Zero Trust (ZT) est probablement l'un des sujets, termes ou mots à la mode les plus discutés sur le marché de la cybersécurité aujourd'hui. Si vous avez assisté à une conférence dans le monde entier au cours des deux dernières années dans le cybercircuit, il est fort probable que vous ayez rencontré cette "chose" Zero Trust. Mais qu'est-ce que Zero Trust ? D'où vient ce concept et cette idée, et pourquoi devons-nous être inondés par cette avalanche de manigances Zero Trust ?
Qu'est-ce que Zero Trust ?
Quelle est la définition de Zero Trust ?
Zero Trust est une stratégie de cybersécurité qui signifie que, d'une part, les organisations doivent éliminer la confiance implicite et, d'autre part, au lieu de faire simplement confiance aux utilisateurs, la vérification continue de l'identité de l'utilisateur est fondamentale. L'un des principes fondamentaux de ce concept est "Ne jamais faire confiance, toujours vérifier". Vous ne devez pas faire confiance à tout ce qui se trouve à l'intérieur du réseau de l'entreprise et une vérification est toujours requise de la part de chaque personne qui souhaite accéder aux ressources du réseau.
Une stratégie Zero Trust aide les organisations à protéger leurs environnements et constitue une aide importante lors d'une transformation numérique. Voici quelques principes fondamentaux de ce que vous pouvez faire :
Segmentation du réseau
Contrôle granulaire des demandes d'accès
Mise en œuvre de méthodes de vérification strictes
Éviter les mouvements latéraux
Quel a été le rôle du Jericho Forum dans l'histoire de Zero Trust ?
Pour comprendre ce qu'est Zero Trust, nous devons remonter le temps d'environ 16 ans jusqu'au Jericho Forum. Il s'agissait d'un groupe d'universitaires qui réfléchissaient aux questions plus tangentielles de la sécurité des réseaux et à la manière dont ils pourraient appliquer leur matière grise à la résolution de ce problème central.
À cette époque, il y a près de vingt ans, l'actif le plus puissant d'une entreprise à être introduit sur le marché était le NGFW, le pare-feu de nouvelle génération. Ce dispositif "tout-puissant" était censé changer la donne en éliminant les menaces et en aidant à segmenter l'infrastructure des systèmes et infrastructures situés dans le périmètre. Bien qu'innovant à l'époque, ce dispositif n'était guère plus qu'un outil de segmentation dynamique très puissant.
C'est pourquoi les membres du Jericho Forum ont adopté le concept de recherche de "sécurité dé-périmétrisée". Il s'agit essentiellement d'utiliser les capacités de l'outil NGFW pour étendre le contrôle et la segmentation à l'ensemble de l'infrastructure de manière plus dynamique, mais sans se contenter d'un grand "mur" élevé à la périphérie du réseau. Il s'agirait plutôt d'une série de segments plus granulaires avec des contrôles plus ciblés et une surveillance améliorée.
Il s'agit d'un moment décisif dans la réflexion sur l'infrastructure sécurisée et, à vrai dire, personne n'y a prêté attention, à l'exception des membres du Jericho Forum et d'un analyste de Forrester, John Kindervag.
Quel était le rôle de John Kindervag ?
John était assez visionnaire pour voir que l'application de cette approche était précieuse et pouvait changer la donne pour une infrastructure plus sûre et plus contrôlable à l'échelle. John a vu la puissance à venir du cloud et le potentiel des problèmes qu'une infrastructure diverse et en croissance constante pourrait créer. Il a également eu la clairvoyance de réaliser que le monde évoluait vers un espace de BYOD (Bring Your Own Device) comme méthode principale de futurisation de l'espace de travail.
Fort de cette constatation et de son expérience en matière de sécurité des réseaux, John a cherché le point d'échec le plus singulier de cet état futur. Après environ un an de recherche, il a conclu que la "confiance" qui était installée et implicite dans cette architecture future serait le signe avant-coureur de son échec.
Un partage par défaut trop important, une connectivité excessive et un accès sans entrave seraient problématiques pour toute entreprise compromise, et John savait que la compromission était une donnée, pas une possibilité.
C'est sur cette base que John a inventé le terme Zero Trust et qu'il a commencé à diffuser son évangile selon lequel la "confiance" était l'élément le plus important à contrôler dans toute infrastructure (réseau) et qu'à l'époque, l'utilisation de la nouvelle génération Firewall (NGFW) était le moyen d'y parvenir. Il a promu une manière plus stricte de gérer le contrôle d'accès dans les entreprises.
