Tout savoir sur le principe de

Cybersecurité Zero Trust

Tout savoir sur le principe de
Cybersecurité Zero Trust
SOMMAIRE

INTRODUCTION 2
CYBERATTAQUES RÉCENTES : LE COÛT DE L’EXCÈS DE CONFIANCE 4
COMMENT ATTEINDRE LE « ZERO TRUST » ? 6
PAS DE PRIVILÈGE ? PAS DE VISIBILITÉ 9
CONCLUSION 10

Comme son nom l’indique, la notion de Zero Trust se comprend facilement : aucune confiance n’est accordée
implicitement à qui que ce soit. En ce qui concerne la cybersécurité, les organisations ne devraient faire
confiance à quiconque disposant d’un accès non vérifié à des actifs informatiques sensibles, qu'il s'agisse
d'un collaborateur interne ou externe. Cela ne veut pas dire, bien sûr, qu’aucun acteur ne devrait jamais se
voir accorder d’accès à privilèges aux ressources du réseau, ce qui serait manifestement une situation
irréaliste ; il faut plutôt privilégier un système de sécurité qui obligerait constamment les utilisateurs non
seulement à prouver qui ils sont, mais aussi à prouver qu’ils ont à la fois le besoin et l’autorisation d’accéder
à la ressource concernée avant que l’accès ne leur soit accordé.

En d'autres termes, de nombreux autres paradigmes de sécurité

supposent, du moins dans une certaine mesure, que l'activité est
légitime jusqu'à preuve du contraire. L’approche Zero Trust, quant à N’accordez pas
elle, suppose qu'aucune activité n'est légitime par défaut -- et exige,
au contraire, une preuve avant de permettre un accès à privilèges aux
votre confiance aux
ressources sensibles. Zero Trust exige le même degré de vérification utilisateurs dont les
pour les identifiants, l'identité et les permissions. Il est important privilèges ne sont
de noter que le principe Zero Trust ne suppose pas que tous les
pas vérifiés
utilisateurs sont malveillants, mais qu’il demande simplement de
fournir une « preuve positive » que l’accès à une ressource nécessitant
des privilèges est approprié.

2
 Cybersecurité
Zero Trust

Il est également facile de comprendre pourquoi l’approche Zero Trust devrait être un aspect important de la
cybersécurité lorsqu’on considère le risque que fait peser un accès sans vérification appropriée à des
ressources sensibles, sur les individus et les résultats d’une entreprise. Que cet accès soit l'œuvre d'un
administrateur interne ou d'un pirate informatique n’est pas essentiel, car les dommages causés peuvent
être extrêmes dans les deux cas. En effet, le but de chaque pirate est, d’une certaine façon, de s’attribuer
les pouvoirs d’administration internes - et c’est pourquoi Zero Trust est un élément clé de la cybersécurité.

Le rapport IBM 2021 sur le Coût d’une violation de données donne un aperçu particulièrement éloquent
de la nécessité d’une approche Zero Trust. Le rapport souligne comment les entreprises qui subissent
une violation de données mais dont l'approche Zero Trust (ou confiance zéro) est à un stade plus mature,
économisent près de 2 millions de dollars de plus que les organisations qui n'ont pas encore adopté une
posture de sécurité robuste qui inclut la politique Zero Trust. De telles conclusions prouvent le réel
besoin de mettre en place ce type d’approche sécuritaire, permettant, entre autre, d’atténuer
l’utilisation abusive des privilèges.

3

CYBERATTAQUES RÉCENTES : LE COÛT DE L’EXCÈS DE CONFIANCE
Si le rapport d’IBM montre l’ampleur des problèmes,
deux exemples récents illustrent la gravité des
dommages que peuvent causer les violations de
sécurité pour les entreprises. Dans le premier incident,
l'Assistance Publique-Hôpitaux de Paris (AP-HP) a subi
une violation de données, exposant plus de 1,4 million
de résultats de tests COVID-19. Parmi les données
compromises figurent les informations personnelles
des personnes concernées, leur numéro de sécurité
sociale, leur adresse, leur email et les résultats de leur
test, entre autres. Le problème de la fuite de ces
données est que, par exemple, un pirate disposant du
numéro de sécurité sociale d'une personne peut se
faire passer pour elle. Dans ce cas, les politiques Zéro
Trust auraient permis de mieux contrôler l’accès aux
données de l’entreprise et fortement contribuer à
réduire la quantité de données à caractère personnel
compromise.
44
Cybersecurité
Zero Trust
Un autre exemple serait la récente faille de sécurité
chez LinkedIn qui a entraîné d’énormes coûts pour
l’entreprise, mais cette fois-ci en termes de prestige.
Les données ont été obtenues en exploitant l'API du
réseau social pour récolter les informations que les
utilisateurs chargent sur le site — et parce qu’il n’y avait
pas de politique de Zero Trust en place, le hacker a pu
accéder aux coordonnées et géolocalisation et
d’autres informations sensibles. Les utilisateurs du
LinkedIn ont payé un prix fort pour cette fuite : le pirate
qui a mené la cyberattaque a affirmé mettre toutes ces
données aux enchères sur un forum du Dark Web. Une
politique Zero Trust aurait permis de mieux contrôler
l'accès aux données de LinkedIn, ce qui aurait
largement contribué à minimiser l'énorme quantité de
données personnelles qui ont été compromises.
 La fuite de données chez
AP-HP a exposé plus de
1,4 million de résultats de
tests COVID-19 – un chiffre
qui n’inclut pas l’impact
sur l’image de la santé
publique en France.

