Zero Trust : un nouveau modèle de sécurité

La sécurité Zerotrust

Le “monde d’avant”

La généralisation du télétravail remet en question l’approche périmétrique de la sécurité, plutôt adaptée au “monde d’avant”. Dans le “monde d’avant”, toutes les ressources étaient dans un périmètre bien délimité, avec une frontière entre l’interne, considéré comme sécurisé, et le monde extérieur, c’est-à-dire le monde d’Internet et de tous les dangers.

Dans ce “monde d’avant”, tous les postes de travail sont alors situés dans ce périmètre, avec quelques exceptions. La sécurité est basée sur la défense du périmètre et le réseau, en mode château-fort, pour s’assurer que la frontière est bien gardée, principalement en contrôlant tous les flux réseaux entrants et sortants.

Deux changements majeurs se sont produits ces dernières années.

  • Avant l’avènement du cloud et de la mobilité, on estimait que 80% des flux restaient sur le réseau interne. Aujourd’hui, la situation est exactement inverse !
  • La généralisation du télétravail. Une grande majorité des postes se trouvent aujourd’hui à l’extérieur des organisations.

Zero Trust c’est adopter une façon plus intelligente de faire confiance

Concrètement, le modèle Zero Trust pose comme principe que tous les utilisateurs et les appareils de tout type, y compris les mobiles, doivent pouvoir accéder aux ressources et services depuis n’importe quel endroit, avec les mêmes conditions de sécurité.

Les 3 grands principes du Zero Trust

  1. Vérifier explicitement : cela suppose la mise en place d’une authentification forte. L’accès sera alors autorisé, refusé ou soumis à condition supplémentaire comme une authentification multi facteurs.
  2. Implémenter l’accès à moindre privilège, qui consiste à n’accorder l’accès aux personnes uniquement lorsqu’elles en ont besoin, aussi longtemps qu’elles en ont besoin et uniquement pour la tâche spécifique qu’elles ont à accomplir.
  3. Présupposer la compromission : anticiper le fait que tôt au tard, il y aura une faille dans son système d’information. La généralisation de la supervision permet d’obtenir une visibilité transversale, de détecter précocement les menaces et d’améliorer les défenses.

Le rôle central de l’identité

Le modèle Zero Trust est basé sur l’identité, avec comme brique de base, le contrôle d’accès conditionnel. Son principe ? A chaque demande de connexion, on analyse le contexte pour évaluer le niveau de confiance que l’on peut accorder à l’utilisateur et à son appareil.

  • Pour l’utilisateur : on analyse son identité, sa localisation (pour repérer un accès depuis un pays improbable) etc.
  • Pour l’appareil depuis lequel l’utilisateur accède : est-il géré par l’entreprise ? respecte-t-il les politiques de sécurité (version d’OS, correctifs de sécurité, chiffrement) ? Est-il bien associé à l’utilisateur ? L’utilisateur a‑t-il déjà utilisé cet appareil ? etc.

Evaluer son niveau de maturité

Pour vous aider à adopter ce modèle de sécurité, Microsoft vous met à disposition le questionnaire de maturité « Zero Trust ». Reposant sur un fichier Excel, ce document vous permet de positionner votre niveau de maturité Zero Trust sur les 6 piliers que sont l’identité, l’appareil, les applications, l’infrastructure, les données et le réseau.  


Les 6 piliers du modèle Zéro Trust

A travers un ensemble de questions, vous pourrez identifier quelles sont les briques technologiques utilisées pour mettre en œuvre un modèle Zero Trust. Pour chaque question, Microsoft vous propose plusieurs réponses et/ou solutions technologique. Au fur et à mesure de vos réponses, vous pouvez voir évoluer en bas de la page votre score en pourcentage.


extrait du questionnaire de maturité Zéro Trust

Après avoir répondu aux questions des 6 piliers, vous pouvez visualisez le résultat consolidé dans le dernier onglet sous la forme d’un graphique radar.


Résultat du questionnaire de maturité Zéro Trust

Pour aller plus loin, vous pouvez télécharger Le livre blanc Initier un projet de transformation Zero Trust qui propose d’enchaîner les étapes consistant à comprendre les principes Zero Trust, définir ce que l’on attend de son projet Zero Trust en affectant des priorités, puis identifier les briques technologiques qui pourront être utilisées pour réaliser son projet.


Les l’étapes d’identification du niveau de maturité dans le cadre d’un projet Zero Trust

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée.