Le ZERO TRUST en entreprise
Qu’est-ce que le Zero Trust ?
« Zero trust », littéralement « Zero confiance » en français, n’est pas un outil d’utilisation mais un concept philosophique inventé par John Kindervag, analyste chez Forrester en 2010[1].
L’idée est ici de changer totalement la façon de penser dans le secteur de la cybersécurité pour désormais adopter la pratique suivante : ne jamais faire confiance, tout vérifier, que ce soit à l’intérieur ou à l’extérieur du réseau.
Cette nouvelle conviction, qui s’est beaucoup développée ces dernières années notamment du fait des changements de pratiques provoqués par la pandémie de Covid-19 (télétravail) et la recrudescence des cyberattaques contre les entreprises et les établissements de santé, vient totalement chambouler le système de sécurité informatique.
En effet, l’approche traditionnelle de la cybersécurité était à l’origine basée sur le modèle « Défense en profondeur » (que certains nomment également « Château fort ») qui consistait à bâtir un rempart autour de l’entreprise de sorte à uniquement faire confiance aux personnes et systèmes internes, mais totalement exclure les personnes et systèmes externes à l’organisme en question pour empêcher les cyberattaquants d’entrer : cette technique présuppose ainsi d’avoir une totale confiance envers les éléments à l’intérieur du périmètre et qu’ils ne représentent in fine aucun risque pour l’entreprise[2].
L’architecture informatique est de plus en plus complexe à sécuriser : on est passé de ce fameux modèle « Château fort » à un modèle « Aéroport », c’est-à-dire l’utilisation de nombreux canaux et terminaux différents, de multiples outils comme des téléphones portables, des tablettes, des outils fonctionnant en SAAS, etc. Les systèmes d’informations deviennent donc de plus en plus difficiles à maîtriser.
Les évolutions technologiques et sociétales liées aux évènements de pandémie – avec un travail à distance amplifiant des problèmes de sécurité informatique, une utilisation accrue du Cloud favorisant les infrastructures hybrides, et l’utilisation des appareils personnels pour des activités professionnelles – ont conduit à l’augmentation et à la diversification des cybermenaces requérant de facto un changement de pensée, notée notamment par les limites de la capacité des VPN[3].
Il est vrai que la cyberattaque numéro 1 est le phishing, soit l’attaque par courriel : l’utilisateur, par inadvertance et négligence va cliquer sur un lien malveillant et mettre en péril toute la sécurité d’une entreprise, compromettre la protection des données à caractère personnel et des données sensibles traitées par l’organisme, etc.
De plus, l’ANSSI a démontré que le nombre de cyberattaques a été multiplié par 4 en 2020, une majorité d’entre elles étant des « attaques dites de supply chain », c’est-à-dire utilisant les accès des utilisateurs du système d’information pour entrer dans le réseau interne de l’entreprise et y exploiter les vulnérabilités présentes ; et que tous les organismes subissent à minima une attaque par an venant de l’intérieur – dont 30% constituent des violations de données[4].
Comment appliquer le Zero Trust ?
Pour toutes ces raisons, de nouvelles approches se mettent progressivement en place d’un point de vue sécurité informatique au sein des entreprises, notamment celle du Zero Trust. L’idée est donc de partir du principe que les éléments internes d’une entreprise sont tous à risques, que le réseau est constamment exposé aux menaces internes et externes et que chaque action d’utilisateur et chaque communication doit être autorisée et sécurisée – incluant ainsi la nécessité de mettre en place un système de gestion des accès et des identités, notamment de double authentification pour accéder à des applications contenant des données à caractère personnel ou pour faire valider des actions sensibles. Comme son nom l’indique, la double authentification consiste à renforcer la sécurité d’une action en cours d’effectuation sur une quelconque application (boîte mail, achat en ligne, accès à des photos, à la messagerie, etc.) à travers l'utilisation de deux facteurs différents pour prouver son identité.
Le Zero trust impose aussi de mettre en place une politique de gestion des réseaux et de déploiement des pare-feux. Ainsi, cette technique implique de se poser les bonnes questions pour vérifier l’identité de l’utilisateur, vérifier ses droits, la source demandée, etc. : « Qui est cet utilisateur et est-il autorisé à faire telle action ? », « La session en cours est-elle contrôlée par un utilisateur réel ? », « L’utilisateur a-t-il consenti à l’accès de ses données et à quel destinataire ? », « Les données doivent-elles être cryptées ? »[5], etc.
A travers ces questions et la mise en place des mesures efficaces pour y répondre, l’objectif de ce nouveau modèle est donc bien de réduire au maximum les cybermenaces en augmentant la sécurité par la multiplication des contrôles, à la fois internes et externes au périmètre d’une entreprise. C’est une technique qui a été adoptée par de nombreuses grandes entreprises notamment les GAFAM, et qui, pour les raisons données, augmente donc en popularité[6].
Le Zero Trust est donc une garantie pour les systèmes hybrides au sein d’entreprise. Selon Forrester, les premiers secteurs à avoir un niveau de maturité Zero Trust s’élevant à 25% sont les secteurs de la télécommunication, bancaire, de l’énergie et des transports, que ce soit au niveau français ou européen[7].
Pour les entreprises, la question de la protection des données personnelles est essentielle, connaissant l’ampleur que pourrait provoquer un vol voire une fuite des données sensibles. Le recours à la vie privée est de nos jours beaucoup évoqué, puisque considéré comme un droit fondamental.
A ce propos, le RGPD entré en vigueur en 2018 insiste sur les principes de confidentialité, intégrité et disponibilité, de même que de la licéité des traitements des données effectuées par les entreprises. In fine, ces dernières sont régies par les obligations imposées par ce règlement européen ainsi que par l’obligation de due diligence selon laquelle elles doivent prendre toutes les mesures nécessaires et possibles pour minimiser les risques cyber : cela pourrait donc passer par l’adoption de cette stratégie de Zero Trust.