Richard Hennebo

« Zero Trust », la bonne résolution post-confinement ?

Ce n’est un secret pour personne, la cyber-criminalité a été particulièrement onéreuse pour les entreprises en 2019, qui ont vu le coût moyen des incidents (ou cyber-attaques) passer de 3 M€ à 4,6 M€. Entre les ransomware, virus, malwares, chevaux de Troie (trojans) et diverses campagnes de phishing, il y a fort à faire pour nos équipes en charge de la sécurité qui doivent désormais freiner des attaques qui gagnent en fréquence mais surtout en sophistication.

Ces phénomènes ont d’ailleurs été fortement surexploités durant cette période de confinement avec la sur-utilisation des réseaux sociaux et autres moyens de travail à distance.

Afin de résoudre ces problèmes, une nouvelle stratégie – initiée par Forrester Research depuis quelques années – commence à se répandre et prend de l’ampleur :

Le « Zero Trust »

L’idée est simple et peut se résumer en reprenant la célèbre citation de Pierre CORNEILLE :

« Le trop de confiance attire le danger »

Et comment cela se traduit-il concrètement ? Il faut partir du principe que chaque connexion ou accès, qu’il(elle) soit interne ou externe à votre réseau d’entreprise, ne doit être accordé(e) que s’il ou elle est légitime et a donc été vérifié(e) (et quelle meilleure façon pour vérifier la légitimité d’une demande que de regarder la documentation produite ? Car bien entendu cette documentation est utile – comme évoqué lors d’une précédente publication).

 

Et comment mettre en place une telle stratégie ? 3 axes principaux à aborder :

La sécurité physique

La sécurité physique reste aujourd’hui la première barrière contre les attaques. Et c’est bien normal car que nous soyons sur une infrastructure on-premise ou cloud (public comme privé), les données et informations à protéger sont toutes localisées sur ces points stratégiques. Il convient donc de permettre une restriction des accès sur le personnel habilité à intervenir, que ce soit réalisé en interne si tout est géré localement, ou via votre provider cloud (CSP) si les services sont externalisés.

Mais ce n’est pas suffisant, une surveillance de l’état des composants est également de mise pour garantir, en plus de la disponibilité des ressources, le niveau de sécurité nécessaire au bon fonctionnement des installations. Nous retrouverons ici les diverses problématiques soulevées par l’alimentation, le refroidissement, la suppression des incendies ou même celles liées aux environnements plus industriels tels que les GTB/GTC/GTE.

La sécurité logique

La sécurité logique est un point majeur à prendre en compte, de plus en plus complexe à adresser du fait de l’évolution des typologies d’attaques mais surtout car il est nécessaire de traiter plusieurs aspects techniques/organisationnels que sont le réseau, le stockage, les hyperviseurs (et la virtualisation de manière générale) et surtout la partie applicative.

Nous pourrons également parler micro-segmentation, ce terme qui fait un peu peur car très consommateur en termes de temps de configuration et donc de charge, pour atteindre une sécurité homogène et assurer le bon fonctionnement de chaque composant. Mais cela constitue une réelle barrière contre la propagation des intrusions, empêchant pour beaucoup le déplacement latéral d’un attaquant ayant réussi à pénétrer les premiers niveaux de protection d’un SI.

Avec le développement des méthodes agiles en termes de conduite de projet, il faut aller vite et être flexible pour permettre de tenir les délais imposés. Mais cela ne doit pas se faire au détriment de la politique et des bonnes pratiques de sécurité dictées par le RSI/RSSI. Un travail de maintien et de mise à jour des différentes politiques d’habilitations/accréditation doit se faire dès lors que des composants, processus ou des personnes sont ajoutés ou retirés de l’équation.

Les process d’entreprise

Nous allons ici insister sur la politique de sécurité à mettre en oeuvre, car c’est elle qui permettra aux équipes de bien comprendre les attentes pour chaque périmètre. Il convient donc que les responsables puissent dispenser des informations claires et compréhensibles en vue d’obtenir une cohérence sur chaque aspect technique précédemment cité.