C'est sur ce point que s'est concentrée l'initiative Zero Trust pendant une dizaine d'années, jusqu'en 2017 environ, lorsque la technologie a fini par rattraper son retard et que des approches plus pratiques de l'infrastructure sécurisée moderne ont été intégrées à l'état d'avancement de l'initiative Zero Trust en 2020.
Pourquoi l'approche "faire confiance mais vérifier" n'est-elle plus valable ?
Comme mentionné ci-dessus, l'un des principes clés du modèle Zero Trust est "Ne jamais faire confiance, toujours vérifier". Mais avant cela, le mantra ou l'approche de nombreuses organisations était "faire confiance mais vérifier".
Néanmoins, dans une architecture Zero Trust, l'objectif est d'éviter le déplacement latéral des menaces au sein d'un réseau. En effet, si vous vérifiez une fois l'accès de quelqu'un et que vous faites ensuite toujours confiance à cette personne et à son appareil (peut-être compromis), vous ne pouvez pas éviter une éventuelle cyberattaque. La clé de l'accès au réseau Zero Trust est de continuer à vérifier avant d'accorder l'accès, sous forme de microsegmentation et de contrôle granulaire de l'utilisation.
L'objectif d'une architecture de réseau de confiance zéro est de traiter le mouvement latéral des menaces au sein d'un réseau en tirant parti de la micro-segmentation et de l'application de périmètres granulaires, basés sur les données, l'utilisateur et l'emplacement. Ce principe est également connu sous le nom de "Never trust, always verify", déterminant la confiance zéro.

Consultez notre Podcast "AwinguruTalks" (en anglais),
avec le Dr. Chase "Zero Trust" Cunningham !
Un VPN est-il bon pour activer la sécurité Zero Trust ?
Au fur et à mesure que l'infrastructure s'est développée et que le besoin de connectivité sécurisée de cette main-d'œuvre BYOD est devenu la norme sur le lieu de travail, le VPN est devenu l'application "sécurisée" standard qui serait adoptée pour permettre une main-d'œuvre distante "sécurisée".
Si, au départ, ce concept et cette approche du problème semblaient excellents, en réalité, grâce aux violations massives (de données) contenant des noms d'utilisateur et des mots de passe et aux piratages d'États-nations qui ont compromis les fournisseurs de VPN, le VPN n'est devenu, au mieux, qu'un obstacle pour les utilisateurs et, au pire, un conduit direct pour les pirates vers un réseau entier.
Le VPN n'a pas fait grand-chose d'autre que de percer des trous dans ces premiers systèmes Zero Trust, et il a juste permis aux méchants de se connecter directement aux systèmes. Le NGFW et la segmentation ne pouvaient pas résoudre le problème d'un VPN lorsque la connexion d'un utilisateur BYOD était authentifiée par un mot de passe piraté et des privilèges d'administrateur. Cette technologie a tourmenté les entreprises pendant près de dix ans.
Quels sont les principes clés d'une stratégie de sécurité basée sur la confiance zéro ?
Nous arrivons maintenant à l'état actuel de l'art dans le secteur : La mise en réseau définie par logiciel, l'isolation des navigateurs et la virtualisation de l'infrastructure réseau sont les clés de toute approche Zero Trust future. Un espace dynamique où tout peut être à distance et sécurisé, et où le besoin d'authentification des utilisateurs par mot de passe échoué peut être éliminé.
Une véritable infrastructure Zero Trust peut enfin être déployée car ces outils ou capacités se sont alignés sur la réalité de ce qui est nécessaire pour permettre cette initiative stratégique vitale. L'utilisation d'une combinaison de ces techniques importantes permet désormais aux entreprises d'adopter les principes de base d'un modèle de sécurité Zero Trust. En outre, l'utilisation de ces éléments clés éliminera les problèmes de configuration par défaut qui affectent les infrastructures sécurisées et permettra simultanément de dynamiser les effectifs.

Réfléchissez à la manière dont vous voudriez travailler, ou mieux encore à la manière dont vous voudriez que vos employés travaillent. D'autant que nous constatons aujourd'hui que le travail à distance et le BYOD sont la nouvelle norme, et non plus une option, pour les entreprises.
Pour avoir une entreprise plus "Zero Trusty", et une entreprise dans laquelle il est plus facile de travailler, il faut éliminer le VPN, pousser le contrôle de la sécurité de l'intérieur de l'infrastructure vers l'extérieur, et permettre également un accès continu. Et tout cela sans jamais affecter l'expérience de l'utilisateur.
