L’architecture Zero Trust pour assurer la sécurité du télétravail

Cybersécurité Responsable Sécurité
Cybersécurité Responsable Sécurité

Temps de lecture : 5 minutes

Publié le 15 avril 2021

La généralisation du télétravail a mis en évidence les limites du modèle périmétrique traditionnel. Dans ce nouveau contexte, l’architecture Zero Trust est particulièrement adaptée aux défis et aux menaces d’aujourd’hui.

L’année 2020 a‑t-elle fait exploser le périmètre réseau de l’entreprise ? La généralisation du télétravail remet en question l’approche périmétrique de la sécurité, plutôt adaptée au “monde d’avant”. “Avant, toutes les ressources étaient dans un périmètre bien délimité, avec une frontière entre l’interne, considéré comme sécurisé, et le monde extérieur, c’est-à-dire le monde d’Internet et de tous les dangers”, resitue Jean-Yves Grasset, National Security Officer chez Microsoft.

Dans ce “monde d’avant”, tous les postes de travail sont alors situés dans ce périmètre, avec quelques exceptions. La sécurité est basée sur la défense du périmètre et le réseau, en mode château-fort, pour s’assurer que la frontière est bien gardée, principalement en contrôlant tous les flux réseaux entrants et sortants. Problème : le contexte a changé. Pour la plupart des organisations, les ressources sont aujourd’hui situées en dehors de l’entreprise. Par exemple les applications SaaS qui passent sous le radar de l’IT, ce que l’on appelle le Shadow IT.

Les nouveaux codes du travail et de la sécurité

Deux changements majeurs se sont produits ces dernières années. Avant l’avènement du cloud et de la mobilité, on estimait que 80% des flux restaient sur le réseau interne. Aujourd’hui, la situation est exactement inverse ! Autre évolution importante, la généralisation du télétravail. Une grande majorité des postes se trouvent à l’extérieur des organisations. “Dans certains cas, ce sont 100% des employés qui travaillent depuis chez eux. La vision périmétrique de la sécurité n’est clairement plus adaptée à cette nouvelle réalité”, pointe Jean-Yves Grasset.

Livre Blanc

Transformation numérique : la défense et le renseignement

Les opérations militaires et de renseignement adoptent facilement la transformation numérique pour améliorer leur préparation, moderniser leur environnement de travail et renforcer la collaboration.

Télécharger le livre blanc

Les limites des infrastructures VPN

Première conséquence de cette généralisation du télétravail : la saturation des infrastructures VPN. Pour rappel, un VPN permet à un poste de se connecter, à travers sa connexion internet, sur le réseau de l’entreprise, à travers un canal sécurisé. “C’est une extension du réseau interne vers l’extérieur, explique Jean-Yves Grasset. Donc tous les flux venant de l’ensemble des postes des utilisateurs en télétravail vont passer par ces fameuses passerelles VPN, qui vont se retrouver saturées.”

Avec une conséquence immédiate : l’expérience utilisateur est fortement dégradée. Cela peut être l’impossibilité de se connecter ou des difficultés à synchroniser ses mails, à accéder à ses documents, à travailler en mode collaboratif… À cela s’ajoutent les réunions en visioconférence, qui nécessitent plus de bande passante et des flux temps réel. Bref, on touche là aux limites des infrastructures VPN.

Désengorger les VPN… ou changer d’approche ?

Pour répondre à cette saturation, les entreprises n’ont pas beaucoup d’options. Elles peuvent soit investir massivement dans des passerelles VPN pour s’adapter (une solution coûteuse puisqu’il faut investir dans du nouveau matériel). Soit mettre en place le split-tunneling pour sortir du tunnel VPN les flux vers les services de collaboration (comme par exemple les flux Teams temps réel). Le problème avec cette approche, c’est que l’on reste dans une vision périmétrique devenue obsolète.

Les nouveaux codes du travail hybride supposent de changer d’approche de sécurité. Et pour cela, l’architecture Zero Trust est particulièrement adapté.

Lire aussi Les outils collaboratifs transforment le travail

L’architecture Zero Trust, un nouveau modèle de confiance

Depuis une quinzaine d’années que le terme existe, le modèle Zero Trust creuse un sillon nouveau dans la cybersécurité. Avec une promesse simple : “Zero Trust n’est pas “ne faites confiance en rien”, mais c’est adopter une façon plus intelligente de faire confiance”, souligne Mark Simos, Lead Architecture Cybersecurité de Microsoft.

Concrètement, le modèle Zero Trust pose comme principe que tous les utilisateurs et les appareils de tout type, y compris les mobiles, doivent pouvoir accéder aux ressources et services depuis n’importe quel endroit, avec les mêmes conditions de sécurité.

Lire aussi Comment adresser la sécurité du télétravail ?

Les 3 grands principes du Zero Trust

1. Vérifier explicitement : cela suppose la mise en place d’une authentification forte, et de prendre dynamiquement la décision d’accès basée sur toutes les informations de contexte disponibles (identité utilisateur, emplacement du terminal, son état, les services, les données, la charge de travail impliquée dans l’accès). L’accès sera alors autorisé, refusé ou soumis à condition supplémentaire comme une authentification multifacteur.

2. Implémenter l’accès à moindre privilège, qui consiste à n’accorder l’accès aux personnes uniquement lorsqu’elles en ont besoin, aussi longtemps qu’elles en ont besoin et uniquement pour la tâche spécifique qu’elles ont à accomplir. Comme par exemple autoriser uniquement l’accès en lecture à un document si l’utilisateur y accède depuis un smartphone non géré par l’entreprise.

