Qu’est-ce que “Zero Trust” quoi qu’il en soit?
Environ trois minutes après avoir commencé à planifier cet article, j’ai eu un de ces moments “mon Dieu, je suis vieux”. Voici pourquoi. Je travaille dans la cybersécurité depuis 1994. Mon premier emploi était chez un des Big 3, travaillant pour le gouvernement américain via l’un des plus grands cabinets d’avocats du monde. Oui, c’était compliqué.
À l’époque (dit avec la voix d’un vieil homme), la cybersécurité n’était même pas de la cybersécurité. C’était juste de la sécurité. La sécurité de l’information ne deviendrait une chose qu’au début des années 2000. La mise en réseau des ordinateurs en était à ses débuts. Vous voyez ce que je veux dire ? J’ai commencé il y a longtemps.
Le point ici est que même à l’époque où les ordinateurs commençaient tout juste à être mis en réseau, et que la cybersécurité n’était pas encore conceptualisée, et que la position de CISO serait considérée comme de la sorcellerie, il existait un principe dans l’architecture informatique nommé “Know Your Computer” (KYC) ou plus tard “Know Your Network” (KYN). Ce principe trouve son origine dans le secteur financier des années 1990.
En gros, pour vendre plus de produits à leurs clients actuels, ils tentaient d’apprendre tout ce qu’ils pouvaient. Rappelez-vous, c’est au TOUT début d’internet. Les énormes bases de données sur les utilisateurs et leurs goûts, aversions et habitudes d’achat après minuit étaient à des décennies de distance.
KYC ou KYN, comme illustré, sont de vieux principes qui existent depuis longtemps. Maintenant, ils se sont transformés en de nombreuses choses au fil des ans, et aujourd’hui ils sont appelés Zero Trust. Il serait injuste et inéquitable de comparer la complexité et le détail technique de l’informatique d’aujourd’hui à celle d’hier. D’un autre côté, il y a des leçons apprises d’une époque informatique plus simple qui ont encore de la valeur aujourd’hui.
KYC ou KYN
Ce sont de vieux concepts, mais les principes sont toujours pertinents dans l’environnement informatique d’aujourd’hui. Franchement, Zero Trust est la dernière itération du concept KYN. Voir ci-dessous :
KYN | Zero Trust |
Connaître la fonction de tous les dispositifs sur le réseau | Limiter l’accès à tous les dispositifs sur le réseau uniquement à ce dont ils ont besoin pour remplir leur rôle |
Documenter le comportement de tous les systèmes sur le réseau et alerter en cas de déviations | Documenter le comportement de tous les systèmes sur le réseau et bloquer toutes les autres actions |
Documenter vos flux de données | Documenter vos flux de données et alerter en cas de changements |
Créer des forums réguliers pour examiner les changements et mises à jour des systèmes réseau | Examiner régulièrement les alertes et les violations des contrôles Zero Trust |
Je pourrais continuer, mais le point semble assez clair. Maintenant, KYN ne correspond pas parfaitement au modèle Zero Trust. Les menaces et les complexités des réseaux informatiques n’existaient tout simplement pas dans les années 1990.
Qu’est-ce que Zero Trust, au fond ?
Nous sommes tous dans l’industrie depuis des années. Même si vous n’y êtes que depuis quelques jours, vous avez lu, reçu des e-mails, été appelé par des vendeurs, été invité à des webinaires, séminaires ou cercles de tambours vendant Zero Trust.
Chaque vendeur, quelle que soit la technologie, vend son produit comme le dernier remède miracle Zero Trust. Il y a eu beaucoup de modes dans l’industrie, et ce n’est pas le sujet de cet article. Ce post est pour expliquer Zero Trust et différentes stratégies pour le déployer de manière efficace et économique.
Zero Trust est une philosophie. En termes simples, ne permettez rien sur le réseau dont vous êtes responsable que vous ne connaissez pas déjà. Comme toutes les philosophies, c’est une chose simple à dire, plus facile à comprendre, et difficile à mettre en œuvre.
Vous vous demandez peut-être “J’ai 5k points de terminaison, 40 fournisseurs de cloud, 800 serveurs et 600 applications. S’attend-il à ce que je délimite tout cela ? Il est idiot.” Moi aussi, j’ai prononcé ces mots en pensant à mes premiers pas vers Zero Trust. Moi aussi, j’ai traité quelqu’un d’idiot.
Puis j’ai commencé à réfléchir à la manière dont je répondrais aux questions qui me seraient posées par un responsable du développement commercial qui aurait lu les mots Zero Trust au dos d’un magazine en traversant le pays. “Question rapide XXX, quelle est notre stratégie Zero Trust ? J’ai besoin de la comprendre, donc créez une présentation rapide de trois diapositives expliquant pourquoi nous sommes de classe mondiale à ce sujet.” J’ai commencé par ce que sont nos joyaux de la couronne. D’autres appellent cela la liste des actifs à haute valeur (HVA). Quel que soit le nom que vous lui donnez, c’est par là que vous commencez.
La première étape consiste à documenter Qui, Quoi, Quand, Où et Comment les HVAs sont utilisés. Cela prendra probablement la forme d’entretiens avec les utilisateurs métier. PAS les dirigeants métier. Vous devez obtenir leur accord, mais ce sont les personnes qui utilisent réellement les HVA avec lesquelles vous devez travailler. Les résultats de ces entretiens seront les noms des postes informatiques, les noms d’utilisateur, les applications, la documentation des processus métier et les flux de données.
Une fois que vous avez répondu à ces questions, vous pouvez construire une stratégie de confiance zéro autour de cet HVA. S’il n’est pas accédé à distance, alors vous pouvez supprimer cet accès. Si seulement un nombre limité d’utilisateurs ont besoin d’accès, supprimez tous les autres. Si un nombre limité d’ordinateurs ont besoin d’accès, supprimez les autres. Si le processus ne transfère pas de données par e-mail, alors mettez en place un blocage DLP pour éliminer ce mécanisme de transfert de données. Vous construisez simplement des murs autour des processus métier.
Vous ne le changez pas, et c’est un point qui doit être souligné lorsque vous travaillez avec le métier. Vous n’allez pas aggraver leur expérience quotidienne. Chaque fois que vous mettez en place le contrôle, assurez-vous d’avoir des alertes en cas de changements. Si vous accédez à des groupes pour l’accès utilisateur, alors si l’appartenance à ce groupe change, assurez-vous d’avoir une stratégie d’alerte pour notifier à la fois le métier et les opérations de cybersécurité du changement. Peut-être que cela n’était pas prévu ou approuvé, et vous avez découvert quelque chose avant que des dommages ne surviennent.
Votre programme peut ne pas avoir les contrôles en place pour mettre en œuvre le contrôle nécessaire sur cet HVA. Vous avez maintenant documenté votre justification commerciale pour le nouveau contrôle. Je soupçonne que votre programme a probablement déjà les capacités techniques pour mettre en œuvre les contrôles nécessaires.
Une stratégie de confiance zéro ne vous permet de faire que deux choses. Premièrement, utiliser le jargon moderne pour décrire vos efforts et besoins. Deuxièmement, concentrer les efforts de vos équipes sur la liste des HVA. Essayer de déployer des stratégies de confiance zéro dans toute l’entreprise en une seule fois est une entreprise vaine. Commencez par les actifs les plus importants de l’organisation en premier.