Le vénérable VPN, qui pendant des décennies a fourni aux travailleurs distants un tunnel sécurisé pour accéder au réseau de l'entreprise, serait en voie d'extinction. Les entreprises migrent vers un environnement de sécurité plus agile et granulaire baptisé zero trust, mieux adapté au business du monde numérique d'aujourd'hui. Les réseaux privés virtuels font partie d'une stratégie de sécurité basée sur la notion de périmètre réseau : les employés réputés de confiance y accèdent, les autres non. Mais ce modèle ne fonctionne plus dans un environnement métier moderne où les employés en situation de mobilité accèdent au réseau depuis une variété de localisation, aussi bien dedans qu'en dehors. Sachant que les actifs de l'entreprise ne résident plus seulement derrière les murs d'un datacenter interne mais dans des environnements multicloud.
Gartner prédit que d'ici 2023, 60% des entreprises réduiront leurs ressources VPN en faveur d'un accès réseau zero trust qui peut prendre la forme d'une passerelle ou d'un broker qui authentifie aussi bien le terminal et l'utilisateur avant d'autoriser un accès vigilant basé sur le rôle et le contexte. Il existe une variété de failles associées à une approche périmétrique de la sécurité. Cette dernière ne répond pas aux attaques de l'intérieur et ne fait pas un bon travail au niveau des fournisseurs, tierces parties et partenaires logistiques de l'entreprise. Si un attaquant vole les identifiants VPN d'une personne, il peut accéder au réseau et se balader dedans librement. Sachant qu'au fil du temps ils sont devenus plus complexes et difficiles à gérer. « Il y a beaucoup de souffrance autour des VPN », a indiqué Matt Sullivan, architecte senior sécurité chez Workiva, éditeur de logiciels basé à Ames dans l'Iowa. « Ils sont bancals, dépassés, demandent beaucoup de gestion, et ils sont un peu dangereux, franchement ».
La stratégie de la méfiance absolue
Plus fondamentalement encore, n'importe qui s'intéressant au niveau de sécurité de l'entreprise aujourd'hui comprend que tout ce qui peut être fait maintenant ne marche pas. « Le modèle périmétrique de la sécurité échoue de façon catégorique », indique Chase Cunningham, analyste principal chez Forrester. « Et pas à cause d'un manque d'effort ou d'investissement, juste parce qu'il est construit sur un château de cartes. Si une chose échoue, tout devient victime. Toutes les personnes à qui j'en ai parlé le pense ». Chase Cunningham est monté dans le train du zero trust chez Forrester où l'analyste Jon Kindervag, désormais à Palo Alto Networks, a développé le concept de sécurité zero trust en 2009.
L'idée est simple : ne faire confiance à personne. Vérifier tout le monde. Imposer un contrôle d'accès strict et des règles de gestion d'identités qui restreignent l'accès des employés aux ressources dont ils ont besoin pour faire leur travail, rien de plus. Garret Bekker, analyste principal chez 451 Group, a expliqué que le zero trust n'est pas un produit ou une technologie ; c'est une façon différente de penser la sécurité. « Les individus sont toujours en train de comprendre ce que cela signifie. Les clients sont confus et les fournisseurs sont incohérents sur ce que le zero trust signifie. Mais je crois que cela a le potentiel de changer radicalement la manière dont la sécurité est assurée ».
Les éditeurs de sécurité dans le bain du zero trust
Alors que l'on parle du framework zero trust depuis une dizaine d'années et que ce dernier a généré quelque peu d'intérêt, cela fait seulement près d'un an que l'adoption dans les entreprises a débuté son décollage. Selon une récente étude de 451 Group, seulement environ 13% des entreprises ont commencé à s'engager sur la voie du zero trust. L'une des principales raisons à cela est que les fournisseurs ont mis du temps à s'y mettre. Un des jalons du zero trust remonte à 2014 quand Google a annoncé son initiative BeyondCorp et investi du temps et de l'argent pour construire sa propre implémentation zero trust. Mais les entreprises ont été incapables de le suivre parce qu'elles... ne sont pas Google. Mais maintenant, le zero trust commence à monter en puissance. « La technologie est finalement dans le radar », indique Chase Cunningham. « 5 à 7 ans auparavant nous n'avions les capacités qui auraient permis ces types d'approches. On commence à voir que c'est possible ».
Aujourd'hui, les vendeurs viennent sur le terrain du zero trust avec plusieurs angles d'attaque. Par exemple, la dernière étude Forrester Wave, appelée maintenant zero-trust extended ecosystem (ZTX), inclut plusieurs acteurs. Le fournisseur de pare-feux dernière génération Palo Alto Networks, le gestionnaire de services managés Akamai Technologies, le spécialiste en gestion des identités Okta, le leader du logiciel Symantec, Illumio positionné sur la micro-segmentation et l'éditeur en gestion des accès à privilèges Centrify. Loin d'être hors jeu, Cisco, Microsoft et VMware ont aussi des offres zero trust. Selon Forrester, Cisco et Microsoft sont classés parmi les acteurs forts et VMware est en embuscade.
Se pose maintenant une question. Comment les entreprises qui ont consacré des millions d'euros pour construire et renforcer leurs défenses en sécurité doivent passer la vitesse supérieure en adoptant un modèle où tout le monde est menacé ? Un modèle dans lequel, du directeur exécutif au sein d'un quartier général au prestataire travaillant pour Starbucks, une méfiance est égale pour tous.
