Cours
Débuter avec GCP
2 h
5.8K
De nos jours, les individus travaillent depuis divers endroits (domicile, espaces de coworking, aéroports, cafés, etc.) en utilisant des appareils personnels, des applications cloud et des outils SaaS partagés qui se trouvent bien au-delà du périmètre de l'entreprise. Avec l'architecture Zero Trust (ZTA), nous partons du principe qu'une violation peut survenir à tout moment, plutôt que de faire confiance par défaut.
J'ai découvert le concept de « zero trust » il y a quelques années, alors que je travaillais pour une start-up dont les ingénieurs étaient répartis sur trois continents et dont les données clients transitaient par plusieurs fournisseurs de cloud. Garder une trace des personnes autorisées à accéder au système représentait un défi, pour le dire avec modération. La mise en œuvre de quelques principes de confiance érotique za toutefois eu un effet immédiat. Nous avons constaté une diminution des fausses alertes, une responsabilisation plus claire et une réduction significative du stress pour toutes les personnes concernées.
Dans cet article, nous examinerons ce que signifie réellement le concept de « zero trust », comment il fonctionne dans la pratique et comment toute organisation peut commencer à l'adopter pour assurer sa sécurité. Si vous débutez dans le domaine de la cybersécurité ou si vous souhaitez rafraîchir rapidement vos connaissances sur le fonctionnement des menaces modernes, notre cours « Introduction à la sécurité des données » constitue un excellent point de départ. Il aborde les principes fondamentaux tels que l'authentification, le chiffrement et le contrôle d'accès.
Qu'est-ce que l'architecture Zero Trust ?
ZTA est un modèle de sécurité fondé sur un principe clé : ne jamais faire confiance, toujours vérifier. Au lieu de présumer que les utilisateurs ou les appareils au sein de votre réseau sont sûrs, le modèle Zero Trust considère chaque requête comme potentiellement malveillante jusqu'à preuve du contraire. Cela peut sembler strict, mais cela réduit considérablement le risque que quelqu'un passe inaperçu.
Le « zero trust » n'est pas un produit ou un outil unique que l'on peut acheter. Il s'agit d'un cadre qui combine des politiques, la gestion des identités, la surveillance et l'automatisation afin de garantir que chaque demande d'accès est légitime et adaptée au contexte. Il examine des éléments tels que :
- Qui effectue la demande (identité de l'utilisateur)
- Quel appareil ils utilisent (configuration de l'appareil)
- D'où proviennent les connexions (emplacement et niveau de risque)
- Ce qu'ils tentent de mettre en place (accèsavec privilèges minimaux)
En vérifiant en permanence ces facteurs, le modèle Zero Trust aide les organisations à se protéger contre les menaces modernes telles que le vol d'identifiants, l'utilisation abusive par des initiés et les mouvements latéraux après une violation.
D'accord, mais qu'est-ce que cela signifie concrètement ? Le modèle repose sur trois principes simples mais puissants :
1. Vérification continue
Le principe du « zero trust » part du principe que la confiance doit expirer rapidement. Chaque connexion, chaque demande d'accès et parfois même chaque action sont vérifiées en temps réel. L'authentification multifactorielle, les contrôles de l'état des appareils et l'analyse comportementale contribuent à confirmer que les utilisateurs sont bien ceux qu'ils prétendent être et que leurs appareils peuvent se connecter en toute sécurité.
2. Accès avec privilèges minimaux
Même les utilisateurs de confiance ne devraient pas avoir un accès illimité à toutes les informations. L'objectif est de fournir aux personnes et aux systèmesd' s un accèsstrictement nécessaire à l'accomplissement de leurs tâches, et rien de plus. Des techniques telles que le « juste à temps » (JIT) et l'accès « juste suffisant » (JEA) contribuent à limiter l'exposition. Ainsi, si un compte est compromis, les dommages restent limités.
3. Présumer la violation
Le modèle « zero trust » part du principe qu'un attaquant pourrait déjà être présent à l'intérieur. Au lieu de se concentrer uniquement sur la prévention, cette approche privilégie le confinement, en utilisant des techniques telles que la microsegmentation, la détection des anomalies et la surveillance continue pour neutraliser les menaces avant qu'elles ne se propagent.
