IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Pourquoi le modèle de confiance zéro doit remplacer le modèle "Faire confiance, mais vérifier"
Par Sascha Giese, Head Geek, SolarWinds

Le , par Sascha Giese

139PARTAGES

6  1 
On dit qu'il faut des années pour établir une confiance et une seconde pour la détruire. Mais si vous souhaitez sécuriser votre entreprise, il est préférable de ne jamais faire preuve de confiance.

Le concept de la sécurité zéro confiance n’est pas un phénomène nouveau. Depuis que John Kindervag, qui travaillait alors pour Forrester Research, a créé le modèle il y a une dizaine d’années, ce dernier a gagné en popularité dans les milieux de la sécurité informatique et est devenu un mot à la mode dans le secteur. Il a même été adopté par des entreprises comme Google et Gartner pour constituer la base de leurs modèles BeyondCorp et LeanTrust, respectivement.

Pourtant, le modèle de confiance zéro n’est pas réservé aux grandes entreprises internationales et, à l’heure actuelle, alors que les cyberattaques sont à la hausse, les entreprises ne peuvent pas se permettre de se contenter de paroles. Si les entreprises, quelle que soit leur taille, veulent se protéger comme il convient et assurer la sécurité de leurs données, elles doivent changer de mentalité pour ce qui est la sécurité et adopter une approche de confiance zéro.


Sascha Giese, Head Geek, SolarWinds

Abandon du modèle « Faire confiance, mais vérifier »

Avant le modèle confiance zéro, nous avions le modèle « Faire confiance, mais vérifier ».

Ce modèle traditionnel de sécurité informatique fait une distinction entre le trafic interne « sécurisé » et le trafic externe « dangereux ». Il se concentre sur la robustesse des pares-feux de son périmètre et s’assure que le réseau est exempt de trafic externe non-autorisé et non-fiable. Il s’intéresse particulièrement au trafic client-serveur (également appelé trafic nord-sud) et suppose que toute activité au sein d’un réseau est sécurisée, car le pare-feu aura bloqué tous les acteurs malveillants externes.

Le problème que présente ce raisonnement, c’est qu’il n’est plus fondé (s’il l’a jamais été). Le trafic application-application (également appelé trafic est-ouest) représente également une menace de taille, mais dans le cadre du modèle « Faire confiance, mais vérifier », toute activité malveillante dans cette direction risque de ne pas être détectée pendant un moment. Cela s’explique par le fait que le trafic application-application ne quitte pas le datacenter. Il est donc peut probable qu’il se heurte à un pare-feu de périmètre qui l’empêchera de progresser ou qui déclenchera une alarme.

Cette brèche dans la protection a toujours fragilisé le modèle de sécurité traditionnel, mais ce problème s’aggrave. L’augmentation du télétravail a entraîné l’introduction d’une foule de nouveaux appareils sur les réseaux des entreprises, lesquels ont été considérablement développés, mais également de nouveaux points de vulnérabilité.

La situation a été encore aggravée par l’avènement de la technologie cloud et la popularité croissante des clouds publics ou hybrides. Les pares-feux de périmètres ne peuvent pas fonctionner dans ce contexte. Ainsi, les défenses des entreprises utilisant ces environnements sont compromises. Puisque les clouds publics et hybrides introduisent de nouvelles tendances de trafic et une infrastructure partagée, ils brouillent la distinction entre le trafic interne « sécurisé » et le trafic externe « non sécurisé », ce qui génère des situations chaotiques en matière de sécurité. Il est évident qu’une nouvelle approche est nécessaire.

La philosophie de la confiance zéro

Cette nouvelle approche est le modèle de confiance zéro. Contrairement au modèle « Faire confiance, mais vérifier », cette nouvelle approche suppose par défaut que toute activité sur le réseau est suspecte. Les demandes internes ne sont pas privilégiées par rapport aux demandes externes et rien n’est considéré comme fiable ou privilégié. Parmi les fonctions de sécurité qui étayent cette approche stratifiée, on compte l’authentification à plusieurs facteurs, l’authentification avec privilège minimum et les contrôles stricts des droits d’accès.

Même si de nombreuses organisations appliquent déjà certaines de ces tactiques de sécurité, c’est leur perception de la situation qui prime. Pour se protéger efficacement, les entreprises doivent comprendre qu’elles se mettent en danger en faisant preuve de confiance et qu’elles doivent adopter une approche confiance zéro dans tous les domaines de leur environnement informatique.