Mais allons plus loin ! Si l’on souhaite assurer que l’implémentation de ces sécurités se fasse de manière correcte, cela nécessite que les équipes soient formées, compétentes et si possible expérimentées. Nous pourrons ainsi commencer à adresser les aspects liés au plan de formation de nos équipes, incluant pourquoi pas la sensibilisation sur des techniques permettant aux développeurs de produire leur code applicatif de manière sécurisée.

Et surtout, ne pas se reposer sur ses acquis ! Nous obligeant ainsi à revoir de manière périodique et régulière les accès et accréditations déjà émis, à réaliser des tests d’intrusion ou des pentests applicatifs pour garantir que de nouvelles failles ou vulnérabilités ne pourraient pas subvenir, à surveiller l’application des mises à jour des composants de notre SI pour garantir leur maintien en conditions opérationnelles et surtout en conditions de sécurité (MCO / MCS).

 

Et du coup maintenant, que fait-on ?

La bonne nouvelle c’est que la plupart des sujets cités ci-dessus sont déjà adressés chez vous, au moins en partie ! Pas besoin donc de prévoir l’acquisition de nouvelles solutions souvent coûteuses, assurez-vous simplement que :

  • Les solutions en place soient bien paramétrées, afin d’assurer le service pour lequel vous les avez acquises (un bon article sur le sujet ici d’ailleurs)
  • Les processus clairs sont définis et appliqués – et leur application est suivie !

[/vc_column_text][/vc_column][/vc_row]

Articles associés

Chronique d’une attaque annoncée : IOCs vs TTPs

23 décembre 2022
Dans cet article je vous propose d’aborder le sujet de la détection des attaques informatiques et la manière de les contrer. La détection d’une attaque peut se faire en regardant les empreintes laissées par l’attaquant et ses outils, approche Indicateur de Compromission (IOC: Indicator Of Compromise), ou en s’appuyant sur une compréhension du comportement de […]

PCA, PRA, PCI, PRI, PCC : Stop à la confusion

28 octobre 2022
En 2020, la crise sanitaire du COVID a mis toutes les sociétés à rude épreuve. Les moins structurées ont eu du mal à gérer leurs processus les plus essentiels et à s’organiser afin d’éviter des pertes financières considérables. Travaillant alors au sein d’un organisme certifié ISO 27001 dont l’une des exigences était notamment la mise […]
Partager cet article
Derniers articles

Chronique d’une attaque annoncée : IOCs vs TTPs

Dans cet article je vous propose d’aborder le sujet de la détection des attaques informatiques et la manière de les contrer. La détection d’une attaque peut se faire en regardant les empreintes laissées par l’attaquant et ses outils, approche Indicateur de Compromission (IOC: Indicator Of Compromise), ou en s’appuyant sur une compréhension du comportement de […]

PCA, PRA, PCI, PRI, PCC : Stop à la confusion

En 2020, la crise sanitaire du COVID a mis toutes les sociétés à rude épreuve. Les moins structurées ont eu du mal à gérer leurs processus les plus essentiels et à s’organiser afin d’éviter des pertes financières considérables. Travaillant alors au sein d’un organisme certifié ISO 27001 dont l’une des exigences était notamment la mise […]

La nouvelle gestion des ressources humaines

Tout le monde en parle : depuis la crise covid, plus rien n’est comme avant – mais concrètement, qu’est-ce qui a changé ?   Tout d’abord, le recrutement. Dans le secteur de l’IT, il est considéré comme difficile depuis toujours, mais depuis un an ou deux, tous les secteurs sans exception semblent rencontrer des difficultés à embaucher […]

Votre clé USB peut-elle donner l’accès à votre système d’information ?

D’aucuns diront qu’elle est « le Cloud à portée de main » (jusqu’à plusieurs téraoctets de données disponibles à volonté), la clé USB est aujourd’hui la solution phare de stockage de masse au format poche. À l’origine de ce succès, l’effet combiné de la formidable expansion des capacités disponibles sur mémoire flash (multiplié par 2000 en moins […]