Ze­ro Trust Le pé­ri­mètre est mort… la confiance aus­si !

L'Informaticien - - SOMMAIRE -

Si le terme n’est plus tout jeune, il re­vient en force de­puis quelques mois. Ze­ro Trust couvre tout un en­semble de pro­ces­sus, de pra­tiques et d’ou­tils qui viennent s’ins­crire dans un cer­tain état d’es­prit : la fron­tière entre zones in­ternes et zones ex­ternes du sys­tème d’in­for­ma­tion s’ef­face, il ne faut donc par dé­faut ac­cor­der sa confiance à per­sonne et pro­té­ger, plu­tôt que le pé­ri­mètre, la don­née.

Théo­ri­sé par un ana­lyste de For­res­ter il y a quelques an­nées, le concept de « Ze­ro Trust » part du constat que l’in­for­ma­tique en en­tre­prise a évo­lué. Entre ap­pli­ca­tions on pre­mise, hé­ber­gées dans un Cloud ou en­core en Saas, ins­tances dédiées ou mu­tua­li­sées, ser­veurs phy­siques ou ma­chines vir­tuelles, conte­neurs… on est loin de la vi­sion mo­no­li­thique du sys­tème

d’in­for­ma­tion. Si bien qu’il est de­ve­nu dif­fi­cile de dis­tin­guer l’ex­terne et l’in­terne. Ajou­tons à ce­la des pres­ta­taires ou des clients qui vont ve­nir se connec­ter à ces ap­pli­ca­tions. Sans ou­blier les sa­la­riés eux- mêmes, de plus en plus mo­biles, connec­tés sur le ter­rain, quand ils ne sont pas en télétravai­l. Et pas­sons ra­pi­de­ment sur l’ex­plo­sion du nombre D’API et d’in­ter­ac­tions ma­chine- to- ma­chine et app- to- app. Dans ce contexte, le pé­ri­mètre s’ef­face. En d’autres termes, plus ima­gés, « la re­pré­sen­ta­tion du SI comme un châ­teau fort en­tou­ré de rem­parts est dé­pas­sée » , nous ex­plique Ket­ty Cas­sa­ma­jor, Pre­sales Ma­na­ger chez Cy­be­rark. « La fron­tière entre in­té­rieur et ex­té­rieur s’ef­face et de nom­breuses op­tions s’offrent aux opé­ra­tions mal­veillantes. Si l’on veut fi­ler la mé­ta­phore, une vul­né­ra­bi­li­té non pat­chée va re­pré­sen­ter une brèche dans le mur, une er­reur hu­maine in­vo­lon­taire une porte mal fer­mée, le phi­shing consis­te­ra à sur­vo­ler les rem­parts. Sans ou­blier les me­naces in­ternes. »

La fin du bas­tion

La tra­di­tion­nelle sé­cu­ri­té pé­ri­mé­trique – fa­meux rem­part au­tour du SI – est donc da­tée, im­puis­sante. Entre alors en scène le Ze­ro Trust. L’ap­proche an­té­rieure consis­tait à ne pas faire confiance à ce qui était en de­hors du SI mais de l’ac­cor­der par dé­faut au sein du ré­seau. « Au­jourd’hui cette zone de confiance ne de­vrait plus exis­ter dans l’es­prit des gens » , sou­ligne Ch­ris­tophe Au­ber­ger, res­pon­sable tech­nique de For­ti­net pour la France. « Il faut donc contrô­ler tout ce qu’il se passe au ni­veau du SI, y com­pris les flux in­ternes. Ze­ro Trust est le mot que l’on met sur cette ap­proche. » Un pe­tit cô­té « buzz­word »

donc, mais qui re­couvre un vrai mo­dèle où l’on met de cô­té la sé­cu­ri­té du ré­seau en mode « bas­tion » – loin de nous l’idée d’af­fir­mer que cette pro­tec­tion est in­va­li­dée – au pro­fit de la sé­cu­ri­té des ma­chines, des uti­li­sa­teurs, des ap­pli­ca­tions et, en creux, de la don­née. « Peu im­porte l’en­droit où elle se trouve, une don­née a tou­jours un de­gré de sen­si­bi­li­té et il est né­ces­saire de dé­fi­nir un ni­veau de sé­cu­ri­té pour cette don­née » , pour­suit Ch­ris­tophe Au­ber­ger. « Avec le Ze­ro Trust, on parle aus­si de sé­cu­ri­té en pro­fon­deur : la dé­marche né­ces­site un

peu plus d’ef­forts puis­qu’il ne s’agit pas sim­ple­ment de mettre un garde- bar­rière entre deux zones, mais bien de sa­voir ce que sont les dif­fé­rentes don­nées et de mettre en place pour cha­cune le ni­veau de pro­tec­tion adé­quat. » En ré­su­mé, le Ze­ro Trust consiste à faire en sorte que chaque res­source, peu im­porte son em­pla­ce­ment, ne puisse être ac­cé­dée que par un uti­li­sa­teur – au sens large, il peut éga­le­ment être ques­tion D’API par exemple – lé­gi­time, au­then­ti­fié et sé­cu­ri­sé.

Et pour ce faire, on va com­men­cer par seg­men­ter, par par­ti­tion­ner, par com­par­ti­men­ter ces res­sources. « La sécurisati­on des ré­seaux se fait en les com­par­ti­men­tant. Le but, c’est vrai­ment d’ap­pli­quer une rup­ture pro­to­co­laire et d’avoir le contrôle sur les com­mu­ni­ca­tions entre ces ré­seaux » , pré­cise Oli­vier Jol­land, COO de Ber­tin IT. Ar­naud Gal­lut, Coun­try Ma­na­ger de Ping Iden­ti­ty France, abonde en ce sens : « La mi­cro- seg­men­ta­tion ap­porte d’énormes avan­tages au sein d’une ar­chi­tec­ture Ze­ro Trust en li­mi­tant de ma­nière si­gni­fi­ca­tive le rayon d’ac­tion d’une at­taque, ou ce qu’un pi­rate peut ac­cé­der en termes de res­sources lors­qu’une in­tru­sion a eu lieu. » Un exemple par­lant est ce­lui du fi­ref­wall. Si long­temps il a été per­çu en mode bas­tion, à sa­voir pro­té­geant le pé­ri­mètre de confiance contre les agres­sions ex­té­rieures, les fi­re­walls de seg­men­ta­tion, pro­té­geant et com­par­ti­men­tant les res­sources à l’in­té­rieur du pé­ri­mètre, ne sont certes pas ré­cents mais sont de plus en plus plé­bis­ci­tés. « Au­jourd’hui les res­pon­sables in­for­ma­tiques sont con­vain­cus qu’une ap­proche bas­tion est lar­ge­ment dé­pas­sée et les fi­re­walls de seg­men­ta­tion sont lar­ge­ment

« Le fon­de­ment d’une ar­chi­tec­ture Ze­ro Trust : In­ter­net est le trans­port l’usage est plus gra­nu­laire, l’uti­li­sa­teur n’ac­cé­dant plus à un ré­seau mais à une ap­pli­ca­tion » Yo­gi Chan­di­ra­ma­ni CTO Eu­rope – Zs­ca­ler

Cros­sing, la pas­se­relle de Ber­tin IT, vient faire le tam­pon entre dif­fé­rents ré­seaux afin no­tam­ment de confi­ner les at­taques en cas­cade.

Zs­ca­ler joue le rôle de fi­re­wall entre l’uti­li­sa­teur pas­sant par In­ter­net et les ap­pli­ca­tions de l’en­tre­prise.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.