Comment atteindre le « Zero Trust » ?
Exiger la preuve
positive que les tentatives
d'accès à privilèges
sont légitimes
Mettre en œuvre une politique Zero Trust ne
signifie évidemment pas qu’aucun utilisateur ne se
voit jamais accorder d’accès à privilèges aux
ressources sensibles. Ce que cela signifie
cependant c'est qu’il est nécessaire de fournir une
« preuve positive » que les tentatives d'accès ne
sont pas malveillantes – et, par conséquent, un
système de gestion des accès à privilèges (PAM)
devrait être mis en place pour vérifier la validité de
toute tentative d'accès ou de modification des
ressources critiques. Ce faisant, une solution de
PAM devrait valider les tentatives d'accès à
privilèges selon les critères suivants :
1. L'utilisateur doit prouver qui il est.
2. L'utilisateur doit avoir les privilèges
nécessaires pour accéder à la ressource en
question.
3. Les circonstances de l'accès à privilèges
doivent être appropriées.
4. Il faut surveiller et enregistrer toute
activité à des fins d'assurance, de traçage
et de vérification.
6
Cybersecurité
Zero Trust
Chacun doit prouver son identité
Les utilisateurs au sein
d'un système protégé
uniquement par un nom
d'utilisateur et un mot de
passe ne devraient pas être
considérés avec certitude
comme ceux qu'ils
prétendent être
Comme en témoigne l’atteinte à la sécurité chez
AP-HP, une combinaison nom d’utilisateur/mot de
passe ne suffit pas à empêcher un accès à
privilèges non autorisé. Les noms d’utilisateur et
les mots de passe sont souvent les cibles de
phishing, ou bien ont été volés d’une autre
manière – dans une base de données interne, par
exemple, ou même à un sous-traitant qui se trouve
avoir un nom d’utilisateur et un mot de passe pour
le système. Du fait de la grande variété des
moyens par lesquels un pirate informatique peut
obtenir des identifiants de connexion légitimes,
les utilisateurs au sein d’un système protégé
uniquement par un nom d’utilisateur et un mot de
passe ne peuvent pas être supposés être ceux
qu’ils prétendent être.
Parce qu’il n’est pas possible de faire confiance à
ces identifiants de connexion pris isolément, ce
qu’il faut c’est un moyen d’ajouter une vérification
à la procédure de connexion pour prouver qu’un
utilisateur est celui qu’il prétend être – et c’est
précisément ce que l’authentification

multi-facteurs, ou MFA, apporte. La procédure
MFA nécessite un deuxième « facteur » en plus d’un
élément que vous connaissez, comme un nom
d’utilisateur et un mot de passe, parce qu’un
élément que vous connaissez peut également être
connu de quelqu’un d’autre. Ainsi, l’authentification
MFA exige des utilisateurs non seulement qu’ils
sachent quelque chose, mais aussi qu’ils fournissent
d'autres facteurs de vérification qui sont spécifiques
à une personne. Cela se présente généralement
sous la forme d’un téléphone, auquel le système
peut envoyer un code lorsque l'utilisateur tente de
se connecter, en tant que couche secondaire
permettant de vérifier que les identifiants sont
utilisés par la personne autorisée.
L'idée sous-jacente à l’exigence de fournir plusieurs
facteurs d'identification est qu'il est très improbable
qu'un pirate puisse voler à la fois les identifiants d'un
utilisateur et son téléphone. L’authentification MFA
fournit une preuve supplémentaire qu’un utilisateur
est celui qu’il prétend être – et par conséquent, y
avoir recours aux points d’entrée du système est un
élément important de la mise en œuvre d’une
politique Zero Trust.
Définition des privilèges d’accès aux
ressources sensibles
La preuve de l’identité de l’utilisateur ne devrait
être que la première ligne de défense. Le
paradigme Zero Trust exige que, même une fois à
l'intérieur du système, les utilisateurs se voient
accorder uniquement le niveau minimum de
privilèges indispensable pour accomplir les tâches
nécessaires à leur travail. L'octroi de ces privilèges
7
Cybersecurité
Zero Trust
Au-delà de l'identité,
le droit d'accéder à des
ressources spécifiques
doit également être
démontré
est généralement fondé sur le rôle : les
administrateurs de bases de données, par
exemple, auront des droits d'accès aux bases de
données elles-mêmes – mais n'auront pas besoin
d'un accès administrateur aux serveurs de
messagerie. La politique Zero Trust exige que chaque
tentative d'accès à privilèges soit validée selon les
modalités d’une solution de PAM. Ainsi, dans cet
exemple, un administrateur de base de données qui
tente d'accéder à un serveur de messagerie sur lequel
il n'a rien à faire verra son accès refusé : il est certes
administrateur, mais sans privilèges sur ce système
particulier. À cet égard, le principe du moindre
privilège est une politique Zero Trust visant à garantir
que nul ne se voit accorder de privilèges par défaut,
mais seulement ceux permettant d’utiliser les
ressources minimales nécessaires, quand et où cela
est nécessaire, afin d’éliminer la tentation, l'exposition
et la confiance indue.
Pour y parvenir, toutes les ressources dont l’accès
nécessite des privilèges au sein d’un système
devraient bien sûr avoir des définitions granulaires
quant aux utilisateurs et aux rôles qui sont
autorisés à y accéder et aux privilèges associés – et
le système devrait également permettre un accès
ponctuel lorsque c’est nécessaire, une tâche qui
présente des avantages à la fois en termes de
flexibilité et de sécurité. Supposons, par exemple,
 Cybersecurité
Zero Trust