Les piliers du Zero Trust
Les piliers de ZTA traduisent la philosophie en domaines d'intérêt spécifiques. Différents cadres définissent ces piliers de manière légèrement différente (la CISA en utilise cinq, tandis que le ministère de la Défense en compte sept), mais tous visent à répondre à une question : Comment pouvons-nous vérifier, protéger et contenir les risques à l'échelle de l'ensemble de l'organisation ?
|
Pilier |
Ce qu'il couvre |
Exemples de technologies habilitantes |
|
Identité |
Vérifier l'identité de l'utilisateur et s'il est autorisé à accéder à ce qu'il demande. |
IAM, SSO, MFA |
|
Appareils |
S'assurer que chaque appareil connecté (ordinateur portable, téléphone, capteur IoT) respecte les normes de sécurité et de conformité avant d'y accéder. |
Détection et réponse aux incidents au niveau des terminaux (EDR), gestion des appareils mobiles (MDM), vérifications de la posture |
|
Réseaux |
Segmenter les réseaux afin qu'une violation dans un domaine ne se propage pas. L'accès est contrôlé de manière dynamique en fonction du risque. |
ZTNA, périmètres définis par logiciel, microsegmentation |
|
Applications et charges de travail |
Protéger les applications et les API contre toute utilisation abusive ou exploitation, qu'elles soient sur site ou dans le cloud. |
Protection des charges de travail dans le cloud (CWP), sécurité d'exécution |
|
Data |
Classer et protéger les données sensibles, quel que soit leur emplacement ou leur déplacement, et non pas uniquement là où elles sont stockées. |
Chiffrement, DLP, politiques de contrôle d'accès |
|
Visibilité et analyse |
Surveiller en permanence les journaux, les modèles d'accès et les comportements afin de détecter rapidement les anomalies et les violations potentielles. |
SIEM, UEBA, journalisation centralisée |
|
Automatisation et coordination |
Utilisation de l'automatisation pour appliquer les politiques de manière cohérente et répondre plus rapidement aux incidents. |
SOAR, moteurs de politiques, remédiation automatisée |
Je comprends que cela puisse sembler considérable, mais il n'est pas nécessaire de tout sécuriser en même temps. En réalité, la plupart des organisations commencent modestement (souvent avec l'identité et les appareils) et se développent progressivement à mesure que leurs systèmes et leurs équipes gagnent en maturité. Examinons cela de plus près.
Comment mettre en œuvre le modèle Zero Trust
Je ne vais pas vous mentir, la mise en œuvre de la ZTA peut représenter un travail considérable. Cependant, comme je l'ai déjà mentionné, il n'est pas nécessaire de tout faire en une seule fois. Les mises en œuvre les plus réussies se font progressivement, en commençant par la visibilité et de petites victoires à fort impact avant de s'étendre à l'ensemble des systèmes et des équipes.
Lorsque j'ai aidé une start-up à mettre en place ses premiers contrôles zéro confiance, nous n'avons pas commencé par une automatisation sophistiquée ou une segmentation du réseau. Nous avons simplement répertorié les personnes ayant accès à quoi, mis en place l'authentification multifactorielle (MFA) partout et établi quelques politiques claires. Même cette petite mesure a considérablement réduit les risques et a permis d'identifier plus facilement les domaines nécessitant des améliorations plus importantes.
Voici une feuille de route pratique qui conviendra à la plupart des organisations :
1. Cartographiez vos actifs et vos flux de données.
Il est impossible de protéger ce dont on ignore l'existence. Commencez par identifier les utilisateurs, les appareils, les applications et les données, ainsi que la manière dont ils interagissent. Cela permet de détecter les chemins d'accès inutiles ou les systèmes hérités qui créent discrètement des risques.
2. Vérifier les utilisateurs et les appareils
Mettre en place une vérification rigoureuse de l'identité et des appareils. Cela implique d'activer l'authentification multifactorielle (MFA), de vérifier la posture des appareils et d'intégrer des systèmes de gestion des identités (tels que IAM ou SSO) afin que l'authentification soit cohérente entre les différents outils.
3. Cartographier les flux de travail et les dépendances
Veuillez documenter la manière dont les données et les applications sont connectées. Cela vous aide à déterminer quels systèmes sont les plus critiques et lesquels peuvent être isolés ou limités sans perturber les opérations quotidiennes.
4. Définir et appliquer des politiques
Élaborez des politiques d'accès basées sur le principe du moindre privilège et le risque contextuel. Par exemple, un entrepreneur pourrait n'accéder à une application spécifique que pendant les heures de travail et uniquement à partir d'un appareil vérifié.
5. Automatiser et surveiller en continu
Une fois vos règles mises en place, l'automatisation garantit leur cohérence. Les outils de surveillance continue peuvent signaler en temps réel les connexions inhabituelles, les élévations de privilèges ou les transferts de données avant qu'ils ne deviennent des incidents majeurs.
