Le zero trust, ou confiance zéro, est un concept de plus en plus populaire au sein des services informatiques. On vous dit tout sur cette notion pas si facile que ça à comprendre !
Selon la CISA (agence américaine de cybersécurité et de sécurité des infrastructures), le concept zero trust peut être défini comme suit : « une approche dans laquelle l’accès aux données, aux réseaux et à l’infrastructure est limité au strict nécessaire et où la légitimité de cet accès doit être vérifiée en permanence ».
Contrairement à l’approche traditionnelle s’appuyant sur une confiance implicite, le concept zero trust sous-entend que personne ne doit être aveuglement digne de confiance, que tout intervenant ou tout appareil peut constituer une menace dans certaines circonstances données.
Avec l’essor du cloud, du télétravail et de l’utilisation d’appareils personnels en environnement professionnel, il parait légitime pour les entreprises de se prémunir contre tout acte malveillant. En 2010, John Kindervag, analyste de Forrester Research, est ainsi le premier à introduire la notion de zero trust.
Le concept a inévitablement évolué en plus de dix ans, mais il s’appuie, selon un avis technique et scientifique de l’ANSSI (agence nationale de la sécurité des systèmes d’information), sur les impératifs suivants :
- l’accès aux ressources doit être accordé sur la base du besoin d’en connaître
- l’accès doit être donné sur la base du plus faible niveau de privilège nécessaire pour réaliser la tâche
- les demandes d’accès doivent être contrôlées de la même manière quelles que soient leurs origines (le périmètre « intérieur » ou « extérieur » de l’entité)
- la politique d’accès aux ressources doit être dynamique et prendre en compte un large nombre d’attributs (identités de l’accédant et de la ressource accédée, sensibilité des ressources sollicitées, analyse comportementale de l’utilisateur, horaires d’accès, etc.)
- l’entité doit veiller à la sécurité de tous ses actifs à l’occasion des demandes d’accès et de manière récurrente durant l’usage
- les authentifications et autorisations d’accès aux ressources doivent faire l’objet de réévaluations régulières*
Le concept zéro trust peut paraître complexe à mettre en œuvre, puisqu’il doit couvrir tous les aspects des systèmes informatiques utilisés. Sa mise en place doit donc nécessairement être progressive, avec notamment une meilleure gouvernance des identités, un cloisonnement des ressources plus granulaire, des moyens d’authentification optimisés, un renforcement des moyens de détection, etc.
Cette approche s’ajoute bien entendu aux moyens de contrôle traditionnels tels que le chiffrement, les pare-feux ou les VPN.
