En matière de confiance zéro et de sa mise en œuvre, on a l’impression que c’est le buzz qui prévaut. À commencer par les directives gouvernementales. Les commentaires faits en janvier par la Maison Blanche sur la stratégie fédérale de confiance zéro de l'Office of Management and Budget (OMB) pour toutes les agences et départements fédéraux étaient à la fois pragmatiques et ambitieux. Leur observation, tirée de la vulnérabilité de Log4j, résume bien la situation : « La stratégie de confiance zéro permettra aux agences de détecter, d'isoler et de répondre plus rapidement à ce type de menaces ». Sauf que, pour qu'une stratégie de confiance zéro fonctionne correctement, ceux qui la mettent en œuvre doivent comprendre de quoi il s’agit et sur quels principes de base elle repose.
La confiance zéro, vraiment nouvelle ?
Dans le cadre de la conférence Black Hat, Douglas McKee, ingénieur principal et directeur de la recherche sur les vulnérabilités chez Trellix, avait fait remarquer que, au-delà du buzz, la « défense en profondeur » et le « principe de l'accès le moins privilégié » étaient les vrais fondements de la confiance zéro. Les RSSI en charge des opérations métiers doivent collaborer et coordonner l'accès aux informations nécessaires pour que leurs collègues puissent mener à bien leur part du travail. Ce dont ils n'ont pas besoin, c'est d'un accès illimité et continu aux informations quand ce n'est pas nécessaire. Pour cela, il faut un suivi continu et dynamique des besoins dans tout l'écosystème de l'entreprise. Quand les personnes changent de poste, leurs besoins s'adaptent et l'accès qui leur est autorisé doit également s'adapter. Quand des personnes quittent l'entreprise, leur accès doit être supprimé. Cela semble facile à dire, mais apparemment difficile à réaliser pour un grand nombre d'entités. Comme l'a déclaré Joe Payne, le CEO de Code42, « laissez votre personnel faire son travail en toute confiance, mais avec un filet de protection tout autour, de sorte que s'il s'écarte des processus et des procédures - par exemple, charger un stockage sur le Web - il sera rappelé à l’ordre sur le champ ».
Pas de confiance zéro sans accès du moins privilégié
C'est là que le bât blesse. Si les RSSI n'appliquent pas la doctrine de l'accès le moins privilégié, il n'est pas possible de s'aventurer hors des limites, puisque l'accès est à la fois permis et autorisé. En tant que vieux briscard du contre-espionnage, je me dois de faire la remarque suivante : détecter le vol d'informations par un individu qui reste dans les clous est un exercice difficile. J'entends par là que celui qui suit tous les processus et procédures de l'entreprise, n'accédant qu'à ce à quoi il a naturellement accès, peut récolter en toute impunité.
Un problème de perception
La confiance zéro est plus complexe qu'une mode. Steve Malone, vice-président de la gestion des produits chez Egress, estime que « la confiance zéro est malheureusement mal perçue : elle est souvent incorrectement présentée par les fournisseurs, ce qui amène les acheteurs à mal la comprendre ». La chose la plus importante à comprendre concernant la confiance zéro, c’est qu'il ne s'agit pas d'un produit ! Il n’est pas possible d’acheter du zero trust auprès d'un fournisseur. La confiance zéro est une méthodologie de sécurité, un framework de technologies et de meilleures pratiques qu'une entreprise doit définir et adopter dans ses environnements IT au fil du temps. On peut comparer la confiance zéro à une sorte de paranoïa saine et permanente ! » M. Malone a raison. Une paranoïa saine et permanente permet à chacun de rester vigilant et de se concentrer sur la manière dont les informations sont accessibles, déplacées et stockées. Ce mode de pensée doit être adopté par les dirigeants jusqu'au collaborateur individuel. La mise en œuvre de la sécurité peut être soutenue par le RSSI et son équipe de gourous de l'infosécurité, mais c'est au niveau des opérations et de la production que le bât blesse.
Pas d’implémentation possible avec un seul produit
Malone poursuit : « Certaines entreprises ont du mal à mettre en œuvre une stratégie de confiance zéro. La plus grande erreur que je constate souvent, c’est que les équipes de sécurité comprennent mal ce que signifie une véritable « approche de confiance zéro ». Certaines entreprises pensent pouvoir atteindre la confiance zéro en utilisant des solutions de sécurité individuelles ici et là pour fournir une « solution rapide » au problème. Or, la confiance zéro ne se résume pas au déploiement de solutions individuelles ». M. Malone conclut : « Ne vous laissez pas tromper par cette dénomination très tape-à-l'œil. La confiance zéro n'est ni une mode, ni un produit unique. C’est une initiative de sécurité essentielle ». On ne saurait trop insister sur l'importance des personnes, des processus et de la technologie. Ils sont au cœur des principes de l'accès le moins privilégié et de la mise en œuvre stratégique de la défense en profondeur. Il n’existe pas d’implémentation universelle de la confiance zéro. Par contre, les principes de la confiance zéro existent, et la confiance est la clé du succès de la stratégie de confiance zéro. Comme le dirait la marine, sans confiance, nous sommes coulés.
Commentaire