14min

Le modèle Zero Trust : des principes de base au déploiement

Cybersecurity Best Practices

Modèle Zero Trust : définition 

Le modèle Zero Trust consiste à réduire la confiance accordée à un utilisateur qui souhaite accéder à un système d’information. Ce modèle répond aux besoins de sécurité qui se sont accrus avec la pratique du BYOD (Bring Your Own Device), et aussi du fait des accès hétérogènes à des services qui peuvent être hébergés On-Premises ou en Cloud.  
 
Sans modèle Zero Trust la confiance est accordée par principe à tout utilisateur ou équipement à l'intérieur de l'entreprise. Dans le cadre d’un modèle Zero Trust, rien ni personne ne doit être digne de confiance par principe, appliquant le credo : "Ne jamais faire confiance, toujours vérifier."

Le contrôle des accès aux ressources du système d’information passe ainsi par une évaluation dynamique et régulière des utilisateurs cherchant à y accéder. Il implique également une évaluation du contexte dans lequel ils le font, tentant compte de la criticité de la ressource concernée, qu’il s’agisse de l’établissement d’une session, d’une session déjà authentifiée ou du maintien d’une session.

Le contrôle des accès repose sur l’implémentation d’un modèle Attribute-Based Access Control (ABAC) qui permet de contrôler l’utilisateur, la ressource et le contexte (niveau de conformité du moyen d’accès utilisé par rapport à la politique de sécurité, heure, lieu...).

Des principes tels que le besoin d’en connaître, le plus faible niveau de privilège nécessaire ou encore la segmentation doivent régir ces évaluations en vue d’accorder ou non l’accès aux ressources du système d’information.

Comme l’ANSSI le rappelle : “Le modèle Zero Trust doit être inclus dans une stratégie de défense en profondeur et il ne doit en aucun cas être vu comme un remplacement d’une défense périmétrique.” Autrement dit, un modèle Zero Trust doit impérativement être implémentée sur la base de bonnes pratiques de sécurité et d’hygiène IT déjà rodées. En effet, ce modèle nécessite un suivi rigoureux et implique une bonne maturité cyber. Si ces bonnes pratiques de base de sécurité ne sont pas en place (chiffrement, segmentation, supervision, détection, mises à jour, ...) l'impact du modèle Zero Trust ne sera que très faible.

Par ailleurs, il faut avoir en tête que le modèle Zéro Trust n'empêche pas la compromission mais il limite son impact. Il permet de réduire les risques liés aux attaques modernes telles que les ransomwares. Concrètement, en cas d’accès à un système d’information par des attaquants, le modèle Zero Trust rend l’accès plus difficile aux données qu’ils chercheraient à dérober. 

En somme, pour un modèle Zero Trust efficace, il faut assurer au préalable l’état de sécurité de l’espace de travail dans son ensemble, notamment par des dispositifs de détection tels qu’un EDR. 
 

Le rôle d’un EDR dans le cadre d’un modèle Zero Trust 

Pour détecter efficacement les menaces, une organisation doit veiller à ce que l’EDR donne accès aux données de télémétrie qui permettront une levée de doute plus efficace et une meilleure compréhension de l'incident.

L’action conjointe Zero trust + EDR participe ainsi à une meilleure défense dans le sens où le modèle Zero Trust permet de vérifier les accès aux ressources et l'EDR surveille ce qui se passe sur le système d’information après l’accès.

Surveiller l’activité sur le système d’infirmation reste indispensable car même avec un modèle Zero Trust, la légitimité de l’accès n’est jamais garantie à 100%. En effet, un attaquant peut avoir subtilisé des authentifiants pour accéder au système d’information, ou un utilisateur légitime peut avoir été contraint à réaliser des actions illégitimes. C’est alors par l’observation des comportements et des signatures douteuses qu’une intrusion peut être repérée.


Entrons à présent dans le vif du sujet avec la gestion des politiques de contrôle d’accès dans le cadre d’un modèle Zero Trust.

Zero Trust : les politique de contrôle d'accès 

Pour une gestion des accès pertinente et durable, une organisation doit maintenir à jour les sources de données sur la base desquelles les accès sont accordés, et définir ces règles d’accès qui peuvent se faire sur des critères de conformité simples ou des scores de confiance.

Outils, scores de confiance, critères de conformité... Les mécanismes de contrôle d‘accès adoptés doivent eux -mêmes être vérifiés régulièrement pour confirmer leur efficacité, et maintenus pour valider qu'ils sont toujours en phase avec la politique de contrôle d’accès - à l’instar des équipements informatiques qui doivent faire l’objet de test de sécurité. 

Plus précisément, il s’agit de réaliser et maintenir une cartographie des applicatifs, des données, des utilisateurs, des équipements et des flux qui circulent entre tous ces éléments, et en contrôler les accès.

Enfin, la disponibilité et l’intégrité des fonctions de contrôle d’accès elles-mêmes doivent faire l'objet de toutes les attentions car leur dysfonctionnement peut avoir un impact critique pour l’ensemble du système d’information.

