ZTNA : retour sur le concept du Zero Trust

Dans son Market Guide for Zero Trust Network Access (ZTNA)Zero Trust Network Access. Le ZTNA est une dénomination décrivant des produits appliquant une politique de « Zero Trust », ou de moindre privilège, dans le domaine des accès externes. L’objectif est de fournir les accès strictement indispensables à un utilisateur externe pour qu’il puisse réaliser les tâches nécessaires dans le cadre de son travail sans lui donner de droits ou d’accès superflus pouvant représenter un risque pour la sécurité du système d’information. Les politiques d’accès sont définies en fonction de : • l’identité de l’utilisateur, éventuellement renforcée par des mécanismes d’authentification à double facteur, • ses conditions de connexion, comme son lieu de connexion ou la santé du terminal utilisé pour la connexion. Le ZTNA permet de donner des accès très fins et granulaires sur le système d’information différencié en fonction de l’utilisateur, qu’il soit un collaborateur interne en télétravail ou un prestataire. Cette approche permet de limiter fortement les risques d’intrusion ou d’infection du système d’information.... [01], le Gartner estime que d’ici 2022, 80% des nouvelles applications business ouvertes à un écosystème de partenaires seront accessibles à travers une solution de ZTNA. Et, toujours selon le Gartner, d’ici 2023, 60% des entreprises auront remplacé leurs accès distants VPN par des accès distants ZTNA. Le Zero Trust s’impose donc comme l’un des sujets clés des prochaines années pour les DSI et RSSI.

ZTNA / Zero Trust : quelles origines ?

Le concept du Zero Trust est relativement récent et bien que le sujet est appréhendé par un nombre croissant d’organisations, ce modèle n’a pas encore la notoriété du VPN, qu’il est amené à remplacer. C’est John Kindervag [02], alors Vice-Président et analyste principal au sein de l’équipe Sécurité et Risques du cabinet d’études Forrester qui a créé, ou tout du moins formalisé, le concept du Zero Trust, en 2010.

Aujourd’hui, la Chambre des représentants des Etats-Unis recommande à tous les organismes gouvernementaux d’adopter le modèle du Zero Trust. Cette recommandation fait suite à un vol massif de données subit en 2014 par l’Office of Personnel Management (OPM) [03] [04], le principal organisme de gestion des ressources humaines et gestionnaire de la politique du personnel du gouvernement fédéral des Etats-Unis. Cette violation de données est considérée comme la pire de l’histoire du gouvernement des Etats-Unis, touchant les données personnelles de 21,5 millions d’anciens employés et d’employés sous contrat avec le gouvernement des Etats-Unis.

Dans le cadre de ce vol de données, les pirates informatiques auraient probablement obtenu des autorisations d’accès grâce à l’ingénierie sociale, pratique qui consiste à manipuler des personnes en gagnant leur confiance pour récupérer des informations. En mettant en pratique le concept du Zero Trust, cette violation massive de données aurait probablement pu être évitée ou voir ses impacts largement minimisés.

Le concept du Zero Trust

Le Zero Trust est un modèle qui vise à protéger le système d’information (SI) et les données des organisations en partant du principe qu’elles ne peuvent faire confiance à personne. Il s’agit donc de vérifier aussi bien les identités des personnes accédant au SI que les devices utilisés pour y accéder, qu’ils soient situés en dehors ou à l’intérieur du réseau de l’organisation. Cela n’était pas le cas dans les anciennes approches en matière de sécurité du SI qui sous-tendaient que les utilisateurs et devices situés à l’intérieur du réseau d’une organisation étaient dignes de confiance car ayant déjà franchi les défenses périmétriques de l’organisation.

Cette confiance auparavant donnée à un utilisateur à l’intérieur du SI d’une organisation est source de vulnérabilité puisqu’une fois qu’un attaquant s’est introduit dans le réseau d’une organisation, il peut potentiellement accéder aux ressources et données sensibles de celle-ci. Plusieurs principes permettent aux organisations de mettre en place une sécurité Zero Trust parmi lesquels :