Adoption du modèle confiance zéro

Plusieurs méthodes permettent d’adopter une approche confiance zéro, mais en voici quelques-unes que les entreprises peuvent envisager.

Tout d’abord, il convient d’appliquer des autorisations basées sur le privilège minimum, lesquelles permettent aux utilisateurs d’accéder uniquement au nombre minimum de comptes et d’outils nécessaires à l’exécution de leur travail. Le trafic réseau à destination des comptes est ainsi limité, tout comme les dommages susceptibles de résulter d’une éventuelle attaque. L’authentification à plusieurs facteurs reste bien évidemment essentielle. Cette année, l’attaque Colonial Pipeline a pu aboutir suite à la violation d’une protection VPN héritée qui ne nécessitait que l’authentification à facteur unique. Il va de soi que les entreprises doivent pouvoir vérifier les comptes et leurs autorisations rapidement et avec précision, puis signaler les changements et les écarts par rapport aux normes établies. Comme c’est le cas avec tous les autres problèmes qui touchent l’environnement informatique, vous ne pouvez pas corriger ce que vous ne voyez pas.

Les entreprises doivent également envisager la micro segmentation, c’est-à-dire un type de contrôle d’accès qui leur permet de séparer des groupes d’applications et des charges de travail. Elle contribue à limiter au maximum tout dommage éventuel résultant d’une violation et vous pouvez l’appliquer au trafic est-ouest. En outre, si une entreprise exploite des environnements cloud publics ou hybrides, elle devrait envisager un périmètre défini par logiciel. Il s’agit d’un type de micro-segmentation conçue pour les environnements cloud, qui permet de masquer des actifs ou des terminaux dans un « cloud opaque » afin de les rendre invisibles pour tous les utilisateurs à l’exception de ceux qui doivent les utiliser et qui sont autorisés à y accéder.

Pour terminer, la sécurité zéro confiance repose essentiellement sur la surveillance permanente et intelligente du trafic réseau. Les logiciels intelligents d’analyse et de collecte d’informations aident les équipes informatiques à assurer un suivi assidu de l’activité du réseau et à identifier rapidement tout comportement suspect. Les entreprises peuvent ainsi repérer l’activité anormale des cybercriminels qui contournent le pare-feu avant de faire des ravages.

La sécurité zéro confiance peut sembler radicale, mais elle est essentielle si les entreprises veulent se protéger au mieux. Avec l’avènement de nouvelles technologies qui présente aux acteurs malveillants de nouvelles possibilités d’attaque, l’augmentation du télétravail qui aggrave les problèmes de sécurité et celle des violations, puis de l’activité criminelle en ligne, le modèle « Faire confiance, mais vérifier » est loin d’être suffisant. Le seul moyen pour les entreprises de protéger tout le monde, c’est de ne faire confiance à personne.

A propos de SolarWinds :

SolarWinds est un spécialiste mondial des solutions d’observabilité et de gestion des services informatiques, des performances des applications et des bases de données. Depuis plus de 20 ans, la société aide ses clients à accélérer la transformation de leur activité grâce à des solutions simples, puissantes et sécurisées conçues pour les environnements informatiques hybrides.

Source : SolarWinds

Et vous ?

Trouvez-vous cette analyse pertinente ?

Voir aussi :

Cybersécurité : le « Zero Trust », l'authentification multifacteur, l'adoption du cloud et un plan d'intervention solide contre les ransomwares, font partie des recommandations de Yubico pour 2022

75 % des organisations reconnaissent l'importance du zero trust en matière de cybersécurité, mais seules 14 % d'entre elles ont pleinement mis cette approche en œuvre, selon One Identity

L'approche Zero Trust est essentielle pour réduire les risques de cyberattaque réussie pour toutes les organisations, Par Anthony Moillic, Directeur Ingénierie des solutions chez Netwrix

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de fatbob
Membre éclairé https://www.developpez.com
Le 25/08/2022 à 10:36
La confiance zéro, c'est bon pour l'ambiance.

Par ailleurs, cela revient à interdire la créativité puisque la créativité, c'est justement le domaine de l'imprévu.
Donc si on empêche tout le monde de faire autre chose que ce qui est prévu, personne ne pourra plus faire preuve de créativité.