Voici quelques exemples de bonnes pratiques à adopter en matière de politique de contrôle d’accès dans le cadre d’un modèle Zero Trust :

  • Identifier tous les accès (utilisateur, équipement, automatisation) de manière unique et certifiée, et prévoir un second facteur d’authentification avec une clé privée associée à un certificat
  • Protéger le secret d’authentification (certificat) dans un composant matériel dédié (par exemple un token physique)
  • Eviter les mécanismes d’authentification passive
  • Considérer par défaut que les équipements personnels ont un niveau de confiance faible avec des accès limités et ouverts uniquement aux services non critiques
  • Utiliser exclusivement des postes avec un niveau de confiance élevée pour les accès d’administration
  • Mettre en place des mécanismes cryptographiques pour assurer la confidentialité, l’intégrité et l’authenticité des données une fois qu'un utilisateur est authentifié
  • Prévoir un tunnel VPN IPSec pour les accès à privilège, et un proxy Zero Trust pour les utilisateurs ayant accès à des services publics exposés sur internet

Comme on le voit ici, le modèle Zero Trust est exigeant en matière de gestion des contrôles d’accès et demande des ressources et des outils en conséquence.

Et sur le plan technique, quels sont les principes du modèle Zero Trust ?

Les grands principes techniques du modèle Zero Trust 

Le modèle Zero Trust s’appuie sur différents piliers, à savoir : une gestion rigoureuse de la sécurité du système d’information et du niveau de confiance des utilisateurs et des équipements, ainsi que la protection des ressources et du réseau.
 

Les infrastructures requises pour un modèle Zero Trust 

La mise en place d’un modèle Zero Trust repose sur le déploiement des infrastructures visant à gérer les trois éléments suivants.

Gestion des identités et les authentifiants des utilisateurs du système d’information, des équipements et des processus d’automatisation 

Les référentiels d’identités uniques, les attributs de sécurité et les mécanismes d’authentification doivent être mis à jour régulièrement, et l’authentification doit être réitérée périodiquement en vue de maintenir le niveau de confiance.

Gestions des actifs, et des vulnérabilités des processus automatiques et des équipements 

Les écarts entre la politique de sécurité et la mise en conformité doit être surveillée et si possible automatisée. C'est aussi le cas pour la gestion des mises à jour et des correctifs.

Gestion de la supervision de la sécurité 

La collecte et l’analyse de données relatives aux événements de sécurité, et un système d’alerte avec peu de faux positifs est un prérequis essentiel.

Dans ce sens, l’EDR fait partie des outils clés en amont d’un modèle Zero Trust. Il permet aux analystes de disposer de toutes les informations nécessaires pour évaluer la menace, détecter les menaces connues et inconnues, les comportements suspects, malwares et indicateurs de compromission...

L'architecture adaptée à un modèle Zero Trust 

Une organisation doit segmenter et cloisonner son réseau, et ce pour éviter les déplacements latéraux en cas d’intrusion.

Il en va de même pour le plan de contrôle et le plan de données, et l’accès à ces ressources doit passer un canal sécurisé en confidentialité, intégrité et authenticité, avec une authentification mutuelle. Aussi, les chaînes d’accès doivent être séparées entre les accès d’administration et ceux pour les utilisateurs.

Enfin, une organisation doit mettre en œuvre des mécanismes de redondance et de synchronisation des états sur les équipements du plan de contrôle qui assurent le contrôle d’accès continu, et les services de contrôle d’accès dynamique doivent être segmentés par usages pour limiter l’impact en cas de défaillance.
 

Le niveau de confiance des utilisateurs et des équipements  

Dans un modèle Zero Trust, la confiance est centrale et elle repose sur des mécanismes d’authentification robustes tels que :

  • L’authentification multifacteurs pour les utilisateurs, afin de lutter contre les attaques par force brute ou le phishing
  • Des moyens cryptographiques ou des mécanismes de type “défi/réponse” pour l’authentification des processus automatiques et des équipements
  • Le stockage des authentifiants dans un environnement matériel dédié
  • Le Single Sign On (SSO)
  • L’utilisation de mécanismes tels que Secure Boot UEFI ou Measured Boot pour vérifier l’intégrité et l'authenticité de la chaîne de démarrage
  • La vérification de l’intégrité et de l’authenticité des applicatifs... 

La protection des ressources 

Comme déjà évoqué plus tôt, pour fonctionner, le modèle Zero Trust doit impérativement être mis en place sur un système d’information qui respecte déjà les règles d’hygiène informatiques telles que les mises à jour centralisées, le durcissement de la configuration de sécurité, l’adoption d’un EDR... Et cette protection doit être accrue pour les équipements permettant un accès aux données critiques pour l’organisation.

En outre, les réseaux doivent sécurisés à l’aide de mécanismes de Software Defined Perimeter (incluant par exemples les VPN), le cloisonnement réseau, la protection des applications (proxy ou reverse proxy Zero Trust). 

Et en pratique, comment mettre en place un modèle Zero Trust ?

