Quand on pense à la sécurité d’une organisation, l’image qui vient à l’esprit est celle d’un château fort : d’épaisses murailles entourées de douves profondes et des gardes à la porte pour contrôler les entrées. Mais cette image ne correspond plus à la réalité des entreprises.
Aujourd’hui, les employés accèdent au réseau de l’entreprise de l’extérieur des bureaux, avec des appareils qui, souvent, leur appartiennent. Les utilisateurs des ressources informatiques ne sont plus seulement des humains, mais aussi des interfaces de programmation d’application (API). Et l’infonuagique, fréquemment utilisée en mode hybride conjointement avec des serveurs situés dans les locaux de l’entreprise, rend floue la frontière entre les ressources propres à l’entreprise et celles qu’elle loue à l’extérieur.
« Dans ce contexte, il n’est plus pertinent d’exercer un contrôle serré à l’entrée d’un périmètre sécurisé, puis de laisser ceux qui ont passé la porte circuler librement à l’intérieur du périmètre, constate Roger Ouellet, concepteur de solutions senior, responsable de la pratique de sécurité chez NOVIPRO. Au contraire, la surveillance doit continuer en permanence, à l’intérieur du périmètre, à l’égard de tous les utilisateurs et de toutes leurs actions. Par défaut, on ne doit faire confiance à rien ni personne. » C’est ce principe de prudence qui inspire le modèle « zéro confiance », formalisé par Forrester Research.
Comment « zéro confiance » permet de rétablir la confiance
Une des entreprises qui ont adopté le modèle zéro confiance est Sidel, un grand fournisseur d’équipements et de solutions pour le conditionnement des liquides, des produits alimentaires et des produits d’hygiène. Près de 40 000 machines de Sidel sont installées dans plus de 190 pays. Basé à Laval, Benoit Duhamel est gestionnaire senior de la sécurité TI au Bureau de la sécurité de l’information de Sidel.
« Nous utilisons déjà l’approche zéro confiance en technologie de l’information et nous l’introduisons progressivement dans nos technologies opérationnelles, explique-t-il. Aujourd’hui, les machines que nous fabriquons ont un contenu logiciel important, et elles sont de plus en plus connectées en réseau. Il est donc primordial de s’assurer qu’elles ne se laisseront pas commander par un programme non autorisé qui pourrait s’infiltrer dans ces réseaux. »
Cette exigence de sécurité pousse Sidel à mener des analyses de vulnérabilité sur toutes ses machines avant de les livrer. L’entreprise teste également ses équipements à des tentatives d’infiltration.
Un écosystème de sécurité en six dimensions
En utilisant le modèle zéro confiance, on peut considérer la sécurité numérique d’une organisation selon six dimensions. Une panoplie de technologies permet aux entreprises d’augmenter leur sécurité dans chacune de ces dimensions.
1. Les données
Les données constituent l’un des actifs les plus précieux de chaque organisation. Sidel, par exemple, protège jalousement sa propriété intellectuelle : elle ne veut pas que les plans de ses futures machines tombent aux mains de concurrents ou d’acteurs malfaisants qui voudraient causer du tort aux clients utilisateurs de ses machines. Le chiffrement de données et l’identification locale des utilisateurs, au moment où ils tentent d’accéder à chaque application, sont deux technologies qui soutiennent une approche zéro confiance.
2. Les appareils
L’ensemble des appareils — ordinateurs et téléphones, mais aussi capteurs et contrôleurs — doivent être identifiés et analysés quand ils tentent d’accéder au réseau. Un système de contrôle d’accès au réseau (NAC) identifie les utilisateurs, authentifie chaque appareil et vérifie que sa configuration répond aux normes de sécurité du réseau. Des antivirus de nouvelle génération analysent ensuite le comportement de l’appareil pour déceler des comportements suspects. Dans chaque téléphone, qu’il appartienne à l’entreprise ou à son employé, la gestion d’appareils mobiles (MDM) isole le contenu professionnel et confidentiel pour qu’il puisse, au besoin, être effacé à distance par l’entreprise sans supprimer pour autant les autres fonctionnalités de l’appareil.
3. Le réseau
Les différents réseaux de l’entreprise étant de plus en plus interconnectés, la segmentation traditionnelle cède la place à une microsegmentation, utilisateur par utilisateur et application par application. « À chaque nouvelle demande de connexion à un serveur ou à une application, on ouvre à l’utilisateur uniquement les accès dont il a besoin pour ce qu’il a le droit de faire, explique Roger Ouellet. Si un livreur sonne chez moi, je lui ouvre seulement la porte qui donne sur le vestibule fermé. Je n’ouvre ni la porte d’en arrière ni celle du garage ! »
4. La charge de travail
La charge de travail est la quantité de calculs et d’interactions que doit traiter un serveur pour un ensemble fini d’opérations. Le modèle zéro confiance considère chaque nouvelle charge de travail comme un danger potentiel. Il faut donc l’analyser avant de l’autoriser. « En infonuagique, les charges de travail peuvent être très variées, remarque Roger Ouellet. Un bon dispositif de sécurité doit déceler le risque que présente chaque ensemble de requêtes à une application. » Or, beaucoup d’entreprises surestiment le niveau de sécurité que leur offre l’infonuagique, croit Benoit Duhamel : « En fin de compte, une entreprise ne peut pas se fier entièrement aux mécanismes de sécurité de ses fournisseurs d’infonuagique : elle doit prendre en charge elle-même la sécurité de ses données ».
5. Les personnes
Plusieurs outils permettent d’identifier les utilisateurs et de vérifier leur identité, par exemple en utilisant simultanément plusieurs facteurs d’identification. Pour les utilisateurs occasionnels du réseau, un service de concierge automatisé peut évaluer et approuver chaque demande de connexion, ou la faire valider par un employé autorisé.
6. La visibilité, l’analytique, l’orchestration et l’automatisation
Un système de gestion de l’information et des événements de sécurité (SIEM) donne, en tout temps, une visibilité complète sur les menaces qui circulent dans les réseaux de l’entreprise. Il filtre automatiquement les menaces les plus sérieuses pour les examiner et, au besoin, y remédier. D’autres systèmes orchestrent les comportements de prévention et de remédiation de plusieurs équipements et applications, et automatisent leur provisionnement et leurs mises à jour.
À mesure que les pirates et les espions informatiques affinent leurs techniques, l’offre de technologies pour prévenir et contrer leurs attaques se développe, au point où les entreprises peuvent aujourd’hui compter sur des outils très sophistiqués pour assurer leur sécurité. Comme il n’est pas facile d’évaluer, de mettre en œuvre et d’exploiter pleinement tous ces outils d’une façon parfaitement coordonnée, certaines entreprises choisissent d’impartir une partie de ce travail à un fournisseur de services gérés de sécurité afin de compléter leurs ressources internes.