Pour quelques fauteurs de troubles, on condamne une grande majorité de gens honnêtes à travailler avec une main attachée dans le dos.
L'auteur semble oublier que bien souvent, la sécurité est antinomique de la liberté. En militant pour une confiance zéro, il rêve ouvertement d'une généralisation du régime chinois.

Ça fait rêver... Un monde où il faudrait passer des contrôles dignes des aéroports à chaque fois qu'on change de bureau, où les ordinateurs ne disposeraient plus de la possibilité de brancher des supports externes, où les sites accessibles sur internet seraient limités à une liste blanche, où toutes les conversations téléphoniques seraient enregistrées et analysées à la volée par des IA super performantes...
Dans cette direction, il n'y a aucune limite.
5  0 
Avatar de A3gisS3c
Membre éprouvé https://www.developpez.com
Le 25/08/2022 à 11:06
Ingénieur sécurité depuis plus de 5 ans, j'avais fait un peu de remous à l'époque en disant que je considérais chaque employé comme un traître potentiel d'un point de vue professionnel (enfin ceux en dehors de mon cercle)

A vrai dire la règle d'or de la programmation est: ne JAMAIS faire confiance à un utilisateur, il peut tordre ton programme dans tous les sens.

En cyber-sécurité c'est la même chose: ne JAMAIS faire confiance à un collaborateur, que son erreur soit intentionnelle ou non.

C'est à l'ingénieur cyber-securité de contrôler son réseau sans que cela ne soit pas contraignant pour le collaborateur.

Et quand je parle de 0 trust, je ne dis pas d'avoir un regard méfiant ce n'est absolument pas ça: au contraire je m'entends et je rigole avec tout le monde mais quand je suis derrière mon poste, la ce ne sont que des logins, des IP, etc... que je dois controler.
5  0 
Avatar de pcdwarf
Membre éprouvé https://www.developpez.com
Le 25/08/2022 à 2:59
Oui, bah moi, quand je lis ce genre de titre, je me dis que c'est tout le contraire : que le "confiance zéro" c'est malheureusement la norme actuelle et que c'est la cause d'une foule de problèmes.
Quand on se défie ouvertement des gens, il est normal qu'ils se défient de vous, voir il est normal que l'idée de vous trahir à la première occasion leur vienne puisque pour passez votre temps à le leur suggérer.
Faire confiance, ça paie.
3  0 
Avatar de
https://www.developpez.com
Le 24/08/2022 à 14:27
Bonjour

Pourquoi le modèle de confiance zéro doit remplacer le modèle "Faire confiance, mais vérifier", par Sascha Giese, Head Geek, SolarWinds

Trouvez-vous cette analyse pertinente ?
C'est tiré du dicton de Ronald Reagan ? "Faire confiance, mais vérifier" On dirait les services secret du KGB qui se surveillent eux même ... pour surveiller une personne
1  0 
Avatar de olaxius
Membre éclairé https://www.developpez.com
Le 29/09/2022 à 11:04
Théorie théorie quand tu nous tiens ...
Ces gens là n'ont jamais travaillé dans les pme ou tout le monde se refile les identifiants et mots de passe pour ne pas rester bloqué quand machin n'est pas là ...
Ya ka faut kon ...
1  0 
Avatar de thamn
Membre averti https://www.developpez.com
Le 08/10/2022 à 18:32
Attendez la, SolarWinds c'est pas cette entreprise qui a été victime d'une enorme breche en 2020?
Ah mais si si c'est bien eux: https://en.wikipedia.org/wiki/2020_U...nt_data_breach
Ah j'imagine qu'on peut donc leur faire confiance quand ils nous parlent de sécurité
1  0 
Avatar de Leruas
Membre éclairé https://www.developpez.com
Le 01/09/2022 à 22:48
Aucune confiance en SolarWinds en tout cas après ce qu'ils ont fait l'année dernière

la société aide ses clients à accélérer la transformation de leur activité grâce à des solutions simples, puissantes et sécurisées
0  0 
Avatar de Gluups
Membre émérite https://www.developpez.com
Le 20/07/2023 à 16:15
Si je suis le raisonnement, ça veut dire que le Single Sign On, il va falloir oublier ?

On risque d'être obligés de réduire la proportion de Mesdames Michu, alors ?

Hé Georges, c'est quoi le mot de passe du boss, déjà ?
Avec un H majuscule, ou pas ?
Quoi je suis sourd, t'as qu'a venir plus près ...
0  0