Zero Trust : comment et pourquoi ?     

Des modes de travail qui évoluent, des terminaux toujours plus nombreux et hétérogènes, des applications plus éclatées que jamais entre le datacenter et le cloud… Une nouvelle approche de la sécurité s’impose. Qu’est-ce que le modèle Zéro Trust et comment l’appliquer ?

Quelle est cette technologie qui vient contester la suprématie du VPN ? Alors que le réseau privé virtuel est depuis des années une des solutions de prédilection des entreprises pour garantir un accès distant sécurisé aux ressources de l’organisation, une nouvelle approche commence à lui faire de l’ombre : le Zero Trust. Si vous travaillez de près ou de loin dans la sécurité IT, vous en avez forcément entendu parler. Selon les estimations de Gartner, 60 % des entreprises réduiront considérablement leurs capacités VPN d’ici 2023 pour se tourner vers un réseau Zero Trust. De quoi s’agit-il exactement ? Insistons tout d’abord sur ce point : le Zero Trust n’est pas une technologie en soi, mais bien une nouvelle approche de la sécurité informatique. Comme son nom le laisse entendre, le framework est basé sur le contrôle systématique des requêtes, d’où qu’elles proviennent, avant d’accorder le moindre droit d’accès vers une application ou une donnée, où que celle-ci soit hébergée. Et lorsque ce droit est accordé, il l’est de la façon la plus limitée possible. L’utilisateur ne peut accéder qu’aux éléments dont il a strictement besoin pour mener à bien sa mission. Rien de plus. C’est le principe de la patte blanche poussé à son maximum.

La fin du modèle « château et fossé »

La sécurité traditionnelle est construite sur le modèle « château et fossé », dans lequel le château représente le périmètre nécessitant une protection, et le fossé, la limite franchie seulement par quelques points d’accès. Ce fossé repose généralement sur des pares-feux et des solutions de détection d’intrusion et de contrôle d’accès réseau, alors que le VPN fait office de pont-levis pour pénétrer dans l’enceinte du château. Le problème de ce modèle est qu’il accorde une confiance implicite à toute personne à l’intérieur du château. Un parti pris qui n’est plus acceptable alors que la surface d’attaque actuelle s’est considérablement étendue. Les modes de travail plus flexibles, l’hétérogénéité toujours plus grande des appareils ou des environnements applicatifs (datacenter, cloud, edge) ont multiplié les points de vulnérabilité, et donc les brèches potentielles pour entrer dans le château. Pour les contrer et tenter de réduire cette surface d’attaque, la réaction classique est d’ajouter des couches de protection supplémentaires, chacune traitant un aspect particulier de la menace. Il en résulte non seulement une hausse de la complexité, mais surtout une véritable explosion du nombre de notifications de sécurité. La majorité des équipes InfoSec reçoivent plus de 10 000 alertes chaque jour. Un quart sont même noyées sous un torrent d’un million de notifications quotidiennes, qu’il leur est impossible de traiter en totalité.

Le prérequis de l’unification

Dans une approche Zero Trust, chaque requête va entraîner la vérification du terminal source, de l’identité de l’utilisateur et de la sécurité de la connexion employé pour s’assurer que chacun de ces aspects est conforme au niveau de sécurité requis pour accéder à telle donnée ou telle application. Et ces attributs seront continuellement revérifiés à chaque demande d’accès. Bien entendu, tout cela doit se faire sans freiner la productivité des employés. La première question à se poser est donc la suivante : est-ce que votre architecture de sécurité est unifiée ou fragmentée ? Si vous avez choisi la deuxième réponse, vous risquez d’avoir le plus grand mal à déployer une stratégie Zero Trust, dont le niveau de granularité implique de centraliser autant que possible les opérations, sous peine de mettre en place une usine à gaz tout simplement ingérable, et donc inefficace. Vous devrez donc vous appuyer sur une solution unique qui intègre le contrôle d’accès utilisateurs, la gestion des terminaux et la gestion des applications au sein d’une même et unique plateforme. L’offre Dell Technologies Unified Workspace basée sur VMware Workspace One s’inscrit dans cette démarche en combinant tous les impératifs du Zero Trust : la gestion et le contrôle unifiée de tous les types de terminaux (mobile ou fixe, personnel ou professionnel), l’accès conditionnel à toutes les applications (internes, cloud, edge) et enfin la réduction de la surface d’attaque grâce à une gestion très fines des autorisations qui limite les accès à ce qui est nécessaire. Ni plus, ni moins. Ainsi, les collaborateurs, quel que soit l’endroit d’où ils travaillent, disposent des ressources dont ils ont besoin, sans mettre en péril l’environnement global.

About the Author: Karim Manar

Karim Manar est Enterprise Marketing Lead chez Dell Technologies France.