Les menaces

Nos systèmes d’information font l’objet de menaces qui commencent à être bien connues : cyber-espionnage, cyber-sabotage, et cyber-judiciarisation (actions hostiles en justice à partir d’un comportement sur le web). Le modèle Zero Trust propose d’apporter une réponse en rupture radicale avec le modèle de sécurité périmétrique historique.

Les menaces sur les données

Historique

Le concept de modèle Zero Trust est né lors du forum de Jéricho en mai 2007 qui introduisit 11 commandements de sécurité dont notamment le n°6 « Toutes les personnes, tous les processus et toutes les technologies doivent avoir des niveaux de confiance déclarés et transparents pour que toute transaction puisse avoir lieu. » et le n°7 « Les niveaux d’assurance de confiance mutuelle doivent être déterminables. »

En 2010, le cabinet Forrester en simplifie la philosophie : « le trafic réseau n’est pas fiable ». C’est en quelque sorte la fin du modèle de sécurité basé sur les protections périmétriques : l’ennemi est désormais à l’intérieur du réseau. Puis, en 2011, il relie le concept à l’ancien modèle - « Trust but Verify and invert it ».

En 2018, enfin, Palo-Alto renforce le modèle avec un principe radical de « ne jamais faire confiance, toujours vérifier ». Cette dernière définition est utilisée dans l’industrie comme principe de confiance zéro.

En 2020, l’évolution des menaces conduisent le NIST (institut US des standards et technologies) à normaliser les architectures Zero Trust. Le NIST SP 800-207 « Zero Trust Architecture » propose un schéma directeur pour l’implémentation d’une architecture Zero Trust, des modèles de déploiement et des cas d’utilisation généraux où la stratégie Zero Trust peut améliorer la posture de sécurité globale d’une entreprise en matière de technologie de l’information.

La confiance zéro (Zero Trust ou ZT) devient le terme utilisé pour désigner un ensemble de principes de cybersécurité, qui font passer les défenses des périmètres statiques basés sur le réseau aux utilisateurs, aux actifs et aux ressources. La confiance zéro suppose qu’aucune confiance implicite n’est accordée aux biens ou aux comptes d’utilisateurs sur la seule base de leur emplacement physique ou réseau ou sur la base de la propriété des biens. L’authentification et l’autorisation (de l’utilisateur et du dispositif) sont des fonctions distinctes réalisées avant l’établissement d’une session vers une ressource d’entreprise.

En 2021, la stratégie Zero Trust a fait notamment l’objet de deux publications françaises de référence :

-  D’une part un avis scientifique de l’ANSSI,

-  D’autre part un rapport du CIGREF (association de grands utilisateurs d’informatique).

Le concept de Zero Trust n’est pas une solution clé en main, mais un modèle de Confiance Implicite tourné vers l’Utilisateur qui s’appuie sur des contrôles dynamiques et granulaires :

-  L’accès aux ressources doit être accordé sur la base du besoin d’en connaître ;

-  L’accès doit être donné sur la base du plus faible niveau de privilège nécessaire pour réaliser la tâche ;

-  Les demandes d’accès doivent être contrôlées de la même manière quelles que soient leurs origines (le périmètre « intérieur » ou « extérieur » de l’entité) ;

-  La politique d’accès aux ressources doit être dynamique et prendre en compte un large nombre d’attributs (identités de l’accédant et de la ressource accédée, sensibilité des ressources sollicitées, analyse comportementale de l’utilisateur, horaires d’accès, etc .) ;

-  L’entité doit veiller à la sécurité de tous ses actifs à l’occasion des demandes d’accès et de manière récurrente durant l’usage ;

-  Les authentifications et autorisations d’accès aux ressources doivent faire l’objet de réévaluations régulières.

Les besoins de sécurité Zero Trust et les solutions

Les besoins de sécurité se présentent un peu comme un empilement de poupées russes au centre desquelles se trouvent les données à protéger.

En partant du plus central au plus périphérique, il est nécessaire, sans être exhaustif, de couvrir différentes fonctions de sécurité qui s’additionnent comme les peaux d’un oignon :

-  sécurité des identités par authentification multifacteurs (MFA) ou infrastructure de gestion des clés (PKI) ;

-  sécurité des terminaux notamment par interrogation (XDR) et antivirus ;

-  sécurité des applications centrales web ;

-  sécurité sur les réseaux par accès zéro trust (ZTNA) ou réseau privé virtuel (VPN) ;

-  sécurité du «cloud» (SecNumCloud, référentiel de l’ANSSI) ou par des enclaves cryptographiques ;

-  sécurité des données notamment par signature et chiffrement de bout en bout (E2EE).

Dans les architectures de confiance zéro, la sécurité est supposée se situer au plus près de l’utilisateur et de son terminal, donc à la périphérie du système d’information et non niveau de infrastructure central :

-  Identification et authentification, voire identité auto-souveraine ;

-  Moindre privilège ;

-  Journalisation et historisation ;

-  Micro-segmentation des environnements de confiance pour les données ;

-  WORM : Write Once / Read ; 

-  Contrôle exclusif des données par des clés locales ;                                                                                         -  Multi-Cloud .

- Many (anti-ransonware)

- Multi-cloud

Les limites du modèle et les réponses

Selon le paradoxe de Boris Tarantine, il ne peut exister de sécurité absolue dans un système fini de composants de sécurité, puisque le dernier vérificateur ne peut pas être vérifié.

Le modèle Zero Trust, comme tout système de sécurité a ses propres limites car pour vérifier, nous devons accepter comme « de confiance » un ultime tiers de confiance, celui qui est charge de la vérification. Une façon de contourner ce paradoxe consiste à accepter quelques axiomes de base :

-  Le seul utilisateur en qui j’ai confiance, c’est moi. Et moi seul suis habilité à distribuer ma confiance. Je suis le seul utilisateur tiers de confiance ;

-  A partir du moment où j’accepte de travailler sur un réseau (public ou non), mon terminal d’accès à ce réseau est ma seule entité matérielle de confiance ;

-  Enfin mon système logiciel Zero Trust, obligatoirement local, doit être ma seule entité de confiance logicielle. Pour cela, le code doit être «Open Source» donc auditable, signé et certifié par une autorisation de confiance ultime (l’ANSSI en France).

« Zero Trust » ou « 10-n Trust » ?

La sécurité des systèmes est une lutte incessante entre le glaive et le bouclier. Il n’y a pas de sécurité ultime et pourtant il est de plus en plus vital de s’en rapprocher. En ce sens, on peut dire que la stratégie de la Confiance Zero, s’apparente plutôt à une asymptote Zero Trust comme la flèche de Zénon d’Élée qui n’atteint jamais sa cible mais s’en rapproche à l’infini.