Zero trust
Le modèle de cybersécurité Zero Trust (soit : aucune confiance), ou architecture zero trust, ou accès au réseau zero trust, parfois défini comme sécurité sans périmètre, définit une approche de design numérique et d'installations de systèmes d'information.
Le concept découle d'un principe simple : never trust, always verify (ne faites aucune confiance, vérifiez toujours) qui implique qu'aucun appareil connecté ne doit recevoir de confiance par défaut, même s'il est connecté par un réseau ayant permission, et même s'il a déjà obtenu des permissions auparavant.
Historique
L'expression zero trust apparaît pour la première fois dans la thèse de doctorat en sécurité informatique de Stephen Paul Marsh en sécurité informatique à l'Université de Stirling. Il aborde pour la première fois la notion de confiance "sous forme mathématique, transcendant les aspects humains comme la morale, l'éthique, la légalité, la justice et le jugement"[1].
En 2004, le défi pour définir le périmètre du système d'information d'une organisation a été mis en lumière par le Jericho Forum de cette année-là , lors d'un débat sur le thème du moment la dé-périmètration.
En 2009, Google a déployé une architecture zero trust qu'il a nommée BeyondCorp.
En 2010, l'expression « modèle zéro trust » a été utilisé par l'analyste John Kindervag, travaillant chez Forrester Research, pour désigner des programmes de cybersécurité et des contrôles d'accès plus stricts au sein des organisations et entreprises[2] - [3] - [4].
Recommandations
Aux États-Unis, les travaux entamés en 2018 par les chercheurs en cybersécurité du NIST et du National Cybersecurity Center of Excellence ont conduit à la publication d'un standard : SP 800-207, Zero Trust Architecture[5] - [6], définissant le zero trust comme « un ensemble de concepts et d'idées permettant de réduire l'incertitude dans l'accès sur demande à des décisions informatiques dans les systèmes et services informatiques en cas de compromission du réseau ».
En France, l'ANSSI incite à une remise en cause de la « confiance implicite » accordée traditionnellement dans le modèle périmétrique, en particulier dans un contexte où le recours étendu au cloud et le bring your own device rendent plus difficile le tracé des contours du périmètre du SI[7].
Au Royaume-Uni, le United Kingdom National Cyber Security Centre (NCSC) recommande l'architecture zero trust pour tout nouveau déploiement IT, en particulier lorsqu'il est prévu un recours significatif aux services cloud[8].
Stratégies
Une stratégie de cybersécurité zero trust doit inclure a minima ces trois éléments :
- une politique d'utilisation d'identité améliorée et des contrôles d'accès réglementés
- l'usage de micro-segmentation
- l'usage de réseaux superposés et de périmètres définis par le software plutôt que le hardware.
Une approche alternative, notamment prônée par le NCSC britannique, est d'identifier les principes clés qui constituent une architecture zero trust :
- usage d'une source fort et unique de l'identité utilisateur
- authentification de l'utilisateur
- authentification de la machine
- contexte additionnel, comme la conformité à des directives et la "santé" des appareils
- règles d'accès pour une application en particulier
- règles d'accès à l'intérieur même d'une application
Voir aussi
Notes et références
- (en) « Formalising Trust as a Computational Concept », sur Google Scholar, (consulté le )
- (en) Angus Loten, « Akamai Bets on 'Zero Trust' Approach to Security », Wall Street Journal, (consulté le )
- (en) Kelly Jackson Higgins, « Forrester Pushes 'Zero Trust' Model For Security » [archive du ], sur Dark Reading, Informa (consulté le )
- John Kindervag, « Build Security Into Your Network’s DNA: The Zero Trust Network Architecture », Forrester Research, (consulté le )
- National Cybersecurity Center of Excellence, « Implementing a Zero Trust Architecture », NIST (consulté le )
- Scott Rose, Oliver Borchert, Stu Mitchell et Sean Connelly, « Zero Trust Architecture », sur nvlpubs.nist.gov, NIST (consulté le )
- Avis scientifique et technique - Le modèle Zero Trust, ANSSI, avril 2021
- (en) « Network architectures », sur www.ncsc.gov.uk (consulté le )