Sécurité Zero Trust | Qu'est-ce qu'un réseau Zero Trust ?

Le Zero Trust ou confiance zéro est un modèle de sécurité qui consiste à maintenir des contrôles d'accès stricts et de ne faire confiance à personne par défaut, même à ceux qui se trouvent déjà à l'intérieur du périmètre du réseau.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir la sécurité Zero Trust
  • Décrire les technologies et les principes qui sous-tendent le Zero Trust
  • Apprenez à mettre en œuvre une architecture de sécurité Zero Trust

Copier le lien de l'article

Qu’est-ce que la sécurité Zero Trust ?

La sécurité Zero Trust est un modèle de sécurité informatique qui exige une vérification stricte de l'identité de chaque personne et de chaque appareil tentant d'accéder aux ressources d'un réseau privé, qu'ils se trouvent à l'intérieur ou à l'extérieur du périmètre du réseau. ZTNA est la principale technologie associée à l'architecture Zero Trust ; mais la Zero Trust est une approche holistique de la sécurité des réseaux qui intègre plusieurs principes et technologies différents.

En d'autres termes, la sécurité traditionnelle des réseaux informatiques fait confiance à n'importe qui et à n'importe quoi à l'intérieur du réseau. Une architecture Zero Trust ne fait confiance à rien ni à personne.

La sécurité traditionnelle des réseaux informatiques est basée sur le concept du castle-and-moat. Dans le cas d'une sécurité de type castle-and-moat il est difficile d'obtenir un accès de l'extérieur du réseau, mais toute personne à l'intérieur du réseau est digne de confiance par défaut. Le problème avec cette approche est qu'une fois qu'un attaquant a obtenu l'accès au réseau, il a le champ libre sur tout ce qui s'y trouve.

Cette vulnérabilité des systèmes de sécurité castle-and-moat est exacerbée par le fait que les entreprises ne disposent plus de leurs données en un seul endroit. De nos jours, les informations sont souvent réparties entre plusieurs fournisseurs cloud, ce qui rend plus difficile la mise en place d'un contrôle de sécurité unique pour l'ensemble d'un réseau.

La sécurité Zero Trust implique qu'on ne fait confiance, par défaut, à aucune communication provenant de l'intérieur ou de l'extérieur du réseau. Quiconque tente d'accéder aux ressources situées sur le réseau doit ainsi se plier à une procédure de vérification. Cette couche supplémentaire de sécurité permet d'empêcher des violations de données. Des études ont montré que le coût moyen d'une seule violation de données est supérieur à 3 millions de dollars. Compte tenu de ce chiffre, il n'est pas surprenant que de nombreuses organisations soient désormais désireuses d'adopter une politique de sécurité Zero Trust.

Quels sont les grands principes de la sécurité « Zero Trust » ?

Contrôle et validation continus

La philosophie d'un réseau Zero Trust part du principe qu'il existe des attaquants à l'intérieur et à l'extérieur du réseau, de sorte qu'aucun utilisateur ou machine ne devrait bénéficier d'une confiance automatique. Zero Trust vérifie l'identité et les privilèges des utilisateurs ainsi que l'identité et la sécurité des appareils. Les ouvertures de session et les connexions sont interrompues périodiquement une fois qu'elles sont établies, ce qui oblige les utilisateurs et les appareils à être continuellement revérifiés.

Le moindre privilège

Un autre principe de la sécurité Zero Trust est l'accès le moins privilégié. Cela signifie n'accorder aux utilisateurs que l'accès dont ils ont besoin, comme un général d'armée qui donne aux soldats des informations en fonction de leurs besoins. Cela réduit l'exposition de chaque utilisateur aux parties sensibles du réseau.

La mise en œuvre du principe du moindre privilège implique une gestion minutieuse des autorisations des utilisateurs. VPN ne se prête pas aux approches du moindre privilège en matière d'autorisation, car la connexion à un VPN donne à l'utilisateur un accès à l'ensemble du réseau connecté.

