La confiance zéro n’était peut-être autrefois qu’un mot à la mode pour les analystes, mais elle bénéficie désormais de l’approbation officielle du gouvernement américain. La Cybersecurity & Infrastructure Security Agency (CISA) a publié la deuxième version d'un guide pour la mise en œuvre de ce modèle de sécurité. Cela promet d’être plus qu’une simple étagère, car les agences fédérales ont reçu l’ordre d’adopter les principes de confiance zéro dans des délais serrés.
Qu'est-ce que Zero Trust?
Même si le terme « confiance zéro » a fait l’objet de beaucoup de presse ces derniers temps, les concepts sous-jacents sont bien établis. L'expression est apparue pour la première fois dans le secteur informatique en dehors des cercles de niche en 2010, dans le cadre d'un rapport de Forrester Research. Cependant, les idées qu’elle représente – la nécessité de tout vérifier dans un environnement peu fiable – remontent bien plus loin.
Le Jericho Forum de l'Open Group a annoncé en 2004 l'érosion du périmètre de réseau traditionnel, la qualifiant de dépérimétrisation. À mesure que les entreprises échangeaient des données avec des partenaires commerciaux et délocalisaient une plus grande partie de leurs actifs en dehors du réseau principal de l’entreprise, il devenait de plus en plus difficile de faire confiance à quiconque ou à quoi que ce soit qui tentait de se connecter sans réfléchir. Au lieu de l’ancien modèle de citadelle, où le réseau disposait d’un mur extérieur dur et imperméable, les infrastructures informatiques ressemblaient davantage à un ensemble de campements, chacun abritant des actifs et nécessitant sa propre protection.
Cela a changé la façon dont les systèmes informatiques authentifient les personnes. À l’époque, si vous aviez les informations d’identification nécessaires pour accéder au réseau, on vous faisait confiance et vous pouviez aller n’importe où. Le zéro confiance abandonne cette idée. Au lieu de cela, il n’y a pas d’obstacle unique à franchir. Chaque porte numérique du lieu est cadenassée et vous devez avoir une sorte de clé.
La Maison Blanche adhère
Le gouvernement américain a adhéré au concept de confiance zéro, en le défendant d’abord par le biais de Executive Order 14028 en mai 2021. En janvier suivant, il a été suivi de mandats de confiance zéro. Ceux-ci se sont présentés sous la forme de Mémorandum de sécurité nationale 8 (NSM-8), qui prescrit son utilisation dans la communauté de la sécurité nationale, et le mémo MS-22-09 du Bureau de la gestion et du budget. Ce dernier a ordonné aux agences fédérales de mettre en œuvre des mesures de confiance zéro d'ici la fin de l'année prochaine.
CISA, l'agence du ministère de la Sécurité intérieure qui gère l'aspect cybersécurité de l'effort de sécurité intérieure, guide les organisations fédérales et le secteur privé dans des questions comme celle-ci. Il a consciencieusement publié son modèle de maturité zéro confiance en septembre 2021, conformément aux directives du décret. Ce document visait à aider les agences à faire la transition vers le nouveau modèle.
L'Agence a publié une mise à jour de ce guide en avril de cette année, à la suite d'une période de consultation publique. Le changement le plus important dans la deuxième version est l'ajout d'une autre étape de maturité dans le parcours d'une organisation vers le nirvana zéro confiance.
Il y avait à l'origine trois étapes : traditionnelle, avancée et optimale. L’approche traditionnelle était en fait la même chose que d’habitude, avec pratiquement aucune mise en œuvre cohérente du modèle Zero Trust.
Les entreprises au niveau traditionnel qui avaient travaillé sur le Zero Trust l’avaient limité à une portée étroite. Le modèle de maturité décrit cinq piliers pour répartir le travail de mise en œuvre du modèle Zero Trust, indiquant l'ampleur du changement requis. Ces piliers sont l'identité, les appareils, les réseaux, les applications et charges de travail, ainsi que les données. Les entreprises au niveau traditionnel se sont concentrées sur le travail Zero Trust au niveau de chaque pilier plutôt que d’adopter une approche plus cohérente.
Le modèle de maturité décrit trois capacités « transversales » qui s'étendent à chacun de ces piliers pour aider les agences fédérales et les institutions du secteur privé à répondre plus largement aux besoins de confiance zéro. Ces trois domaines sont la visibilité et l'analyse, l'automatisation et l'orchestration, et la gouvernance.
Les commentaires sur la première version du guide affirmaient que le saut entre traditionnel et avancé était trop important. Au lieu de cela, ils ont demandé une étape supplémentaire qui relierait les deux. CISA a répondu en ajoutant une étape initiale après Traditionnelle. Il a également ajusté le langage pour les autres étapes plus avancées des cinq piliers afin de s'adapter au niveau de maturité supplémentaire.
Les entreprises au stade initial commencent tout juste à automatiser des tâches telles que l'attribution d'attributs et la configuration des cycles de vie, indique le guide révisé. À ce stade, ils commencent à se familiariser avec les décisions politiques et leur application. D'autres tâches qui viennent tout juste de commencer couvrent le concept de moindre privilège et l'obtention d'une certaine forme de visibilité cohérente sur les systèmes internes.
Sans surprise, les gens ont demandé une étape supplémentaire dans le processus de maturité zéro confiance. Cette nouvelle mentalité en matière de cybersécurité représente un changement si vaste dans la façon dont nous gérons l’accès et l’authentification des entreprises qu’aucun fournisseur ni aucun produit ne peut tout faire. Il s'agit plus d'une discipline que d'une catégorie de produits, impliquant des changements dans l'ensemble de l'infrastructure et des mises à jour importantes de la politique. Pour de nombreuses organisations, il s’agira d’une combustion lente, qui s’apparente davantage à allumer un millier de bougies qu’à appuyer sur un seul interrupteur, et cette étape supplémentaire leur donne un point de départ plus simple. Rendre la bretelle d'accès un peu moins profonde sera pour beaucoup un changement bienvenu à la feuille de route.