Comment entrer pas à pas dans un modèle de sécurité zero trust
La première et évidente recommandation est de commencer petit. Ou comme l'indique Chase Cunningham d'essayer de faire bouillir un dé à coudre d'eau plutôt que l'océan entier : « Pour moi, la première chose serait de faire attention aux fournisseurs et aux tierces parties », en trouvant un moyen de les isoler du reste du réseau. Une position que partage l'analyste du Gartner Neil MacDonald. Ce dernier identifie trois cas d'usage émergents pour le zero trust : des nouvelles apps pour les partenaires supply chain, des scénarios de migration cloud et du contrôle d'accès pour les développeurs logiciels.
Le contrôle d'accès pour des groupes DevOps et opérations IT est exactement ce que Matt Sullivan a implémenté chez Workiva, une société dont l'infrastructure informatique est entièrement basée sur le cloud. L'architecte senior en sécurité recherchait une façon plus efficace de donner à ses équipes un accès cloud pour du développement spécifique et des instances intermédiaires. Il a jeté son VPN traditionnel en faveur d'un contrôle d'accès zero trust de ScaleFT, une start-up récemment rachetée par Okta. Et Matt Sullivan d'indiquer que désormais lorsque les nouveaux employés ont un ordinateur portable, ce dernier a besoin d'être explicitement autorisé par l'administrateur. Pour accéder au réseau les employés se connectent à une passerelle centrale qui applique les règles appropriées en gestion des identités et accès. « Zero trust est un concept qui est venu en retard », indique Matt Sullivan. « C’est clairement la bonne façon de faire, mais il nous a fallu près de 10 ans de gémissements et de plaintes pour arriver à des solutions prêtes à l'emploi ».
Du zero trust centré sur le réseau ou l'identité
Selon Garret Bekker, le marché fusionne autour de deux camps : un groupe de fournisseurs centrés sur le réseau qui s'active sur la segmentation et les pare-feux applicatifs, et un autre sur l'identité qui penche vers le contrôle d'accès au réseau et la gestion des identités.
Prenant le chemin du zero trust orienté réseau, Robert LaMagna-Reiter, CISO du fournisseur de services managés FNTS à Omaha dans le Nebraska, a revu son infrastructure en utilisant une pile de sécurité zero trust de Palo Alto. Ce dernier a déclaré qu'il avait eu une opportunité unique il y a quelques années de commencer d'une feuille blanche avant de créer la prochaine itération de la plateforme de services cloud de l'entreprise pour qu'elle puisse s'étendre au monde du multicloud. « Zero trust nous a permis d'appliquer de façon plus granulaire ce que les individus faisaient au jour le jour », a indiqué Robert LaMagna-Reiter. Il attribue le succès de l'initiative zero trust au travail préparatoire de fond qui a été fait pour bien comprendre le rôle des employés, identifier les actifs et applications dont les employés ont besoin pour faire leur travail et surveiller le comportement des employés sur le réseau. Il a commencé avec un déploiement limité dans une application non critique de support et construit la démarche lentement, avec le soutien des responsables métier de la société. « Nous montrons aux gens que ce n’est pas une décision technologique, mais une stratégie d'entreprise », a-t-il dit.
La société canadienne basée dans l'Ontario spécialisée dans la distribution d'énergie, Entegrus, a également adopté du zero trust. Mais cette fois orienté sur le contrôle d'accès réseau. Avec une force de travail mobile en maintenance et réparation, des techniciens, des compteurs, représentants de services répartis dans une vaste zone géographique et équipés de plusieurs appareils, Dave Cullen savait qu'il avait une grande surface d'attaque à protéger. « Nous devions reconstruire notre réseau », lance le responsable SI d'Entegrus. Une nécessité sur laquelle il s'est appuyé pour s'ouvrir au zero trust. Dave Cullen a alors décidé de travailler avec PulseSecure pour déployer des outils de contrôle à distance couplés de manière transparente pour permettre d'appliquer des règles lorsque les employés se connectent au réseau. « Nous l'avons amené lentement », indique Dave Cullen qui a opté pour une approche progressive passant par des projets pilotes et des modifications dans un environnement de laboratoire avant un déploiement terrain. La priorité absolue était de s'assurer que l'infrastructure zero trust était transparente pour les employés. « Pour moi zero trust concerne davantage les processus métier connectés, les flux de données et les besoins de l'entreprise. Il ne suffit pas d’utiliser un pare-feu et une segmentation du réseau. En fait, il s’agit davantage de réagir de manière dynamique à un environnement en constante évolution », ajoute Dave Cullen. De son côté Chase Cunningham reconnaît que le passage au zero trust est quelque peu pénible. Mais il décrit les options de la manière suivante: « Préfériez-vous souffrir un peu maintenant et faire les choses correctement, ou souffrir à long terme et disparaître avec la prochaine notification de méga échec ? ».
Zero trust : préparez-vous pour un voyage inexploré et sans fin
Pour ceux qui envisagent d'embrasser le zero trust, voici deux points à retenir. Premièrement, il n'y a pas de feuille de route de déploiement zero trust, il n'y a pas de normes de l'industrie et il n'y a pas d'alliances fournisseurs, du moins pas encore. Vous devez donc à peu près tracer votre propre route. « Il n'y a pas de stratégie singulière. Il y a 100 façons d'y aller. C’est ce qui vous donne le maximum de contrôle et de visibilité avec un minimum de résistance », déclare Chase Cunningham. Deuxièmement, le voyage n'est jamais terminé. Et Robert LaMagna-Reiter de souligner : « Il n'y a jamais d'état terminé. Il n'y a pas de définition claire du succès ». Plus que jamais zero trust est un processus continu qui aide les entreprises à faire face aux conditions changeantes de leur activité.