Contrôle d'accès aux dispositifs

En plus de contrôles sur l'accès des utilisateurs, Zero Trust exige également des contrôles stricts sur l'accès des périphériques. Les systèmes Zero Trust doivent surveiller le nombre de dispositifs différents qui tentent d'accéder à leur réseau, s'assurer que chaque dispositif est autorisé et évaluer tous les dispositifs pour s'assurer qu'ils n'ont pas été compromis. Cela réduit encore plus la surface d'attaque du réseau.

Microsegmentation

Les réseaux Zero Trust utilisent aussi la microsegmentation. La microsegmentation est la pratique consistant à diviser les périmètres de sécurité en petites zones afin de maintenir un accès séparé pour des parties distinctes du réseau. Par exemple, un réseau dont les fichiers se trouvent dans un datacenter unique qui utilise la microsegmentation peut contenir des dizaines de zones séparées et sécurisées. Une personne ou un programme ayant accès à l'une de ces zones ne pourra accéder à aucune des autres zones sans autorisation distincte.

Empêcher les mouvements latéraux

Dans le domaine de la sécurité des réseaux, on parle de « mouvement latéral » lorsqu'un attaquant se déplace à l'intérieur d'un réseau après avoir obtenu l'accès à ce réseau. Le mouvement latéral peut être difficile à détecter même si le point d'entrée de l'attaquant est découvert, parce que l'attaquant aura continué à compromettre d'autres parties du réseau.

Zero Trust est conçue pour contenir les attaquants afin qu'ils ne puissent pas se déplacer latéralement. L'accès à Zero Trust étant segmenté et devant être rétabli périodiquement, un attaquant ne peut pas se déplacer vers d'autres micro-segments du réseau. Une fois la présence de l'attaquant détectée, le dispositif ou le compte d'utilisateur compromis peut être mis en quarantaine, ce qui empêche tout accès ultérieur. (Dans un modèle « castle-and-moat », si un mouvement latéral est possible pour l'attaquant, la mise en quarantaine du dispositif ou de l'utilisateur compromis initial n'a que peu ou pas d'effet, puisque l'attaquant aura déjà atteint d'autres parties du réseau).

Authentification multifactorielle (MFA)

L'authentification multifactorielle (MFA) est également une valeur essentielle de la sécurité Zero Trust. Le MFA consiste à exiger plus d'un élément de preuve pour authentifier un utilisateur ; la simple saisie d'un mot de passe ne suffit pas pour obtenir un accès. Une application courante de l'AMF est l'autorisation à 12 facteurs (2FA) utilisée sur des plateformes en ligne comme Facebook et Google. Outre la saisie d'un mot de passe, les utilisateurs qui activent la fonction 2FA pour ces services doivent également saisir un code envoyé à un autre appareil, tel qu'un téléphone portable, fournissant ainsi deux éléments de preuve de leur identité.

Quelle est l'histoire de la sécurité Zero Trust ?

Le terme " Zero Trust " a été inventé par un analyste de Forrester Research Inc. en 2010, lorsque le modèle du concept a été présenté pour la première fois. Quelques années plus tard, Google a annoncé avoir mis en œuvre la sécurité Zero Trust sur son réseau, ce qui a suscité un intérêt croissant pour son adoption au sein de la communauté technologique. En 2019, Gartner, un cabinet mondial de recherche et de conseil, a répertorié l'accès sécurisé Zero Trust comme un composant essentiel des solutions secure access service edge (SASE) .

Qu'est-ce que l'accès réseau Zero Trust (ZTNA) ?

L'accès réseau Zero Trust (ZTNA) est la principale technologie qui permet aux organisations de mettre en œuvre la sécurité Zero Trust. Semblable à un périmètre défini par logiciel (SDP), ZTNA dissimule la plupart des infrastructures et des services, en établissant des connexions cryptées un à un entre les appareils et les ressources dont ils ont besoin. En savoir plus sur comment fonctionne ZTNA.

Comment mettre en œuvre la sécurité Zero Trust

Zero Trust peut sembler complexe, mais l'adoption de ce modèle de sécurité peut être relativement simple avec le bon partenaire technologique. Par exemple, Cloudflare One est une plateforme SASE qui combine des services de mise en réseau avec une approche Zero Trust intégrée pour l'accès des utilisateurs et des appareils. Avec Cloudflare One, les clients mettent automatiquement en œuvre la protection Zero Trust autour de tous leurs actifs et données.

Service commercial