Et pourquoi le président Biden s’est-il emparé du sujet ?

Les réseaux d’entreprises se sont développés il y a un quart de siècle dans l’optique de permettre aux collaborateurs d’accéder au maximum de ressources digitales de leur organisation, simplement, et à partir de tous lieux. Différents intranets et extranets ont permis d’offrir aux employés et partenaires, l’accès à une vaste gamme d’informations et d’outils, pour leur faciliter la vie et ainsi augmenter l’efficacité de l’organisation (ERP, CRM, applications métier, SI RH…). Les droits d’accès à ces outils étaient plus ou moins bien gérés, avec des fichiers internes sensibles qui pouvaient se retrouver dans des mauvaises mains, mais la cybercriminalité organisée est apparue plus tardivement.

Les risques de cybersécurité sont aujourd’hui extrêmement forts, autant en termes de cyberattaque, pour nuire ou rançonner l’organisation, ou pour lui dérober des données stratégiques, si possible sans être découvert. Les pirates se sont professionnalisés, et c’est devenu une criminalité organisée, avec des spécialistes de chaque domaine qui maitrisent bien leur métier et qui innovent en permanence. Pas d’autre choix pour une entreprise que de se doter d’un SMSI (système de management de la sécurité de l’information) robuste et incluant les meilleures pratiques. Même avec des murailles très hautes et sécurisées, le risque zéro n’existe pas, toute organisation subit des attaques et statistiquement, certaines aboutiront un jour. Le seul objectif réaliste est que ce soit à une fréquence la plus faible possible et que les dégâts soient les plus limités possibles pour l’activité de l’organisation.

Néanmoins, une organisation est composée de centaines, de milliers voire de centaines de milliers de postes de travail, auxquels s’ajoutent un grand nombre de serveurs et d’objets communicants : la « surface d’exposition » de toutes les organisations s’est considérablement accrue, et ce n’est que le commencement. Les collaborateurs ont désormais, presque tous, la possibilité de travailler de chez eux, et d’accéder à l’essentiel de leurs outils de productivité sur leur mobile, de plus en plus souvent avec leurs propres appareils (« Bring Your Own Device ») : un véritable casse-tête pour les responsables de la sécurité de l’information. Ce contexte est devenu une réalité incontournable depuis le premier confinement en mars 2020, qui marque le début de l’ère informatique où le Zero Trust est devenu désormais « mainstream ».

Le Zero Trust et la fin de l’intranet

Le Zero Trust est parfois appelé Zero Trust Access ou Zero Trust Network Access (ZTNA) : un principe de sécurité qui part du principe que n’importe quel accès doit être soumis aux règles de sécurité les plus strictes. L’intranet d’une organisation devient donc l’internet : pour se connecter à un fichier ou à un outil métier de l’entreprise, même depuis le réseau local ou le Wifi interne, chaque utilisateur doit s’authentifier comme s’il était chez lui.

Aucune organisation ne peut écarter la possibilité que l’accès d’un collaborateur soit malveillant : cela peut être lié à un matériel volé, un chantage, ou une personne qui s’est fait recruter spécifiquement pour nuire à l’organisation. Même depuis le siège de l’organisation, il faut s’authentifier de la façon la plus robuste possible. Si certains rechignent à sortir leur mobile pour accéder à leurs mails, le MFA ou « Multifactor Autentication » et autres outils d’identification robustes deviennent inévitables. Tout professionnel doit s’y faire, comme il s’est fait à ce qu’on inspecte ses bagages pour prendre l’avion.

Au-delà des utilisateurs, le ZTNA a des impacts sur l’ensemble du réseau local d’entreprise (LAN, Wifi), et surtout sur la connectivité avec les sites distants (WAN), y compris dans les solutions intelligentes de gestion des réseaux, les SD-WAN, et la sécurité périmétrique (Firewalls). L’implémentation du Zero Trust est un vaste chantier qui implique la totalité de la connectivité et des applicatifs. Par exemple, les centaines d’applications anciennement hébergées dans un datacenter qui ont été simplement migrées sur un cloud public (en “Lift and Shift”), ont souvent une couche d’authentification qui n’a pas été modifiée, ce qui implique un vaste chantier de “refactoring” pour les rendre compatibles ZTNA.

Ce n’est pas une fin en soi, et cela ne met pas à l’abri des intrusions, mais cela limite l’exposition d’une organisation que d’avoir pour politique de n’afficher que les informations légitimes (droit d’en connaitre) à une personne authentifiée sur un terminal authentifié.

Pourquoi et comment Joe Biden s’est emparé du sujet ?

En mai 2021, suite à de nombreuses attaques impactantes sur des infrastructures fédérales, Joe Biden a donné une forte impulsion en publiant son célèbre “Executive Order on Improving Nation’s Cybersecurity”, qui reprend les principes du Zero Trust. Cela sera décliné dans plusieurs documentations ultérieures précises, en dotant les administrations de $11 milliards de budget, et en fixant des délais fortement contraints : 2024 pour l’essentiel des administrations, 2026 pour le département de la Défense.

