security cloud

L’art du scepticisme sain

Auteur : Proximus NXT
16/12/2021
Cybersécurité

Avec son principe de vérification des utilisateurs, des appareils et des infrastructures avant d’accorder un accès conditionnel aux ressources de l’entreprise, le modèle de sécurité Zero Trust gagne en popularité comme nouvelle approche de la réduction des risques cyber.

Cependant, si le Zero Trust promet une meilleure facilité d’utilisation, une protection renforcée des données et une meilleure gouvernance, de nombreux professionnels de la sécurité ne se sentent pas encore à l’aise pour appliquer ce type d’architecture dans les environnements IT actuels.

Afin de démystifier les perceptions et idées reçues autour du Zero Trust, nous avons rencontré John Kindervag, qui est à l’origine du concept d’élimination de la notion de confiance dans l’architecture réseau d’une organisation.

John Kindervag a créé le concept de Zero Trust en 2010 lorsqu’il était vice-président et analyste principal chez Forrester Research. Il avait alors compris que les modèles de sécurité traditionnels reposaient sur une hypothèse dépassée : tout ce qui se trouve à l’intérieur du réseau d’une organisation est digne de confiance.

Après avoir rejoint Palo Alto Networks en tant que Field CTO en 2017, il conseille aujourd’hui des organisations publiques et privées sur la conception et la mise en place de réseaux Zero Trust ainsi que sur d’autres sujets liés à la cybersécurité.

LE ZERO TRUST EST DEVENU L’UN DES DERNIERS MOTS À LA MODE EN CYBERSÉCURITÉ, AU POINT QUE LES NON-SPÉCIALISTES ONT SOUVENT DU MAL À EN COMPRENDRE LE CONCEPT. POUVEZ-VOUS EXPLIQUER SIMPLEMENT CE QU’EST — ET CE QUE N’EST PAS — UNE ARCHITECTURE ZERO TRUST ?

J.K. :
« Il faut distinguer le Zero Trust et l’architecture qui en découle. Le Zero Trust est une stratégie de cybersécurité qui part du constat que le problème fondamental en cybersécurité est un modèle de confiance défaillant, selon lequel le réseau interne serait fiable et le réseau externe ne le serait pas. Et si vous êtes sur le réseau interne, vous pouvez accéder à n’importe quelle ressource sur la base de ce modèle de confiance. Identifier que le problème fondamental était la confiance — une émotion humaine introduite sans raison dans un système numérique — est la base du Zero Trust.

Ensuite, bien sûr, il faut un moyen de le mettre en œuvre. C’est là qu’intervient la conception d’un environnement Zero Trust. Tout cela a été décrit en détail dans le deuxième rapport que j’ai écrit en 2010, intitulé Build Security Into Your Network's DNA.

Il existe quatre principes de conception pour construire un environnement Zero Trust.

Le premier est de se concentrer sur les résultats business. Que cherche à accomplir l’entreprise ? C’est la question que nous posons. Traditionnellement, nous ne faisions pas cela en cybersécurité. Nous construisions des réseaux selon certaines normes — ou ce que nous pensions être des normes — qui étaient en réalité des idées créées par des fournisseurs pour vendre du matériel.

Le deuxième principe consiste à concevoir le réseau de l’intérieur vers l’extérieur, et non de l’extérieur vers l’intérieur. Le RGPD, par exemple, exige de savoir où se trouvent toutes vos données et vos actifs, mais personne ne le sait vraiment, car les réseaux ont été construits dans le mauvais sens.

Si vous voulez protéger quelque chose, vous devez savoir ce que c’est, où cela se trouve et qui doit y accéder.

Les environnements Zero Trust commencent par ce que vous souhaitez protéger. Leur déploiement repose sur le concept de protect surfaces, c’est-à-dire la plus petite réduction possible de la surface d’attaque.

Une protect surface contient un élément DAAS — Data, Assets, Applications and Services (données, actifs, applications et services) — dont la criticité varie.

Les données peuvent inclure des informations sensibles comme les cartes de crédit, les données de santé, les données personnelles ou la propriété intellectuelle. Les applications peuvent être des outils RH, CRM ou d’autres applications manipulant des données sensibles. Les actifs peuvent être des systèmes où sont stockées des données sensibles ou des éléments essentiels à la disponibilité des systèmes. Enfin, les services incluent des éléments comme DNS, DHCP, Active Directory ou NTP, qui sont très fragiles mais essentiels au fonctionnement de l’entreprise.

Nous prenons un élément DAAS, nous le plaçons dans une protect surface, puis nous construisons le réseau Zero Trust à partir de là.

Le troisième principe est de contrôler l’accès à cet élément DAAS sur la base du besoin d’en connaître et du principe du moindre privilège. L’abus de confiance est au cœur de nombreuses violations de données qui font la une de l’actualité presque quotidiennement.

Enfin, nous inspectons et journalisons cet accès jusqu’à la couche 7 du modèle pour nous assurer qu’il ne contient pas de menaces, qu’il se comporte correctement et qu’il respecte les politiques.

Le Zero Trust est, au final, une politique de couche 7, mais il faut des technologies de couche 7 pour l’appliquer. C’est pour cela que j’ai rejoint Palo Alto Networks, car leur technologie permet justement d’appliquer ce type de politiques Zero Trust. Grâce à cela, il est devenu simple de déployer des environnements Zero Trust, que ce soit sur site, dans le cloud public ou privé. »

If you want to continue the reading click here

Contact us
By submitting this form, I accept the Proximus NXT personal data protection
*required fields