Zero trust : comment le Cigref analyse la tendance
Publié par Clément Bohic le - mis à jour à
Le zero trust, quels moyens pour quelles fins et sous quelles conditions ? Le Cigref livre son analyse, exemples à l'appui.
Concept, approche, philosophie, modèle de pensée, état d'esprit... Le zero trust, c'est tout cela à la fois. Le Cigref, en tout cas, en donne cette vision. Mais il a aussi une idée plus pragmatique du sujet, résumée en une question : « Qui accède à quoi, pour quoi, comment et d'où ? ».
Cinq principes se dégagent de son analyse :
- Le réseau est toujours supposé être hostile
- Des menaces externes et internes existent sur le réseau à tout moment
- La localisation du réseau n'est pas suffisante pour décider de la confiance dans un réseau
- Chaque dispositif, utilisateur et flux réseau est authentifié et autorisé
- Les politiques d'accès doivent être dynamiques et calculées à partir d'autant de sources de données que possible. Sur ce volet, on prendra autant en compte l'état de l'appareil que sa localisation et la criticité des applications.
On l'aura compris : le zero trust n'implique pas une solution en particulier, mais un programme qui touche à de multiples domaines. La sécurité périmétrique laisse place à une gestion en temps réel des identités et des accès, généralisée à tout le SI. En toile de fond, l'éclatement de ce dernier : migration dans le cloud, mobilité des collaborateurs, ouverture aux clients et aux fournisseurs... Et, en parallèle, la multiplication des compromissions de réseaux internes (le « château fort », pour reprendre l'expression qu'emploie le Cigref, n'est plus digne de confiance).
De l'IAM à la microsegmentation
Qu'en est-il de l'adoption du zero trust ? La plupart des membres du Cigref en sont à la phase d'appropriation. Au niveau international, d'après Forrester, la majorité des organisations se situent entre 5 et 10 % de maturité. Wavestone annonce un taux similaire de clients ayant lancé des initiatives dans le domaine (sur un panel ayant un SI historique et international).
« Seuls Google et Microsoft peuvent éventuellement être considérés comme [...] ayant atteint les plus hauts niveaux de maturité », affirme le Cigref. Et d'expliquer qu'une adoption plus large du zero trust passe par sa connexion aux normes, certifications et standards.
« Internet-only » ou le stade ultime du zero trust : celui où l'entreprise a décommissionné le LAN et considère internet comme son propre réseau. Elle adopte alors ce qu'on pourrait qualifier d'« approche cloud non périmétrique ». Par opposition au
Les roadmaps zero trust commencent souvent par le volet IAM. Ainsi l'accès conditionnel sur les ressources cloud ou pour les utilisateurs à distance fait-il partie des initiatives actuellement développées dans certains secteurs d'activité.
La microsegmentation en fait aussi partie. Avec elle, on utilise les pare-feu au niveau le plus élémentaire. Par exemple au niveau des OS, pour gérer le contrôle de flux serveur par serveur. Et non au travers de firewalls périmétriques filtrant les échanges vers des zones du réseau (DMZ). On ferme alors tous les flux et on ouvre uniquement ceux indispensables au fonctionnement du serveur ou d'une application.
Une offre zero trust en gestation
Le marché propose des services dédiés depuis deux à trois ans. Les éditeurs ont toutefois tendance à « repeindre leurs produits ou solutions historiques avec un vernis zero trust », déplore le Cigref. Et d'ajouter qu'en l'état, « aucun éditeur ne peut affirmer qu'il couvre toutes les couches ». Aux côtés de Google et Microsoft, deux autres ténors se distinguent : Cisco et Palo Alto Networks.
Le zero trust n'échappe aux enjeux de compatibilité, d'interopérabilité et de réversibilité qu'on retrouve sur d'autres segments de l'offre IT. Il induit aussi un nécessaire changement culturel. D'une part, auprès des utilisateurs finaux (faire accepter l'identification plus poussée, les tester via de fausses attaques de phishing...). De l'autre, au sein de la DSI (anticiper une reconfiguration des rôles : la microsegmentation, par exemple, ramène la responsabilité de la maîtrise des flux entres applications au niveau des équipes applicatives).
Pour identifier les projets qui intègrent la roadmap zero trust ou en sont susceptibles, le Cigref propose de mettre en place un label. Il inviter plus globalement à intégrer le concept dans chaque projet. Et à « préparer demain dès aujourd'hui » (« Dans 10 ans, le SI existant sera celui que l'on construit [maintenant] »).
Illustration principale © BeeBright - Shutterstock