3. Présupposer la compromission : anticiper le fait que tôt au tard, il y aura une faille dans son système d’information. L’idée est de passer d’une approche traditionnelle à un système résistant, conçu pour permettre une récupération rapide. Cela nécessite d’appliquer de nouveaux principes, comme la micro segmentation réseau et l’analyse en temps réel, pour détecter les attaques le plus rapidement possible et les confiner.

Lire aussi Zero standing access : limiter les accès selon le contexte et l’usage

Le rôle central de l’identité

Le modèle Zero Trust est basé sur l’identité, avec comme brique de base le contrôle d’accès conditionnel. Son principe ? A chaque demande de connexion, on analyse le contexte pour évaluer le niveau de confiance que l’on peut accorder à l’utilisateur et à son appareil.

Pour l’utilisateur : on analyse son identité, sa localisation aussi pour repérer un accès depuis un pays improbable…

Pour l’appareil depuis lequel l’utilisateur accède : est-il géré par l’entreprise ? respecte-t-il les politiques de sécurité (version d’OS, correctifs de sécurité, chiffrement) ? Est-il bien associé à l’utilisateur ? L’utilisateur a‑t-il déjà utilisé cet appareil ? etc.

Lire aussi Qu’est-ce que l’identité décentralisée ?

Zero Trust, une approche de sécurité globale faite de différentes briques

Ces différents points de contrôle permettent d’évaluer le risque en temps réel. Puis de prendre la décision ou non d’autoriser l’accès, et sous quelles conditions. “L’âme du Zero Trust est d’adopter une façon plus intelligente de faire confiance, en s’appuyant sur des signaux pour prendre des décisions en temps réel. Il faut donc disposer de signaux et être capable de les traiter en s’appuyant évidemment sur des algorithmes de machine learning. Dans l’environnement Microsoft, c’est Azure Active Directory qui réunit ces signaux et prend des décisions pour appliquer les politiques d’accès”, souligne Jean-Yves Grasset.

D’autres briques complètent ce modèle, pour avoir une approche de sécurité globale : une brique de détection des attaques sur les identités, une brique pour assurer la sécurité de l’appareil, une brique pour assurer la protection des données (pour classifier et protéger les informations sensibles) et enfin, une brique pour sécuriser les applications cloud.

On le voit bien, le modèle Zero Trust est un voyage au long cours qui se fait par étapes. Plus qu’un buzzword, le Zero Trust est aujourd’hui un modèle en cours de déploiement par 30% des entreprises et en cours d’étude par 45% autres, selon le Baromètre de la cybersécurité des entreprises Opinionway pour le CESIN de janvier 2021. Une révolution de l’approche de sécurité pour répondre à la révolution du travail en cours.

 

Questions fréquentes

Qu’est-ce que le Zero Trust ?

L’approche Zero Trust est une façon plus intelligente de faire confiance à l’utilisateur et à son appareil de connexion. Elle repose sur deux principes : augmenter le niveau de confiance associé à l’utilisateur et son appareil et assurer un accès aux utilisateurs depuis n’importe quel endroit.

Qu’est-ce qu’un VPN ?

Un Virtual Private Network permet à un poste de se connecter sur le réseau de l’entreprise, à travers un canal sécurisé. C’est une extension du réseau interne vers l’extérieur par laquelle transitent tous les flux venant des postes des utilisateurs en télétravail par exemple. 

Comment fonctionne le Zero Trust ?

Le modèle Zero Trust cherche à vérifier explicitement l’identité de l’utilisateur (avec une authentification forte) et de son terminal pour ensuite gérer les accès aux ressources de l’entreprise. Cette approche recommande notamment de recourir à l’accès à moindre privilège. 

Qu’est ce que le Shadow IT ?

Le Shadow IT est l’utilisation de matériel ou de logiciels liés à l’informatique par un service ou un individu sans accord au préalable du département IT de l’organisation. Elle peut englober les services du cloud, les software et hardware – cela permet un accès direct et facilité aux nouvelles technologies.

A la une

Business decision maker (BDM) using mobile phone to complete multi-factor authentication to prepare to work from home.
Cybersécurité PME-TPE
Cybersécurité PME-TPE

Enjeux de cybersécurité : AXA & Microsoft par Réseau Entreprendre

L’essor de la digitalisation des entreprises expose de plus en plus les entreprises aux risques cyber trop souvent sous-estimés par les entrepreneurs. Dans le cadre de son partenariat avec Microsoft et AXA France, Réseau Entreprendre a demandé à Philippe Limantour, Directeur Technologique et Cybersécurité chez Microsoft et Thierry Piton, Souscripteur Expert Cyber Risques chez AXA France, de […]

Lire l'article
Nous pouvons voir deux immeubles différents.
Cloud
Cloud

Avanade et Accenture: Innover pour transformer l’industrie

L’innovation est au cœur de l’industrie, et l’industrie est le fer de lance de l’innovation. C’est en tout cas dans cet état d’esprit qu’Accenture/Avanade, accompagne la transformation de ses clients. Laurent Curny, Directeur Général d’Avanade France, Belgique et Pays-Bas, Franck Joudiou, Managing Director AMBG (Accenture Microsoft Business Group) France au sein d’Accenture, Jean-Pierre Riehl, Directeur […]

Lire l'article
Voir tous les articles Lire tout les articles