Le plan de mise en place du Zero Trust est au centre de toutes les attentions aux Etats-Unis. Pas d’autres choix alors pour les entreprises privées que de s’y mettre également, d’autant que ce principe s’applique aux nombreuses collaborations qu’elles ont avec les organisations publiques. C’est un challenge culturel, technologique et organisationnel considérable qui s’effectue à marche forcée, comme le pointe David Chow, ancien DSI du Ministère américain du logement (U.S. Department of Housing and Urban Development).

La (re)segmentation : faire et défaire, c’est toujours travailler

Les réseaux d’entreprise qui avaient été conçus initialement pour être totalement ouverts n’ont d’autre choix que de totalement se resegmenter. Les machines physiques ou virtuelles, et les applicatifs ne doivent être accessibles que des utilisateurs qui en ont strictement besoin. Si une filiale est l’objet d’une intrusion réussie, via une machine obsolète, un serveur non « patché » des correctifs de sécurité, ou du fait de l’erreur d’un collaborateur, il est impensable que les autres parties de l’organisation soient contaminées ou volées.

Là encore, le chantier de re-segmentation est protéiforme et il a des impacts culturels. Les murailles internes des organisations qui étaient tombées au début des années 2000 sont en train de se reconstruire et de se refermer.

C’est relativement facile pour des datacenters qui sont physiquement hébergés sur des sites distants. C’est plus subtil pour des organisations dont les applicatifs sont hébergées sur le même cloud (AWS, Azure, OVH, GCP…). Car qui dit Cloud ne dit pas « nativement » sécurisation, il est important de bien intégrer qu’il peut être l’objet d’une intrusion réussie, ce qui est le cas des milliers de fois par an. Là encore, le principe de segmentation s’applique, ce qui peut être contre culturel dans de nombreuses entreprises. Le contrat Cloud est généralement massifié entre les filiales, de façon à obtenir le meilleur tarif possible (ou les meilleures remises) : la stricte séparation des « VM » (machines virtuelles) entre les organisations n’est pas toujours simple.

Il en va de même pour l’accès aux applications métier comme les ERP (Enterprise Resource planning tels que SAP, Peoplesoft, Oracle…), aujourd’hui très structurantes dans la gestion des grandes organisations. Il est rare que l’ERP d’une organisation subisse une attaque réussie, mais c’est pourtant un de ses points de vulnérabilité majeur, d’autant que l’ERP d’une entreprise est souvent lié en temps réel à de nombreux organisations tierces (fournisseurs et clients). En cas d’attaque ou de dysfonctionnement il y aura forcément quelques heures de pagaille (ou plus) pour rétablir un fonctionnement normal. Raison de plus pour bien segmenter les équipes et les domaines lors de la mise en œuvre de l’ERP : aucune raison qu’un dysfonctionnement d’une business unit impacte les autres.

Lorsque l’on pousse la démarche de segmentation jusqu’au bout de sa logique, on peut structurer les accès du réseau pour ne donner à chaque utilisateur strictement accès qu’à l’information dont il a besoin, à l’exception de tout autre. Cela s’appelle la micro-segmentation, et c’est un des principes de la démarche Zero Trust.

Ces chantiers doivent être expliqués et accompagnés, qui doivent disposer de moyens adéquats sur plusieurs années, et d’un programme de « Change management ».

Pas de difficulté théorique mais des difficultés pratiques

Si vous n’êtes pas familier du sujet et que vous êtes arrivé au bout de ces lignes, vous vous dites probablement que tout cela semble bien naturel et que vous ne voyez pas le problème. La question est toujours la même lorsqu’il s’agit de Cybersécurité  : ZTNA et re-segmentation sont des chantiers inévitables qui exigent des moyens significatifs et des ressources sensibles. Or toute organisation a déjà une « roadmap » très chargée, avec de nombreux chantiers prioritaires parfois en retard. Le principal risque est de les remettre à plus tard et que ce soit alors trop tard. Les freins culturels sont aussi des puissants leviers de l’inertie… sauf dans les organisations qui viennent de subir une forte attaque.

La bonne nouvelle, c’est qu’une fois les projets de mise en place effectués, ce sont des principes simples et relativement peu couteux à gérer au quotidien : ces principes directeurs sont faciles à décliner au jour le jour. A certains égards, ils permettent de se faciliter la vie, non seulement en renforçant la robustesse de son organisation, et en se débarrassant de certaines problématiques casse-tête comme par exemple la gestion des accès privés (VPN).

Le Zero Trust et la segmentation constituent d’importants challenges organisationnels, technologiques et culturels. Ils ont commencé à s’inscrire au coeur des Politiques de Sécurité des Systèmes d’Information (PSSI), dont ils sont des maillons critiques, ils vont s’y ancrer en 2024 et au-delà. Nous ne sommes qu’au début du chemin, et l’échange de meilleures pratiques entre les organisations s’avère comme toujours un important accélérateur du succès.

Pour aller plus loin, outre les hyperliens de cet article, nous conseillons la lecture de « Passez au Zero Trust dès maintenant » de Henri Pidault