6. Tester, apprendre et répéter
Si vous ne devez retenir qu'une seule chose de cet article, que ce soit celle-ci : Le modèle Zero Trust n'est pas une simple case à cocher ! Il s'agit d'un système en constante évolution. Il est nécessaire de tester régulièrement les contrôles, d'examiner les alertes et d'ajuster les politiques, en particulier à mesure que votre organisation se développe.
Étant donné que la confiance zéro repose en grande partie sur la compréhension de votre environnement cloud, notre cours « Comprendre le cloud computing » constitue un excellent complément à « H». Il explique le fonctionnement interne des services cloud et comment envisager la propriété des données, les charges de travail et l'architecture dans un environnement multicloud.
Avantages et défis du modèle Zero Trust
Lorsque la ZTA est correctement mise en œuvre, elle établit une base claire et cohérente pour le contrôle d'accès et la visibilité dans l'ensemble de l'organisation. Cependant, comme tout changement majeur, cela comporte également des défis.
Voici ce à quoi vous pouvez vous attendre de la part des deux parties:
|
Catégorie |
Avantages |
Défis |
|
Sécurité |
Protection renforcée contre le vol d'identifiants, les ransomwares et les menaces internes. Les attaquants ne peuvent pas se déplacer librement une fois à l'intérieur. |
Planification complexe et courbe d'apprentissage abrupte pour les équipes qui découvrent cette approche. |
|
Opérations |
Visibilité claire sur les utilisateurs, les appareils et les flux de données. Dépannage simplifié et réponse plus rapide aux incidents. |
L'intégration de plusieurs outils et politiques peut entraîner une certaine confusion au début. |
|
Conformité |
De meilleures pistes d'audit, un meilleur cryptage et un meilleur contrôle d'accès facilitent la mise en conformité avec des cadres réglementaires tels que le RGPD ou la loi HIPAA. |
Nécessite une gestion rigoureuse des politiques et une documentation appropriée. |
|
Productivité |
L'authentification unique transparente (SSO) et l'authentification adaptative rendent l'accès sécurisé plus rapide, sans le compliquer. |
Des politiques mal adaptées peuvent frustrer les utilisateurs si elles entravent le travail légitime. |
|
Coût et échelle |
Au fil du temps, l'automatisation et le contrôle centralisé réduisent les frais généraux et simplifient la gestion. |
Les coûts initiaux d'installation et la nécessité d'acquérir de nouvelles compétences peuvent constituer des obstacles pour les petites équipes. |
Il y a un autre point qui mérite d'être abordé ici. Lorsque j'ai travaillé pour la première foissur le déploiementd'un système de confiancez, le plus grand obstacle n'était pas la technologie et les outils, mais plutôt la mentalité générale de l'entreprise. Les gens ont l'habitude de faire confiance une fois, puis de passer à autre chose. Le principe du « zero trust » exige qu'ilsvérifient à chaque fois . Au début, cela peut sembler être une charge de travail supplémentaire, mais une fois l'automatisation mise en place, elle devient pratiquement imperceptible pour l'utilisateur final. Il est essentiel que chacun fasse confiance au processus.
Une mesure que vous pouvez prendre pour atténuer cela consiste à adopter une approche progressive. Commencez modestement (peut-être simplement avec l'identité et l'authentification multifactorielle), démontrez la valeur ajoutée, puis développez progressivement. Au fil du temps, vous trouverez le juste équilibre entre sécurité et fluidité de l'expérience utilisateur.
Le « zero trust » dans la vie réelle
Le principe du « zero trust » est appliqué par certaines des plus grandes organisations mondiales afin de protéger leurs systèmes, leurs données et leurs collaborateurs. Ce qui est intéressant, c'est que chaque déploiement réussi est légèrement différent. Certaines ont été mises en place à la suite d'une violation, d'autres dans le cadre d'une initiative de modernisation.Voici quelques exemples illustrant leur fonctionnement dans la pratique et les enseignements que nous pouvons en tirer :
Google : Des VPN à BeyondCorp
En 2009, Google a été victime d'une cyberattaque majeure connue sous le nom d'opération Aurora. Au lieu de corriger les anciens systèmes, l'entreprise a entièrement repensé la manière dont les employés accèdent aux ressources. Le résultat fut BeyondCorp, l'un des premiers modèles « zero trust » qui éliminait complètement le besoin de VPN.