• Principe du moindre privilège : Ne donner aux utilisateurs que l’accès aux ressources ou données dont ils ont besoin pour effectuer leurs tâches. Il s’agit également là d’un principe clé de l’ANSSIAgence Nationale de la Sécurité des Systèmes d’Information. L’agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est une organisation gouvernementale française rattachée au secrétaire général de la défense et de la sécurité nationale (SGDSN), ce dernier étant chargé de conseiller le Premier ministre dans l'exercice de ses fonctions en matière de défense et de sécurité nationale. L’ANSSI est chargée des questions de cybersécurité en France. L’ANSSI apporte son expertise et ses compétences techniques aux organisations (administrations ou entreprises) avec une mission renforcée auprès des opérateurs d’importance vitale (OIV), opérant dans des domaines d’activités sensibles pour l’intégrité même du pays et de la population (domaines sanitaires, régaliens, économiques et technologiques). Le périmètre d’action de l’Agence concerne le parc informatique dans son ensemble. Elle intervient notamment : - sous forme de veille et de réaction à tout incident relatif à la cybersécurité, - dans le développement de produits pour la société civile, - en tant qu’organisme d’information et de conseil, - en tant qu’organisme de formation, - en tant qu’organisme référent quant à la labellisation des produits et des prestataires de confiance... dans ses recommandations pour la mise en place de cloisonnement système, pratique permettant de restreindre la surface d’impact en cas de malveillance (doc PG-040 [05]) : « Interdire par défaut toute action et procéder à l’autorisation exclusive de ce qui est nécessaire aux tâches constitue la stratégie la plus efficace de mise en œuvre du principe de moindre privilège ».
• Contrôle des devices accédant au SI : Le seul contrôle des individus accédant au SI n’est pas suffisant. Si cet utilisateur est autorisé à accéder au SI, il convient de contrôler également le device via lequel il y accède. Un utilisateur bienveillant peut effectivement avoir, sans le savoir, un programme malveillant installé sur son device et ainsi contaminer le SI auquel il accède.
• AuthentificationAuthentification primaire ou secondaire. L’authentification permet à un utilisateur de garantir son identité avant d’accéder à une ressource ou un service. L’authentification primaire va donner l’accès utilisateur au poste de travail (ouverture de session Windows). Plusieurs modes d’authentification peuvent être mis à disposition des utilisateurs : login et mot de passe, cartes à puces ou sans contact, biométriques, mobile…. Pour classifier un mode d’authentification il suffira de s’appuyer sur les principes des 3 facteurs : « Qu’est-ce que je possède ? », « Qu’est-ce que je sais ? », « Qui je suis ? ». Les réponses fournies à ces questions permettent de dire pour un mode d’authentification donné s’il est « simple » ou « double » facteur. L’authentification secondaire est l’accès d’un utilisateur à une application depuis une session ouverte sur un poste de travail. L’application peut être de n’importe quel type web, client-serveur, locale au poste ou externe…... multifactorielle : Autre élément important du modèle Zero Trust, l’authentification multifactorielle (MFA) permet de complexifier les accès malveillants en réclamant plusieurs preuves d’identité à l’utilisateur souhaitant accéder au SI. Actuellement, les authentifications simples se font bien souvent via l’utilisation d’un couple login / mot de passe, élément d’authentification pourtant facilement usurpable notamment via l’ingénierie sociale, pratique qui a permis le vol de données de l’Office of Personnel Management de 2014. Avec le MFA, l’utilisateur va s’authentifier avec au moins deux facteurs d’authentification parmi trois types : quelque chose qu’il sait, tel que le couple login / mot de passe, quelque chose qu’il a, via par exemple un code reçu sur son smartphone et quelque chose qu’il « est » avec par exemple son empreinte digitale ou rétinienne.

Déployer le Zero Trust au sein de son organisation

Plusieurs solutions permettent aux organisations de se conformer aux principes clés du Zero Trust. La mise en place d’une solution de contrôle des accès par authentification forte, telle que Systancia Access va par exemple permettre aux organisations de rendre obligatoire les authentifications multifactorielles pour l’ensemble des collaborateurs.

De son côté, une solution de ZTNA telle que Systancia Gate va permettre un accès hautement sécurisé aux ressources choisies du SI pour tout type d’utilisateur (nomades, télétravailleurs, infogéreurs…) et ce via un accès unique, sans flux entrant et sans ouverture de port réseau, limitant ainsi les risques de contamination du SI. Les devices utilisés par les collaborateurs d’une organisation vont aussi pouvoir être contrôlés afin de s’assurer de la conformité du poste. Concrètement, des règles peuvent être mises en place pour valider, par exemple, la présence d’un antivirus, d’un firewall ou des mises à jours. Ainsi le Zero Trust peut s’adapter à une multitude de cas d’usage et notamment au télétravail ou au BYOD (Bring Your Own Device), pratique pourtant considérée comme peu sécurisée par les Directions Informatiques.

Références

[01] Gartner – Market Guide for Zero Trust Network Access (ZTNA)

[02] Bio John Kindervag

[03] Violation de données de l’Office of Personnel Management

[04] About – Office of Personnel Management

[05] Recommandations pour la mise en place de cloisonnement système