Quatre idées reçues sur Zero Trust
Publié le 01/12/2021
Auteur : Nicolas Tondre, Product Marketing Manager
Zero Trust est un terme introduit en 2010 par Forrester, puis imposé par Gartner, qui reprend le concept de dé-périmétrisation datant du début des années 2000. Malgré un nom qui fait plutôt penser à un buzzword , et qui a rebuté plus d’un responsable de sécurité informatique, Zero Trust recouvre cependant un ensemble de principes et de pratiques utiles.
Ce concept mérite donc qu’on s’y attarde, d’autant plus que le NIST (National Institute of Standards and Technology) a fini par l’imposer au gouvernement fédéral des États-Unis. Il peut être vu comme un ensemble de règles et de pratiques permettant d’améliorer la sécurité du système d’information d’une entreprise ou d’une organisation. Il consiste à mettre en œuvre des composants de sécurité multiples et complémentaires (MFA, SSO, IAM, VPN, minimum privilege, segmentation réseau, SIEM, etc.) pour réduire les risques d’intrusion et de fuite de données.
Mais de nombreuses imprécisions et confusions persistent à son sujet. C’est pourquoi, dans cet article, nous allons tenter de démythifier quatre idées reçues sur Zero Trust :
- Zero Trust remplace l’usage du VPN d’entreprise
- Zero Trust ne s’applique que dans le Cloud
- Zero Trust dispense des règles d’hygiène préconisées par l’ANSSI
- Les VPN d’entreprise ne proposent pas de fonctions Zero Trust
1. Zero Trust remplace l’usage d’un VPN
Dans leur présentation marketing, certain éditeurs de solutions de sécurité opposent Zero Trust et VPN. Or les solutions Zero Trust prennent en charge le chiffrement des communications de bout en bout, la garantie de l’intégrité des données, ainsi que l’authentification de l’utilisateur par le serveur et vice versa. Ce sont exactement les service rendus par un VPN.
On voit bien que toutes les solutions Zero Trust comprennent des tunnels VPN, mais au sein d’une architecture comportant de multiples composants de sécurité, avec lesquels le VPN s’intègre nativement.
D’autre part, il y a de nombreux cas où Zero Trust n’est pas la solution adaptée à l’architecture réseau en place. Par exemple, pour contrôler une centrale nucléaire, un accès VPN depuis un poste sécurisé et dédié à un nombre restreint de personnes assurera rigoureusement et simplement le niveau de sécurité attendu.
L’accès aux données sensibles ou à Diffusion Restreinte des OIVs (opérateurs d’importance vitale) et des organismes étatiques sont également soumis à l’utilisation d’un VPN sur un poste dédié.
2. Zero Trust ne s’applique que dans le Cloud
Le préjugé selon lequel Zero Trust ne s’appliquerait qu’au Cloud, a la dent dure.
Lorsqu’on accède à des services Cloud, comme Microsoft 365, Google Workspace ou Salesforce, c’est le navigateur web qui assure l’authentification, le chiffrement et l’intégrité des données à travers des tunnels TLS. La sécurité des communications est dans ce cas gérée par l’éditeur, opérateur du service Cloud. C’est lui qui a alors la main sur vos données, ce qui pose des questions d’indépendance, de confiance et de souveraineté, mais c’est un autre débat. Il propose souvent des mécanismes de délégation de l’authentification (SSO), de façon à réduire le nombre de comptes et de mots de passe à gérer.
Mais c’est à l’intérieur du réseau de l’entreprise ou de l’organisation (« on-premise », comme disent les anglo-saxons), que Zero Trust prend tout son sens, dans le but de permettre à chaque collaborateur d’accéder, à distance aussi bien que sur place, aux seules informations auxquelles il a droit : via le système d’information local, un Cloud public ou un cloud privé.
3. Zero Trust dispense des règles d’hygiène préconisées par l’ANSSI
Zero Trust est en réalité un ensemble de règles d’hygiène et de bon sens qu’il convient de suivre pour assurer la sécurité de son réseau et de ses données.
Ces règles sont en particulier disponibles sur le site de l’ANSSI. Pour rappel, elles consistent, entre autres, à :
- accorder le minimum de privilèges aux utilisateur, centraliser leur identification et la gestion de leurs droits
- mettre à jour régulièrement le système d’exploitation et les logiciels pour éviter de conserver des failles de sécurité connues
- implémenter la vérification de la conformité du poste, en passant par exemple par les mécanismes intégrés à Microsoft Windows GPO
- limiter l’accès au SI aux seuls postes managés par la DSI et bloquer toute connexion à internet de ces postes en dehors d’un tunnel VPN
- utiliser des protocoles robustes pour le chiffrement des données, à savoir IPsec et IKEv2
- utiliser de l’authentification forte à base de certificats, si possible intégrés dans des cartes à puces, des jetons de sécurité
- bloquer le « Split Tunneling » pour empêcher la fuite de données hors du SI
- utiliser des logiciels et des équipements réseau bénéficiant d’un Visa de sécurité de l’ANSSI
- etc.
4. Les VPN d’entreprise ne proposent pas de fonctions Zero Trust
Les éditeurs de VPN d’entreprise n’ont pas attendu que le concept fasse le buzz, pour intégrer des fonctions permettant d’accompagner la mise en place du concept Zero Trust.
Par exemple, les logs administrateur des Clients VPN TheGreenBow conservent la trace de tous les évènements liés à la sécurité, en vue d’être traités par des SIEM pour détecter des incohérences pouvant refléter une tentative d’intrusion.
La prise en charge des jetons de sécurités (tokens) USB et des cartes à puces permettent à nos Clients VPN Windows et Linux de mettre en place une authentification multi facteur (objet physique + code PIN).
Le split tunneling peut facilement être bloqué par l’administrateur, pour empêcher toute fuite de données en dehors du tunnel sécurisé.
Le « mode GINA » permet d’ouvrir automatiquement une communication protégée avec le SI avant même que l’utilisateur n’ait ouvert sa session Windows.
Le mode filtrant du Client VPN Windows Enterprise 6.8 peut être configuré pour bloquer les ports et les protocoles non autorisés, rendant le poste hermétique à toute intrusion en dehors du réseau de confiance.
Enfin, les Clients VPN TheGreenBow implémentent les protocoles IKEv2 et les algorithmes de chiffrement les plus robustes recommandés par l’ANSSI. Les versions 6.52 pour Windows et 1.5 pour Linux bénéficient de visas de sécurité de l’ANSSI et de la certification EAL3+.
Chez TheGreenBow, notre crédo est de concevoir des logiciels à la fois robustes et faciles à utiliser, tant il est vrai que plus un système est complexe à mettre en œuvre, plus il est vulnérable.
Vous pouvez évaluer gratuitement pendant 30 jours l’ensemble des fonctionnalités décrites ci-dessus en téléchargeant nos Clients VPN. Et vous pouvez aussi nous contacter pour un accompagnement dans votre projet de mise en place des concepts Zero Trust.
