Qu'est-ce que le Zero Trust? C'est-ce que nous avions demandé à Laurent Heslault de Symantec...
/Interview parue dans la lettre SDBR le 08 octobre 2019
SDBRNews : Vous parlez depuis quelques mois de Zero trust. Voulez-vous dire zéro confiance ?
Laurent Heslault * : C’est le tsunami qui va bouleverser l’internet des entreprises pour les prochaines années. Tout le monde constate qu’on ne peut pas continuer avec un tel niveau de menaces et d’attaques quotidiennes. Internet et son principe de fonctionnement en « village global » se sont greffés sur des architectures non préparées à une hyper-dangerosité, devenues donc d’une grande vulnérabilité. A l’époque, les entreprises étaient en mode « Trust », c'est-à-dire la confiance d’abord, tout le monde se connectant à tout le monde très spontanément. A partir de 2004, lorsqu’internet s’est monétisé avec le commerce en ligne, le cybercriminel est apparu. Lorsqu’internet a commencé à être utilisé au niveau stratégique, en entreprises ou dans les structures gouvernementales, les premières attaques de grande envergure sont apparues : 2007 en Estonie, 2010 Stuxnet, etc. Aujourd’hui, il n’y a plus de notion de « périmètre » : le périmètre a disparu avec la mobilité et le multi-Cloud. Les mentions de « Zero Trust » et de « perimetrisation » (en anglais) viennent de l’article d’un think tank qui s’appelait le « Jericho Forum » (en 2005) : les auteurs se demandaient ce qui se passerait si les murailles du « château-fort » numérique tombaient… Aujourd’hui tout est à l’extérieur (les personnes, les data, les applis, etc.) et nous sommes passés en mode « Dé-périmètrisé ». Il faut donc revoir la stratégie en passant du mode « Trust but Verify», appliqué aujourd’hui, au mode « Never Trust, Verify all ». C’est la position soutenue notamment par Forrester**, qui relève au passage que Symantec et Palo Alto et sont les deux éditeurs les plus préparés à passer au « Zero Trust ». Symantec a une solution technique pour cela. Dans la foulée, Gartner, Google et Microsoft se sont aussi tournés vers le Zero Trust, mais avec des noms différents.
SDBRNews : Alors quel est le principe de fonctionnement de « Zero Trust » ?
Laurent Heslault : Précisons d’abord que ce n’est pas une norme mais une nouvelle philosophie. Le principe aujourd’hui, en allant sur un site, est d’abord de se connecter puis de se loguer (s’authentifier). Le principe de Zero Trust est inverse : il faut d’abord s’authentifier auprès d’un système (genre reverse-proxy bastion) et ce système va ensuite vous connecter en vérifiant en permanence que la connexion relève toujours de la même identité. Il y a beaucoup d’avantages à ce processus inversé : d’abord masquer l’infrastructure, ensuite accéder au site en couche 7 du modèle OSI***. C’est une façon d’accéder directement au niveau applicatif et non au niveau des couches réseaux comme avec un VPN. S’il y a des vulnérabilités sur les couches inferieures à la couche 7, on ne peut les voir avec ce principe d’accès et on ne peut y accéder, ce qui freine considérablement les moyens d’accès possibles des hackers. Avec Zero Trust, on peut loguer toutes les interactions entre les acteurs et détecter les fonctionnements anormaux, surprenants ou inhabituels.
SDBRNews : Est-ce que Symantec propose maintenant un système d’authentification de la connexion ?
Laurent Heslault : Non, car ce n’est pas notre métier. Mais d’autres le font (Okta, Microsoft, etc.) auxquels notre architecture ouverte permet de se connecter sans difficulté. Donc, avec notre stratégie de plateforme, nous restons aussi ouverts que possible pour accueillir les outils nécessaires. Avec Zero Trust, en comparaison avec le monde de la Défense, nous sommes très proches du « droit d’en connaître »…
SDBRNews : Est-ce que Zero Trust va protéger tous les domaines d’une entreprise ?
Laurent Heslault : Tout dépend de l’entreprise et du choix qu’ont fait ses dirigeants en matière de protection des activités ou des données. Par exemple, une entreprise de vente en ligne ne va pas se protéger de ses clients avec Zero Trust mais va protéger tous ses actifs et tous ses domaines sensibles. Nous allons définir les domaines basés sur « le droit d’en connaître » tout simplement. Le secteur de la Défense sait parfaitement faire cela, et bien c’est le même principe que nous appliquerons dans les entreprises qui choisissent de passer à Zero Trust. En matière de Data, une approche Zero Trust implique de gérer de manière sécurisée les données de l'entreprise et des clients, les classer et catégoriser correctement, et de veiller à ce que les informations sensibles soient chiffrées au repos et en transit. Concernant les réseaux, le réseau Zero Trust commence par imposer un accès limité aux ressources qu'il contient ; le réseau doit être segmenté, les ressources sensibles étant isolées et strictement contrôlées. Tous les contrôles Zero Trust installés localement (on Prem), ainsi que la sécurité des applications et des ressources sur site, doivent également être en place pour les Workloads dans le Cloud, en particulier celles exécutées dans des Clouds publics.
SDBRNews : En Janvier 2019, nous avions parlé du risque du multi-Cloud. Comment s’évalue ce risque dans un environnement Zero Trust ?
Laurent Heslault : La capacité de capturer et d'analyser le trafic réseau et périphérique pour rechercher les menaces et les activités malveillantes est essentielle. Elle repose sur la visibilité, ce qui permet ensuite de faire de l’analytique. Symantec a développé un outil qui permet de savoir ce qui se passe dans l’entreprise en environnement multi-Cloud. Le deuxième volet, après la visibilité et l’analytique, c’est l’automatisation et l’orchestration : aujourd’hui, ce qui n’est pas automatisé n’est plus gérable et il faut que ce soit orchestré (au sens orchestrateur d’entreprise) : il y a des outils chez Splunk ou chez IBM qui font cela très bien en pilotant la chaine de sécurité. Les technologies qui fournissent des actions automatisées basées sur les politiques améliorent les résultats en matière de sécurité, en réduisant les erreurs humaines. Zero Trust, ce n’est pas un Big Bang qui arrive, c’est une philosophie qui doit s’imposer pour que chaque entreprise choisisse cette évolution à son rythme, sachant que son coût d’investissement sera marginal.
* Laurent Heslault est Directeur des Stratégies de Sécurité chez Symantec South EMEA
** https://go.forrester.com/government-solutions/zero-trust
*** Descriptif des 7 couches du système OSI : https://fr.wikipedia.org/wiki/Mod%C3%A8le_OSI