S’intéresse-t-on à Zero Trust – qui, après avoir fait ses preuves pendant dix ans dans diverses organisations, est devenu l’une des meilleures idées de l’histoire de la cybersécurité? Comment mettre en œuvre cette approche révolutionnaire pour atténuer les cyber-risques?

Pour obtenir la plongée inclusive et nuancée dans Zero Trust que lui seul pouvait fournir, nous avons invité John Kindervag, SVP de la stratégie de cybersécurité à ON2IT Cybersécurité et le créateur de Zero Trust, à se joindre à un épisode récent de The Virtual CISO Podcast. John Verry, CISO et associé directeur de Pivot Point Security, anime le salon comme d’habitude.

John a décrit cinq étapes communes à toutes les organisations qui mettent en œuvre Zero Trust. L’approche est fondamentalement axée sur les données. C’est-à-dire, il se concentre sur la définition des données, applications, actifs et/ou services (DAAS) que vous avez le plus besoin de protéger.

 

Étape 1 : Définissez votre surface de protection.

« Ce sont des choses réelles [que nous protégeons], souligne John. J’avais l’habitude de dire qu’il suffit de définir vos données. Mais j’ai réalisé qu’il y avait des moments où je ne pouvais pas le savoir, mais je connaissais l’application qui utilisait les données. Alors, sécurisez la demande.

« Des choses comme les systèmes SCADA, les appareils IoT comme les appareils d’IRM, les pompes à perfusion de morphine sans fil… Ils échangent des données, mais les gens les considèrent comme des atouts. Ensuite, il y a des services comme DNS, DHCP, Active Directory… Ce sont des choses qu’il faut protéger, et c’est comme ça que j’ai tendance à en parler.

« Vous prenez un seul élément DAAS, le mettez dans une seule surface de protection, et construisez votre réseau ou votre environnement Zero Trust en passant par les étapes restantes sur cette surface de protection unique », précise John.

 

Étape 2 : Cartographier les flux de transactions.

« Je ne peux pas concevoir un réseau sans savoir comment il fonctionne », explique John. « Donc, chaque environnement Zero Trust doit être adapté à chaque surface protégée. Mais je ne peux pas savoir comment la surface protégée interagit avec tous ces autres systèmes jusqu’à ce que je cartographie les flux de transactions. Comment tout fonctionne-t-il ensemble pour définir cela? »

Autrement dit, il faut comprendre le système avant de commencer à déterminer comment on va le contrôler. La cartographie des flux de transactions est analogue à la création de diagrammes de flux de données, si vous les connaissez. Le résultat final est de valider que ce que vous définissez à l’intérieur de votre surface de protection est réellement ce qui se passe.

 

Étape 3 : Définissez votre architecture.

La troisième des cinq étapes de Zero Trust consiste à concevoir l’environnement, qu’il soit basé sur le cloud, sur site ou hybride. Vos cartes de flux de transactions vous indiqueront où les contrôles doivent se trouver.

« Il suffit de regarder [le flux de données] et de dire : « J’ai besoin d’un contrôle ici à cause de la façon dont cela se passe et de la façon dont je veux rédiger la politique parce que je veux m’assurer que cette chose ne peut pas parler de cette chose », commente John. « Il vous montre où mettre les éléments architecturaux. … Qu’il s’agisse d’un pare-feu de nouvelle génération fonctionnant comme une passerelle de segmentation, un contrôle de sécurité des conteneurs et un contrôle des terminaux, un contrôle SD-WAN… Quel que soit le contrôle et l’endroit où il se trouve, vous devez comprendre comment tout fonctionne comme système avant de décider où vous allez le mettre. »

John partage une anecdote pour illustrer l’importance de prendre les mesures Zero Trust dans l’ordre : « Souvent, je participe à ces appels. Ils amènent un tas de gens, et ils essaient tous de positionner… Mon produit devrait aller ici; mon produit devrait aller là-bas. Je vais laisser cela de côté pendant un certain temps, puis je vais dire : « Hé, les gars, qu’est-ce que nous protégeons dans ce système. Et ils diront : « Oh, nous n’y avons pas encore pensé. » Cela ne fonctionnera probablement pas. Vous pourriez probablement mettre tous ces contrôles en place et cela n’aboutira pas au résultat que vous voulez parce que vous ne savez même pas ce que vous protégez en premier. »

 

Étape 4 : Créez la politique de confiance zéro.

Dans cette quatrième étape, vous instanciez votre architecture Zero Trust comme une politique. « Avec un peu de chance jusqu’à la couche 7 », prévient John. « Le port et le protocole ne fonctionnent plus. … Dans les limites de TCP/IP, vous devez passer à la couche 7. »

Il convient de noter que cette étape consiste à créer une politique technique « là où le caoutchouc se trouve sur la route » qui se rapporte aux contrôles d’accès, aux règles du pare-feu, etc. Par opposition aux politiques de haut niveau concernant, par exemple, la promulgation par la direction.

Pour un modèle de construction politique, John privilégie la méthode Kipling : demander qui, quoi, quand, où, pourquoi et comment. Par exemple, un énoncé « qui » pourrait être « Qui devrait avoir accès à une ressource? » Ces questions portent sur l’authentification et l’identité. Un « énoncé » pourrait être « Par quelle application devrait-on leur permettre d’accéder à une ressource? » Les règles « quand » se rapportent à l’identification contextuelle et « où » à la localisation d’une ressource.

« Tout ce que vous pouvez faire, c’est permettre ou refuser, mais vous pouvez avoir des quantités massives de données et des critères très complexes que vous utilisez pour déterminer si quelque chose devrait être autorisé ou refusé », résume John.

 

Étape 5 : Surveiller et maintenir l’environnement Zero-Trust.

Cette étape consiste à vérifier que votre politique Zero Trust fonctionne comme vous l’avez prévu et à corriger toute déviation. Les éléments qui entrent en jeu ici comprennent la gestion des journaux, l’apprentissage automatique et d’autres façons de comprendre les données générées par votre environnement.

« Nous avons notre propre moteur; nous l’appelons Event Flow, dit John. « Il examine tous les événements, toutes les données qui arrivent dans les environnements que nous gérons. Nous prenons des mesures automatisées 99 % du temps, et c’est ce que vous essayez de faire. »

« L’idée est qu’un système sous charge devient de plus en plus fort parce qu’il répond à cette charge », ajoute John. « Donc, Zero Trust est un système anti-fragile. ».

 

Source : https://www.pivotpointsecurity.com/blog/5-steps-to-zero-trust/