Zero trust

Dernière mise à jour : 21/01/2020

Ne faites confiance à personne ! Je l’ai souvent entendu dans la vie, et c’est la première chose qu’on apprend quand on fait de la sécurité informatique. Le concept (marketing ou pas) de Zero Trust a vite émergé depuis que la SSI est devenue industrielle, mais c’est quoi ?

En quelques mots

Comme on veut accéder à tout, depuis n’importe où, la barrière du périmètre de confiance, en général à l’intérieur du réseau de l’entreprise, a volé en éclats.

D’un autre côté, les attaquants multiplient les scenarios et les modes d’attaques, directs ou indirects, en se déplaçant au sein des actifs informatiques (serveurs, réseaux, terminaux…). Donc la situation et la menace évoluent au fil du temps, et une zone sûre à un moment donné peut devenir dangereuse par la suite.

Donc géographiquement et temporellement, tout peut varier ! Le Zero Trust consiste à prendre en compte cet état de fait pour adapter les outils et les réponses de sécurité à cette menace mouvante.

Principales conséquences

  • Le réseau interne ne peut plus être considéré comme sûr par défaut ;
  • L’état de sécurité d’un actif informatique peut varier : il faut donc le vérifier et l’évaluer continuellement !
  • L’état pouvant varier à tout moment, il faut donc adapter les règles de surveillance mais aussi les réponses (contre-mesures) le plus rapidement possible, et donc de façon dynamique.

En pratique

Toujours identifier

L’authentification est un must de la sécurité, mais le Zero Trust implique une vérification plus poussée, ce qui signifie multi-facteurs mais aussi une authentification plus dynamique, soit en la prolongeant sur la durée (données comportementales), soit en demandant une ré-authentification quand le niveau de confiance ou de sécurité a changé.

Toujours contrôler !

Il s’agit plus ici de connaître ses actifs, données ou serveurs, et toujours appliquer le principe du moindre privilège pour tous. Et de l’appliquer partout et tout le temps.

Toujours analyser !

Toutes les traces doivent être récupérées et analysées en temps réel, ou tout au moins très rapidement. Rien ne doit être laissé de côté, puisque tout actif est susceptible de devenir une menace.

Toujours sécuriser !

Les corrections et réponses aux menaces doivent être appliquées sans délai, en fonction de ce qui ressort de analyses précédentes, puisque nous sommes dans un modèle dynamique.

A creuser : focus sur les données et les risques.

Comment le construire ?

Définir le périmètre

A savoir : surface à couvrir et les ressources à sécuriser.

Ca va de soi, mais cela demande de bien connaître son système d’information, sa cartographie, ses traitements, ses données… En pratique l’exercice s’avère souvent très très compliqué.

Chemins normaux et critiques

Si tout est à priorité 0, alors on a un problème : c’est qu’on est incapable de savoir ce qui est important. Donc il faut savoir distinguer le critique du normal.

Pour ce qui est facile, côté critique : les accès administrateurs, les sauvegardes, les données critiques, etc.

Urbanisation et architecture

Il faut connaître son SI, mais il faut aussi identifier les actifs « atomiques » (je ne sais pas s’il y a un mot plus adapté), à savoir ceux qu’on considère comme le plus petit tout à protéger.

Dans le modèle classique périmétrique, cet atome à la taille… du réseau en entier.

Architecture réseau

Côté flux réseaux, c’est souvent moins clair. Savoir architecturer un réseau est déjà compliqué, alors en Zero Trust il faut redoubler de vigilance et ne pas oublier le principe que la défense périmétrique n’est qu’une contre-mesure parmi d’autres. Et que ce périmètre pourra aussi s’appliquer à de tous petits segments (« micro-segmentation »)

Les politiques de sécurité

Elles sont dynamiques ! On définit en premier lieu les actifs à protéger, les menaces redoutées, mais les politiques à appliquer dépendront de l’évolution du SI et des menaces.

Surveillance

Pierre angulaire du système par définition dynamique, la surveillance doit être constante, l’analyse rapide. Les sources d’événements et d’information doivent être variées. Exemple : pour un terminal, on peut récupérer les logs systèmes, les logs de l’anti-virus, les logs du réseaux, etc. Les menaces, signatures, et autres éléments de détection doivent aussi être à jour, cela va de soi.