les états sont désormais à la traîne en matière de cyberguerre.

Comme l’a récemment expliqué Brandon Wales, directeur par intérim de l’Agence de cybersécurité et de sécurité des infrastructures, aux législateurs de la commission de la sécurité intérieure et des affaires gouvernementales, "nos adversaires ont progressé, ils n’utilisent plus la même infrastructure pour nous cibler de manière répétée." Il est impératif d’adapter nos pratiques de sécurité.

L’approche Zero Trust

Le Zéro Trust repose sur l’hypothèse que toute personne, à l’intérieur ou à l’extérieur du réseau, pourrait être une menace. C’est la stratégie des sceptiques, qui, dans le domaine de la sécurité, rapporte des dividendes importants.

Dans le climat actuel, cependant, le Zéro Trust est devenu un mot à la mode. Il est important d’examiner comment le terme est utilisé et quelles sont ses connotations. Bien que le National Institute of Standards and Technology et le National Cybersecurity Center of Excellence fournissent des définitions spécifiques de ce que l’on considère comme une architecture de confiance zéro, l’idée de base est d’avoir une source unique authentifiée de l’identité de l’utilisateur, combinée à un contexte supplémentaire, comme la conformité aux politiques.

En pratique, le Zero Trust implique l’adoption de politiques d’identification des utilisateurs très granulaires et rigides, une authentification stricte, un accès basé sur les rôles, un accès en temps et/ou en lieu, et une multitude d’autres conditions qui définissent quand, où et comment les employés peuvent accéder aux systèmes et aux ressources numériques. Les données et les ressources sont segmentées jusqu’au niveau personnel. Il existe un nouveau niveau de contrôle qui permet de contenir toute menace, même interne.

En quoi l’approche Zéro Trust diffère-t-elle des autres approches ?

Le Zéro Trust est bien loin des principes directeurs de sécurité en vigueur depuis des décennies. Frédéric le Grand a dit un jour : "Celui qui défend tout, ne défend rien". Cette maxime a conduit à une approche basée sur le périmètre, où les défenses étaient érigées pour sauvegarder ce qui se trouvait à l’intérieur des murs du périmètre, protégeant le réseau de toute menace extérieure.

Cette approche fonctionne très bien tant que les organismes peuvent absolument garantir qu’aucune menace ne peut se faufiler à l’intérieur - et qu’il n’y a pas de mauvais acteurs au sein de leur organisation. Ce n’est tout simplement plus le cas. Les acteurs malveillants, qu’ils soient étrangers ou nationaux, trouvent des moyens de passer à travers les défenses du périmètre - peut-être par le biais d’un bogue qui n’a pas été corrigé, d’un correctif qui n’a pas été installé ou d’un système qui était obsolète ou mal configuré. Une fois à l’intérieur du périmètre, les adversaires peuvent explorer les systèmes sans être détectés, souvent pendant des mois, voire des années, et voler des secrets, causer des ravages, espionner... la liste est longue.

De plus, avec un grand nombre d’employés du gouvernement travaillant à distance pendant la pandémie, les périmètres sont devenus flous et massivement complexes. Les employés n’ont plus un accès facile à leurs services informatiques et ne bénéficient plus de leurs protections habituelles. En conséquence, les menaces ont augmenté en nombre et en danger potentiel. Les intrus voient de grandes opportunités dans le moindre faux pas.

Le Zéro Trust est la réponse paranoïaque. C’est le cousin de la sécurité périmétrique "connaître le code secret, montrer deux pièces d’identité, utiliser le mot de code et la poignée de main spéciale pour accéder à des ressources spécifiques" - et il est perpétuellement en vigueur, remettant en question tout et tout le monde. Cela se produit en même temps que les applications de sécurité et d’hygiène du système qui fonctionnent en arrière-plan.

Ce n’est pas si simple

De ce point de vue, les technologies de Zéro Trust semblent être exactement ce dont les gouvernements ont besoin pour protéger ses données et ses opérations les plus sensibles. Mais les choses sont-elles vraiment aussi simples ? On ne peut pas se contenter d’appuyer sur un bouton pour mettre en place un environnement de confiance zéro ; cela nécessite un engagement important et une administration permanente. Les accès et les privilèges changent constamment et nécessitent une surveillance incessante. Les politiques doivent souvent être modifiées pour couper l’accès immédiatement. C’est un effort intensif.

Cela peut également nuire à la productivité si les organismes tentent de mettre en œuvre le Zéro Trust à l’échelle la plus élevée. Si elles ne le font pas, elles risquent de se retrouver avec une approche fragmentaire qui comporte toujours des lacunes - même minimes - susceptibles d’exposer des vulnérabilités.

Cela dit, la confiance zéro a été élaborée pendant des années et n’attire l’attention que maintenant, à mesure que les technologies associées arrivent à maturité. Elle est bien conçue pour le monde d’aujourd’hui. Sa mise en œuvre efficace exige une planification énorme et nécessitera des ajustements constants, mais il faut bien commencer quelque part.

Pour passer au Zéro Trust, les organisations doivent avant tout s’attendre à ce que les systèmes existants restent en place pendant un certain temps, ce qui signifie qu’elles ne gaspilleront pas les investissements existants. Ensuite, elles doivent passer en revue leurs données et leurs flux de travail les plus sensibles pour déterminer ce qui doit être mieux protégé et où elles doivent limiter l’accès ou gérer les sessions, en commençant par les documents classifiés qui doivent nécessiter une authentification multifactorielle, un accès privilégié ou une gestion des sessions. Tout le reste peut rester sous contrôle périmétrique jusqu’à ce qu’il soit judicieux d’apporter des changements supplémentaires. La confiance zéro peut être mise en place progressivement.

Aucune stratégie Zéro Trust n’est parfaite, et chaque déploiement évoluera en fonction de l’évaluation des besoins. Cependant, si une organisation s’engage dans la confiance zéro avec les ressources et les attentes adéquates, elle contribuera grandement à protéger les actifs les plus sensibles du gouvernement contre les attaques et l’exploitation.




Voir les articles précédents

    

Voir les articles suivants