Oh, et vous voudriez utiliser des protocoles qui sont plus "difficiles" à utiliser pour l'exploitation. Cela signifie HTTP au lieu de RDP. Enfin, vous souhaitez éliminer les problèmes liés aux machines anciennes ou obsolètes sur lesquelles les utilisateurs pourraient vouloir travailler dans votre entreprise. Cela serait incroyablement difficile si vous deviez essayer de construire cela par vous-même, et cette approche nécessiterait d'importants investissements en temps et en efforts pour arriver à cet état final.
Comment Awingu peut vous aider à mettre en place une stratégie de confiance zéro ?
Avec Awingu, les utilisateurs peuvent bénéficier d'un accès sécurisé car ils ne sont jamais réellement "sur" le réseau, et il n'est pas nécessaire d'utiliser un VPN. C'est de loin l'un des principaux avantages de l'espace de travail unifié, car il réduit le risque que quelqu'un de "mauvais" entre dans le réseau de l'entreprise à partir d'un réseau privé.
En utilisant la puissance dynamique de l'infrastructure virtualisée combinée à l'isolation du navigateur, l'ensemble de l'espace de travail de l'utilisateur est "poussé" vers lui dans une connexion virtuelle. De cette façon, vous disposez d'un web sécurisé gateway pour tous les utilisateurs, qu'il s'agisse d'employés ou de contractants externes.

Les utilisateurs finaux peuvent se connecter via le navigateur de leurs appareils, qui peuvent être des appareils gérés ou non gérés. Ils obtiennent alors un accès à distance aux applications publiées (applications web, applications SaaS et même systèmes legacy), aux postes de travail et aux fichiers, en HTML5.
Aucune donnée n'est stockée localement, vous pouvez donc être sûr que même les données sensibles ne quittent pas l'environnement de l'entreprise. Si un utilisateur n'est pas au courant et travaille via un appareil compromis, il n'a toujours pas d'accès direct aux actifs de votre entreprise et à son réseau. Ainsi, même si vous ne connaissez pas l'identité du dispositif, vous n'avez pas à vous soucier de la sécurité du réseau, car les administrateurs informatiques peuvent définir le contrôle d'accès.
Il n'y a pas de tuyau pouvant être utilisé par des pirates malveillants, toutes les sessions sont cryptées et l'authentification multifactorielle (MFA) est une offre intégrée par défaut pour tous les clients. L'utilisation de cette fonctionnalité réduira certainement les risques. Avec l'authentification multi-facteur, vous pouvez déjà très facilement construire une couche supplémentaire pour sécuriser l'accès des utilisateurs. L'utilisateur est également authentifié en permanence pendant qu'il opère dans cette session à distance sécurisée et le système est intégré avec une fonction d'authentification unique (SSO) pour faciliter la connexion et la convivialité. Ainsi, l'accès des utilisateurs peut rester aussi fluide qu'auparavant.
En tant qu'administrateur informatique, il est possible de définir encore plus précisément les autorisations des utilisateurs grâce à des fonctionnalités telles que la connaissance du contexte et le contrôle granulaire de l'utilisation. Dans le tableau de bord pour les administrateurs, vous avez accès à un suivi continu de ce qui se passe dans l'espace de travail. Vous pouvez même activer l'enregistrement des sessions et, comme toute autre fonctionnalité, vous pouvez le définir pour certains utilisateurs ou groupes d'utilisateurs, mais aussi pour des applications spécifiques ou même des fonctionnalités intégrées. Supposons que, conformément à vos politiques d'accès, vous souhaitiez que vos contractants externes n'aient accès à l'application legacy de l'AS400 que lorsqu'ils se trouvent aux États-Unis et qu'ils utilisent le MFA ? C'est parfaitement possible, comme vous le souhaitez.
Il va sans dire que Awingu peut vous aider à créer un environnement de confiance zéro pour protéger vos actifs et éviter une violation de données par exemple, d'une manière très simple. Travailler avec Awingu a réduit la complexité de la sécurité pour les administrateurs informatiques d'autres organisations. Plus la solution ou la configuration est compliquée, plus il y a de risques d'erreur.
Si votre entreprise met en œuvre une approche de confiance zéro et que vous souhaitez simplifier votre accès à distance sans compromettre vos actifs les plus critiques sur le réseau ? Jetez un coup d'œil à cet espace de travail unifié qui peut certainement vous aider à réaliser cette transformation numérique dans votre parcours Zero Trust !