Chaque demande adressée aux applications internes est vérifiée à l'aide de l'identité, de l'état de l'appareil et du contexte (tel que l'emplacement ou le réseau). Cela signifie que, qu'un ingénieur travaille depuis Mountain View ou depuis un café à Tokyo, l'accès lui est accordé de la même manière : de manière dynamique, sur la base de signaux de confiance.
Google dispose désormais d'une main-d'œuvre mondiale qui peut travailler en toute sécurité depuis n'importe où, sans les contraintes liées à l'accès réseau. BeyondCorp a démontré que le modèle « zero trust » pouvait être mis à l'échelle bien avant que le télétravail ne devienne courant.
Capital One : Contenir les violations grâce à la segmentation
En 2019, une configuration incorrecte du pare-feu a entraîné une violation de données à grande échelle chez Capital One, exposant des millions de dossiers clients. La reprise de l'entreprise s'est concentrée sur l'adoption de principes de confiance zéro dans l'ensemble de son infrastructure cloud.
Ils ont mis en œuvre des rôles IAM détaillés, une microsegmentation et une surveillance continue sur des milliers de comptes AWS. Au lieu d'un seul grand réseau interne « fiable », chaque application est devenue un environnement autonome.
Désormais, même si un attaquant parvient à compromettre un composant, ses mouvements latéraux sont limités et la brèche s'arrête à la source.
Les États-Unis Ministère de la Défense : Sécurisation à grande échelle
Avec des millions d'utilisateurs et l'une des plus importantes empreintes numériques au monde, les États-Unis Le ministère de la Défense a dû relever le défi de moderniser son modèle de sécurité. En 2022, ils ont déployé une stratégie Zero Trust sur cinq ans, articulée autour de sept piliers : identité, appareils, réseaux, applications, données, visibilité et automatisation.
Leurs premiers domaines d'intervention ont été l'identité et la visibilité : garantir que chaque utilisateur et chaque appareil, dans toutes les succursales, soient authentifiés selon le même ensemble de politiques contextuelles. Au fil du temps, ces contrôles se sont étendus à l'automatisation et aux réponses adaptatives aux risques.
Ce déploiement massif et progressif a démontré que même les organisations les plus complexes peuvent passer au modèle Zero Trust.
Santé : Protéger les données des patients sans ralentir les soins
Dans le domaine de la santé, le temps et la précision sont essentiels pour sauver des vies. Par conséquent, les modèles de sécurité traditionnels qui consistent à « tout verrouiller » ne sont pas adaptés. Des établissements hospitaliers tels que la Mayo Clinic ont adopté le principe du « zero trust » afin de protéger les dossiers des patients sans entraver les processus cliniques.
Chaque fonction du personnel dispose de niveaux d'accès clairement définis : Les médecins peuvent accéder aux dossiers médicaux électroniques confidentiels à partir d'appareils mobiles sécurisés, tandis que les infirmières et le personnel administratif disposent d'un accès restreint et limité dans le temps aux données dont ils ont réellement besoin.
Ces décisions d'accès sont renforcées par la microsegmentation et la surveillance continue, garantissant que même si un identifiant est compromis, il ne peut pas ouvrir toutes les portes du réseau de l'hôpital. La ZTA n'est pas réservée aux grandes entreprises technologiques.
Le rôle de l'IA et de l'automatisation dans le modèle Zero Trust
Une fois les fondements du modèle Zero Trust établis, l'étape suivante consiste à le mettre en œuvre à grande échelle. Heureusement, de nos jours, nous pouvons compter sur l'intelligence artificielle et l'automatisation pour nous assister dans cette tâche.
Le modèle « zero trust » génère une grande quantité de données : journaux, modèles d'accès, signaux des appareils et mesures comportementales. Il n'est pas envisageable de tout examiner manuellement. L'automatisation transforme ce bruit en action, et l'IA aide à détecter les signaux faibles que les humains pourraient manquer.
Détection plus intelligente grâce à l'apprentissage automatique
Les systèmes de sécurité traditionnels s'appuient sur des règles fixes. Par exemple, « bloquer les connexions provenant de l'extérieur du Royaume-Uni ». Cependant, les systèmes d'IA peuvent apprendre à reconnaître ce qui est « normal » pour chaque utilisateur ou appareil et signaler les écarts subtils :
- Un développeur accédant à un nouveau référentiel à 3 heures du matin.
- Un appareil qui échoue soudainement à son contrôle de santé après une mise à jour.
- Un utilisateur téléchargeant plus de données que d'habitude.
