Zero Trust dans les environnements TIC

Les entreprises qui adoptent le Zero Trust sont moins susceptibles de subir des attaques externes et des menaces internes. Il est donc conseillé aux entreprises d’élaborer un plan d’action pour appliquer le Zero Trust à leurs futurs investissements. Ce plan servira à définir les mesures nécessaires pour une mise en œuvre efficace et réussie du modèle Zero Trust.

De plus en plus d’entreprises choisissent d’utiliser les principes du Zero Trust pour sécuriser leur infrastructure informatique. Elles cherchent un modèle de sécurité pouvant s’adapter efficacement aux environnements contemporains complexes. Dans cet environnement, les appareils et les données doivent être protégés quelle que soit leur localisation et quel que soit le type d’appareil utilisé au sein des entreprises concernées. 

Le Zero Trust leur offre l’opportunité de réduire les risques engendrés par cette nouvelle situation. En utilisant les méthodes du Zero Trust, vous pouvez combler les lacunes des modèles de sécurité usuels. Par exemple, les mouvements latéraux, soit les mouvements involontaires entre les systèmes qui ouvrent l’accès aux données critiques, adviennent plus difficilement au sein du réseau.

Le Zero Trust est un modèle de sécurité doté d’un ensemble de principes aidant à prévenir les attaques et la violation de données. Il repose sur le constat que les modèles de sécurité conventionnels reposent sur une hypothèse dépassée, à savoir que tout ce qui se trouve à l’intérieur du réseau d’une entreprise peut être considéré comme fiable.

Fondé sur le principe "Ne faites jamais confiance, vérifiez toujours", le Zero Trust est conçu pour protéger les environnements numériques contemporains.

Le modèle s’appuie sur une segmentation très fine du réseau et il fournit une protection individuelle contre les menaces pour chacun de ces segments. En outre, le Zero Trust simplifie le système complexe de contrôle d’accès des utilisateurs.

Une architecture Zero Trust n’est envisageable que si les principes suivants sont respectés :

• Identification de l’infrastructure informatique et sécurisation des accès.
• L'accès aux informations n'est accordé que par des connexions sécurisées, quelle que soit la localisation. Accès sur la base du "besoin de savoir".
• Définition des droits d’accès basée sur une relation de confiance qui découle des différentes propriétés de la demande d’accès : compte, appareil, adresse IP et localisation.
• Surveillance, automatisation et journalisation complètes des événements.

Aujourd’hui, dans le secteur, les discussions quant à la confiance envers tel ou tel fournisseur suspecté d’avoir des liens étroits avec un État, une organisation ou une personne ou d’être sous son influence. Pour faire taire ces doutes, des contrôles supplémentaires sont nécessaires afin d’atténuer ces risques.

En conséquence, le principe du Zero Trust devrait être appliqué à la chaîne d’approvisionnement, notamment grâce à des garanties de fiabilité de la part des fournisseurs, de vérifications et de certifications de produits auxquelles tous les fournisseurs d’éléments ou de services pour l’infrastructure critique devraient se conformer.

Ces garanties de fiabilité pourraient notamment comprendre des engagements de non-ingérence de la part de tiers, la conservation des données dans le pays ou dans l’UE, la transparence de la chaîne d’approvisionnement, l’absence d’engagements clandestins, une divulgation responsable de la vulnérabilité, des sanctions en cas de manquement, etc. De telles déclarations pourraient nous permettre de développer des règles équitables pour tous les fournisseurs.

L’application du modèle Zero Trust pourrait également passer par la vérification/certification de produits au cours de laquelle le cycle de développement du produit serait soumis à un examen critique et où les produits seraient sujets à des audits menés par des parties indépendantes accréditées conformément aux normes techniques appliquées à ces produits.

La base de connaissances en matière de sécurité de la 5G publiée par la GSMA constitue un bon exemple de cette approche.  Dans cette base, l’accent est mis sur l’atténuation de menaces identifiées et sur la mise en œuvre d’éléments de l’approche Zero Trust. Le concept de la GSMA reconnait que la sécurité résulte d’un partage des responsabilités. Le Network Equipment Security Assurance Scheme (NESAS) et la Security Assurance Specification (SCAS) constituent deux autres exemples de vérification/certification du réseau.

NESAS/SCAS est un mécanisme d’évaluation de cybersécurité standardisé conçu spécialement pour le secteur de la téléphonie mobile. Il a été développé par la GSMA et par 3GPP, les leaders de la standardisation de l’industrie des télécommunications. NESAS/SACS fournit des analyses de menaces, des définitions de données critiques, ainsi q’une méthodologie et des critères généraux pour les exigences en matière de sécurité.

La combinaison de l’approche Zero Trust avec les garanties de fiabilité, la base de connaissances sur la sécurité de la 5G et le système de vérification NESAS/SCAS appliquée aux nouveaux investissements dans le domaine des TIC permettrait d’améliorer le niveau de sécurité. Ainsi, le risque du fournisseur pourra lui aussi être géré de manière plus efficace, quelle que soit l’origine des produits.