Trop complexe ? Inutile ? Un concept purement Marketing ? L’approche Zero Trust, popularisée par Gartner, peut sembler lointaine pour les DSI déjà bien occupées par le quotidien. C’est pourtant la seule à permettre de traiter de manière rationnelle la sécurité des infrastructures hybrides qui deviennent progressivement la norme. Petit tour d’horizon des objections usuelles et explications…

Par Pascal Le Digol, le Directeur France de WatchGuard

Comme toute approche nouvelle, le Zero Trust peut rendre méfiantes les entreprises, soucieuses de ne pas suivre trop précipitamment la dernière mode IT.

Et on peut les comprendre : une infrastructure IT est quelque chose de trop sensible pour la remettre en cause dès qu’un cabinet d’analystes lance un nouveau terme ! Et puis, en particulier depuis le dernier confinement, il n’est pas rare que trop d’investissements aient été consentis dans les infrastructures d’accès de type VPN pour tout jeter par la fenêtre quelques mois plus tard !

Oui, mais voilà : on constate dès à présent un changement de fond dans la manière dont les utilisateurs accèdent aux ressources de l’entreprise. Celles-ci sont désormais aussi bien hébergées dans le datacenter que dans le Cloud, et les collaborateurs peuvent travailler à domicile pendant de longues périodes de temps, sur des connexions Internet non maîtrisées par l’entreprise. Ainsi, une part croissante de l’activité quotidienne de ses salariés consiste à emprunter une connexion étrangère à l’entreprise pour atteindre des applications hébergées à l’extérieur de son datacenter. Et il ne s’agit pas là d’une tendance passagère.

Et si la réponse immédiate peut être de tout faire transiter via le VPN dans le datacenter à des fins de contrôle pour en faire immédiatement ressortir le trafic destiné au Cloud, il s’agit d’une approche court-termiste et contre-productive. La logique voudrait plutôt que les connexions destinées aux applications SaaS ne viennent pas encombrer le VPN déjà bien chargé, mais soient plutôt dirigées directement vers le point d’accès le plus proche et le plus efficace. Tout en bénéficiant cependant de la même capacité de contrôle sur cette connexion directe que sur celles qui passent par le VPN…

Et c’est précisément l’objectif d’une approche Zero Trust : adapter l’infrastructure IT de l’entreprise à la réalité d’aujourd’hui et — surtout — de demain. Car les usages changent, la façon de travailler aussi, et les DSI doivent rester en alerte sur ces changements afin de les anticiper et non les subir.

« Oui, mais… »

Lorsqu’il s’agit de Zero Trust, cinq arguments sont constamment avancés pour justifier de ne rien faire ou, au contraire, d’en faire trop, trop vite ! Il est important de les reconnaître, et de savoir y répondre.

Mythe n°1 : « Il nous faudra tout migrer dans le Cloud et supprimer nos VPN, c’est impossible »

En effet, c’est impossible. Mais le Zero Trust, ce n’est pas cela ! Il est évident que de nombreuses ressources vont rester en interne (l’annuaire Active Directory, les systèmes RH, des outils de test ou de développement…). Le réseau Internet sera toujours là et donc le VPN avec. Il s’agit avant tout d’un changement de posture : considérer que le réseau interne et ses ressources doivent avoir le même niveau de sécurité que les ressources métier externes situées sur l’Internet public. Le reste suivra.

Mythe n°2 : « Une fois mes services dans le Cloud, je pourrais enfin laisser mes utilisateurs se connecter avec leurs identifiants de réseaux sociaux »

L’identité est une valeur trop précieuse pour l’externaliser. Bien sûr, il serait plus rapide de laisser les utilisateurs se servir de leur compte Gmail ou Facebook pour accéder aux autres ressources métier dans le Cloud. Mais l’un des objectifs du Zero Trust est justement d’harmoniser les niveaux de sécurité entre externe et interne. Et vous n’allez pas laisser Google ou Facebook gérer l’accès à votre Active Directory… Il est donc important de continuer à gérer les identités des utilisateurs de manière centralisée.

Mythe n°3 : « Sur le réseau interne, je suis 100 % en confiance, pas besoin des mêmes mesures de sécurité qu’en externe »

Encore une fois, l’un des objectifs du Zero Trust est d’harmoniser les niveaux de sécurité entre externe et interne. Et il suffit aujourd’hui à l’attaquant de compromettre un poste de travail, ou une paire d’identifiants VPN, pour compromettre l’ensemble du réseau interne. C’est ainsi que fonctionnent tous les opérateurs de ransomware : à partir d’un utilisateur compromis, ils parviennent (trop) souvent à prendre le contrôle complet de l’Active Directory en quelques heures à peine. De ce point de vue, donc, l’interne doit être protégé comme le reste. C’est le message du Zero Trust !

Mythe n°4 : « Mes utilisateurs travaillent depuis leur domicile : ce n’est pas un lieu public, donc il est inutile de leur imposer les mêmes restrictions qu’à l’extérieur »

Il n’est pas possible de déterminer le niveau de sécurité de l’environnement de travail à domicile : le réseau Wi-Fi peut être partagé par des amis ou la famille, d’autres ordinateurs non contrôlés et potentiellement compromis peuvent être sur le même réseau interne, etc… Il n’est donc tout simplement pas possible de considérer le domicile des collaborateurs comme une zone de confiance. C’est pour ça que le Zero Trust vise à réduire le périmètre de contrôle au plus près du poste client et à sécuriser sa connexion directe aux ressources, afin de ne pas dépendre de son environnement. En définitive, que le poste de travail soit dans un cybercafé, à domicile ou dans les bureaux, cela ne change rien du point de vue du Zero Trust : la bonne politique de sécurité sera adoptée.

Mythe n°5 : « Il suffit de mettre en œuvre de l’authentification forte pour faire du Zero Trust »

C’est un bon début, mais ce n’est pas suffisant. Le Zero Trust cherche d’abord à établir un lien de confiance entre l’utilisateur et la machine. Si l’on n’a que l’un (grâce au MFA), mais pas l’autre (la machine dont on ne connaît pas l’état), il est impossible de prendre une décision d’accès cohérente. Avec le Zero Trust, les politiques de sécurité se basent non seulement sur l’identité de l’utilisateur, mais aussi sur l’état du poste de travail, sa localisation et même celle de la ressource demandée. L’authentification forte est donc certes importante… mais pas suffisante !