ZTNA : retour sur le concept du Zero Trust

Dans son Market Guide for Zero Trust Network Access (ZTNA)Zero Trust Network Access [01], le Gartner estime que d’ici 2022, 80% des nouvelles applications business ouvertes à un écosystème de partenaires seront accessibles à travers une solution de ZTNA. Et, toujours selon le Gartner, d’ici 2023, 60% des entreprises auront remplacé leurs accès distants VPN par des accès distants ZTNA. Le Zero Trust s’impose donc comme l’un des sujets clés des prochaines années pour les DSI et RSSI.

ZTNA / Zero Trust : quelles origines ?

Le concept du Zero Trust est relativement récent et bien que le sujet est appréhendé par un nombre croissant d’organisations, ce modèle n’a pas encore la notoriété du VPN, qu’il est amené à remplacer. C’est John Kindervag [02], alors Vice-Président et analyste principal au sein de l’équipe Sécurité et Risques du cabinet d’études Forrester qui a créé, ou tout du moins formalisé, le concept du Zero Trust, en 2010.

Aujourd’hui, la Chambre des représentants des Etats-Unis recommande à tous les organismes gouvernementaux d’adopter le modèle du Zero Trust. Cette recommandation fait suite à un vol massif de données subit en 2014 par l’Office of Personnel Management (OPM) [03] [04], le principal organisme de gestion des ressources humaines et gestionnaire de la politique du personnel du gouvernement fédéral des Etats-Unis. Cette violation de données est considérée comme la pire de l’histoire du gouvernement des Etats-Unis, touchant les données personnelles de 21,5 millions d’anciens employés et d’employés sous contrat avec le gouvernement des Etats-Unis.

Dans le cadre de ce vol de données, les pirates informatiques auraient probablement obtenu des autorisations d’accès grâce à l’ingénierie sociale, pratique qui consiste à manipuler des personnes en gagnant leur confiance pour récupérer des informations. En mettant en pratique le concept du Zero Trust, cette violation massive de données aurait probablement pu être évitée ou voir ses impacts largement minimisés.

Le concept du Zero Trust

Le Zero Trust est un modèle qui vise à protéger le système d’information (SI) et les données des organisations en partant du principe qu’elles ne peuvent faire confiance à personne. Il s’agit donc de vérifier aussi bien les identités des personnes accédant au SI que les devices utilisés pour y accéder, qu’ils soient situés en dehors ou à l’intérieur du réseau de l’organisation. Cela n’était pas le cas dans les anciennes approches en matière de sécurité du SI qui sous-tendaient que les utilisateurs et devices situés à l’intérieur du réseau d’une organisation étaient dignes de confiance car ayant déjà franchi les défenses périmétriques de l’organisation.

Cette confiance auparavant donnée à un utilisateur à l’intérieur du SI d’une organisation est source de vulnérabilité puisqu’une fois qu’un attaquant s’est introduit dans le réseau d’une organisation, il peut potentiellement accéder aux ressources et données sensibles de celle-ci. Plusieurs principes permettent aux organisations de mettre en place une sécurité Zero Trust parmi lesquels :

• Principe du moindre privilège : Ne donner aux utilisateurs que l’accès aux ressources ou données dont ils ont besoin pour effectuer leurs tâches. Il s’agit également là d’un principe clé de l’ANSSIL’agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est une organisation gouvernementale française.... dans ses recommandations pour la mise en place de cloisonnement système, pratique permettant de restreindre la surface d’impact en cas de malveillance (doc PG-040 [05]) : « Interdire par défaut toute action et procéder à l’autorisation exclusive de ce qui est nécessaire aux tâches constitue la stratégie la plus efficace de mise en œuvre du principe de moindre privilège ».
• Contrôle des devices accédant au SI : Le seul contrôle des individus accédant au SI n’est pas suffisant. Si cet utilisateur est autorisé à accéder au SI, il convient de contrôler également le device via lequel il y accède. Un utilisateur bienveillant peut effectivement avoir, sans le savoir, un programme malveillant installé sur son device et ainsi contaminer le SI auquel il accède.
• AuthentificationL'authentification permet à un utilisateur de garantir son identité avant d’accéder à une ressource ou un service... multifactorielle : Autre élément important du modèle Zero Trust, l’authentification multifactorielle (MFA) permet de complexifier les accès malveillants en réclamant plusieurs preuves d’identité à l’utilisateur souhaitant accéder au SI. Actuellement, les authentifications simples se font bien souvent via l’utilisation d’un couple login / mot de passe, élément d’authentification pourtant facilement usurpable notamment via l’ingénierie sociale, pratique qui a permis le vol de données de l’Office of Personnel Management de 2014. Avec le MFA, l’utilisateur va s’authentifier avec au moins deux facteurs d’authentification parmi trois types : quelque chose qu’il sait, tel que le couple login / mot de passe, quelque chose qu’il a, via par exemple un code reçu sur son smartphone et quelque chose qu’il « est » avec par exemple son empreinte digitale ou rétinienne.

Déployer le Zero Trust au sein de son organisation

Plusieurs solutions permettent aux organisations de se conformer aux principes clés du Zero Trust. La mise en place d’une solution de contrôle des accès par authentification forte, telle que Systancia Access va par exemple permettre aux organisations de rendre obligatoire les authentifications multifactorielles pour l’ensemble des collaborateurs.

De son côté, une solution de ZTNA telle que Systancia Gate va permettre un accès hautement sécurisé aux ressources choisies du SI pour tout type d’utilisateur (nomades, télétravailleurs, infogéreurs…) et ce via un accès unique, sans flux entrant et sans ouverture de port réseau, limitant ainsi les risques de contamination du SI. Les devices utilisés par les collaborateurs d’une organisation vont aussi pouvoir être contrôlés afin de s’assurer de la conformité du poste. Concrètement, des règles peuvent être mises en place pour valider, par exemple, la présence d’un antivirus, d’un firewall ou des mises à jours. Ainsi le Zero Trust peut s’adapter à une multitude de cas d’usage et notamment au télétravail ou au BYOD (Bring Your Own Device), pratique pourtant considérée comme peu sécurisée par les Directions Informatiques.

Références

[01] Gartner – Market Guide for Zero Trust Network Access (ZTNA)

[02] Bio John Kindervag

[03] Violation de données de l’Office of Personnel Management

[04] About – Office of Personnel Management

[05] Recommandations pour la mise en place de cloisonnement système