Modèle Zero Trust : acquisition, développement et maintenance 

Pour mettre en place un modèle Zero Trust, une organisation doit veiller aux aspects suivants : 

  • Privilégier l’utilisation de protocoles standards en vue de limiter la dépendance à des fournisseurs de solution et des langages propriétaires le cas échéant
  • Vérifier la compatibilité des ressources avec le modèle ABAC, ou prévoir des solutions adaptées dans ce sens
  • Valider le niveau de sécurité des solutions déployées sur le système d’information (qualifications, certifications...)
  • Tester régulièrement les mécanismes et les règles de contrôle d’accès pour remédier aux erreurs éventuelles qui pourraient compromettre la sécurité ou le bon fonctionnement des activités, et réaliser des audits de configuration et des tests d’intrusion
  • Déployer les moyens techniques et humains nécessaires au modèle Zero Trust (experts, outils, support...)

Les prérequis pour un modèle Zero Trust 

Avant de se lancer, voici quelques pré-requis pour une organisation souhaitant déployer un modèle Zero Trust. Elle doit être en mesure de :

  • Maintenir à jour les référentiels de comptes d’accès (avec capacité à désactiver automatiquement un compte d’accès considéré comme compromis)
  • Renouveler les secrets des différents utilisateurs et ressources (via une infrastructure de gestion de clés)
  • Maintenir à jour ses équipements
  • Maintenir à jour ses référentiels de détection et assurer une veille active sur les menaces (Cyber Threat Intelligence)
  • Protéger l’authenticité et l'intégrité des attributs au repos et en transit (e.g. mécanismes cryptographiques sur les attributs et les métadonnées d’un fichier 

Maintenant que nous avons vu les grands principes du modèle Zero Trust et ses modalités de déploiement, voyons quelques points clés à garder en tête pour éviter certains écueils et en faire un véritable atout.

Modèle Zero Trust : les points de vigilance 

La disponibilité, l’intégrité et l’authenticité des données utilisées pour autoriser ou refuser des accès est cruciale. C’est ce qui garantit que les utilisateurs ou les équipements ont accès aux bonnes ressources, et inversement, qu’il n’y a pas de blocage d’accès dû à une erreur.

Attention au faux sentiment de sécurité lié au fait de se reposer aveuglément sur un score de confiance. Le calcul et l’attribution de ce score doivent être revus et testés régulièrement pour éviter les faux positifs qui pourraient entraîner une autorisation d’accès illégitime à tort.

L’évaluation continue des demandes d’accès peut provoquer de la latence. Il est donc essentiel de s’assurer que les composants utilisés pour réaliser les contrôles d’accès sont correctement dimensionnés par rapport au contexte et aux besoins du système d’information.
 

L’œil de l’expert 

Pour résumer, les bases préalables à un modèle Zero Trust sont les suivantes : 

  • Authentification : validation stricte de l'identité, chaque machine ou utilisateur doit prouver son identité, via des systèmes MFA par exemple
  • Granularité des accès : il faut pouvoir déterminer précisément qui peut accéder à quoi, quand, comment et dans quelles conditions - depuis une zone géographique donnée, pendant des plages horaires définies
  • Moindre privilège : c'est un principe primordial, les utilisateurs ne doivent avoir accès qu'aux ressources strictement nécessaires
  • Segmentation : un système de micro-segmentation permet de limiter au maximum les risques de mouvements latéraux
  • Supervision : les activités doivent être surveillées pour détecter des comportements suspects.” 

"Tous ces prérequis font que le déploiement d’un modèle Zero Trust reste accessible aux organisations déjà matures en termes de sécurité. Toutefois, à défaut de pouvoir l’appliquer dans son ensemble, il ne faut pas hésiter à s’inspirer des pratiques du modèle Zero Trust car même appliquées partiellement, elles restent intéressantes pour renforcer la sécurité !” 

Emeric Boit, Lead CTI - HarfangLab 

Vous voulez en savoir plus sur notre solution
et comment elle peut devenir un pilier de vos actions pour une bonne hygiène IT ?


Demandez une démo !

Plus d'articles

Cybersecurity Best Practices

Quelles règles de base pour une bonne hygiène informatique

La protection d’un système d’information doit s’adapter en continu pour faire face à l’évolution des usages mais aussi des menaces…

En savoir plus
11min
Méthodologie
Cybersecurity - Data

L’OSINT vecteur de renseignement sur la menace cyber, du recueil d’indicateurs à l’attribution

Le renseignement sur la menace cyber est le produit d’une démarche d’identification, d’analyse et de traque des attaques et menaces…

En savoir plus
9min
Méthodologie
Cybersecurity Metrics

Métriques clés pour évaluer les performances d’un EDR

Vous souhaitez évaluer les performances d'un EDR, mais vous ne savez pas exactement ce qu'il faut mesurer ? Voici une…

En savoir plus
4min
Méthodologie
Cybersecurity - Data

Compromission d’un compte de messagerie : qualifier et endiguer un incident

Comment réagir si votre système d’information est touché par un incident de sécurité impliquant la compromission d’un ou plusieurs comptes…

En savoir plus
10min
Méthodologie