Ces anomalies ne sont pas nécessairement le signe d'une attaque. Il s'agit d'avertissements, et l'IA permet de distinguer les éléments inoffensifs des éléments dangereux beaucoup plus rapidement qu'un examen manuel. Son utilisation est de plus en plus fréquente, notamment chez CrowdStrike et Microsoft Defender, qui utilisent des analyses basées sur le ML pour détecter en quelques secondes les mouvements latéraux et les utilisations abusives d'identifiants.
Application automatisée des politiques
Une fois que vous comprenez ce qui se passe, l'automatisation peut vous aider à réagir. Si un appareil n'est plus conforme ou si une connexion semble suspecte, les outils Zero Trust peuvent :
- Veuillez procéder à une nouvelle authentification immédiatement.
- Veuillez déconnecter l'appareil du réseau.
- Révoquer automatiquement les jetons d'accès.
C'est ainsi que fonctionnent des plateformes telles que Zscaler Zero Trust Exchange ou Okta's Risk Engine. L'ajustement dynamique en temps réel est plus rapide que la réponse humaine et garantit généralement une application cohérente et impartiale à tous les niveaux.
Amélioration continue et auto-ajustement
L'IA contribue également à maintenir les politiques à jour. À mesure que les modes de travail évoluent (nouvelles applications, nouveaux lieux, nouveaux comportements), les modèles d'apprentissage automatique peuvent recommander des changements ou ajuster automatiquement les seuils. De cette manière, la sécurité reste élevée sans nécessiter constamment des ajustements manuels ni risquer de paramètres trop restrictifs qui pourraient frustrer les utilisateurs.
Vous vous souvenez lorsque j'ai mentionné que ZTA n'était pas un travail ponctuel ? La combinaison de l'IA et de l'automatisation peut vous aider à transformer le modèle Zero Trust en un système dynamique. Il réagit aux nouvelles menaces, s'adapte au comportement des utilisateurs et assure une sécurité discrète jusqu'à ce qu'un problème survienne.
Conformité réglementaire et Zero Trust
Au-delà d'une sécurité renforcée, le modèle Zero Trust facilite également le respect des réglementations dans un contexte où les lois sur la protection des données sont de plus en plus strictes. Les réglementations telles que le RGPD, l'HIPAA, la norme PCI-DSS et la stratégie fédérale américaine « Zero Trust » (EO 14028) mettent toutes l'accent sur les trois mêmes points : savoir qui accède aux données, les protéger pendant leur transfert et leur stockage, et conserver des pistes d'audit détaillées.
Le modèle Zero Trust soutient naturellement tous ces objectifs, car il repose sur la vérification d'identité, l'accès avec privilèges minimaux et le chiffrement par défaut. La conformité devient un sous-produit de l'architecture elle-même.
Conclusion
La cybersécurité visait initialement à empêcher l'accès aux acteurs malveillants. Aujourd'hui, il s'agit de rester résilient lorsqu'ils trouveront un moyen d'entrer (et non pas « si »). Comme nous l'avons constaté, le modèle Zero Trust ne consiste pas en un changement radical, mais plutôt en une évolution progressive de la manière dont vous envisagez l'accès, les risques et la responsabilité. Commencez par la visibilité. Veuillez mettre en place des contrôles d'identité rigoureux. Automatisez tout ce qui peut l'être. Au fil du temps, vous passerez de la réaction aux incidents à leur prévention avant qu'ils ne se produisent.
Ce qui est remarquable, c'est que le modèle Zero Trust ne protège pas seulement la technologie, mais également la manière dont les personnes travaillent. Si cela est bien fait, cela devrait vous aider à intégrer la sécurité dans vos opérations quotidiennes sans ralentir personne.
Et bien que le parcours ne s'achève jamais véritablement, chaque étape vous rapproche d'un système qui apprend, s'adapte et vous permet de garder une longueur d'avance, même lorsque le paysage des menaces évolue constamment.
Author
Marie Fayard
Je suis un chef d'équipe technique axé sur les produits, spécialisé dans le développement de startups en phase de démarrage, du premier prototype à l'adéquation produit-marché et au-delà. Je suis infiniment curieux de savoir comment les gens utilisent la technologie, et j'aime travailler en étroite collaboration avec les fondateurs et les équipes interfonctionnelles pour donner vie à des idées audacieuses. Lorsque je ne construis pas de produits, je cherche l'inspiration dans de nouveaux coins du monde ou je me défoule au studio de yoga.
Sujets