qu'un prestataire extérieur ait été embauché pour Pour prolonger l'exemple du sous-traitant, s'il a
appliquer un correctif sur un serveur particulier accès au système à distance, l'accès à privilèges
parmi beaucoup d’autres. Avec une solution de peut être limité aux adresses IP ou aux sites sur
PAM appropriée et une équipe de sécurité suivant liste blanche, et seulement pendant une plage
un modèle Zero Trust, la connexion du prestataire horaire déterminée, à savoir par exemple les
peut bénéficier d’un accès à privilèges pendant le heures normales de travail. Il est important de
temps nécessaire et limité à la seule machine sur disposer d’un système de PAM pouvant offrir un
laquelle les travaux sont effectués. tel niveau de granularité et de contrôle, car il sert
de filtre pour les tentatives d'accès à privilèges,
Accès accordés dans même si les identifiants de connexion ont été
des circonstances appropriées volés, et même si ces identifiants de connexion
volés ont des privilèges appropriés.
Le principe Zero Trust devrait également être
appliqué à un niveau plus granulaire qu’un schéma Surveiller et enregistrer toutes les activités
simple basé sur le rôle. Les règles en matière
d'accès à privilèges Pour que toutes les
devraient non seulement protections mentionnées
s’appliquer à ceux qui Les accès à privilèges précédemment fonctionnent
tentent d’accéder au doivent être surveillés (et soient viables), il est
système, mais aussi définir pour savoir par qui, important que toutes les
les circonstances dans quand et comment sessions soient surveillées en
lesquelles un tel accès est
ils sont utilisés temps réel. Il s'agit d'un
autorisé. Cela concerne les autre domaine dans lequel
plages horaires – par une solution de PAM robuste
exemple, les sous-traitants n'obtiennent des peut aider à mettre en œuvre les principes Zero
privilèges d'accès que dans une fenêtre de Trust en garantissant que toute action réalisée
maintenance définie ou les employés n'ont accès pendant une session avec privilèges est à la fois
que pendant des heures normales de travail – ainsi autorisée et légitime ; sans ce type de visibilité en
que les sites et, bien sûr, les fichiers et actions temps réel, le postulat Zero Trust est fragilisé dans
spécifiques au sein de la ressource. Certains son ensemble.
utilisateurs à privilèges n'auront jamais besoin de
la capacité de supprimer un ensemble complet de Les nombreuses tentatives répétées d’accès à des
fichiers ou d'accéder à un sous-dossier spécifique, ressources sensibles telles que celles qui peuvent
aussi ces activités peuvent-elles être refusées. être effectuées lors d’une attaque par force brute
ne devraient par exemple pas être autorisées – et
par conséquent, toute session qui serait partie

8

prenante dans de telles tentatives répétées devrait
être automatiquement fermée. En fait, il en va de
même pour toute activité de session suspecte :
même un utilisateur interne par ailleurs inoffensif
verra sa session surveillée pour identifier toute
activité inhabituelle ou non autorisée, aussi
innocente soit-elle. Puisque l’approche Zero Trust
traite les activités de session suspectes selon un
principe « mieux vaut prévenir que guérir », il est
mis fin automatiquement (ou manuellement, en
fonction des alertes) à toute session entrant dans
cette catégorie plutôt que de permettre à l'activité
potentiellement à risque de se poursuivre.
Dans l’approche « mieux
vaut prévenir que guérir »
du principe Zero Trust,
toute session suspecte
devrait être immédiatement
interrompue
La surveillance en temps réel de l’activité des
sessions est essentielle – mais parallèlement,
l'enregistrement de toutes les activités de session
devrait aussi être mis en place, en intégrant
l'enregistrement OCR des clics, frappes-clavier et
commandes CLI. Ceci est important en matière de
Zero Trust car, en tant que dernière ligne de
défense, cette fonction permet d’examiner les
sessions qui pourraient révéler des violations qui,
pour une raison quelconque, auraient pu franchir
toutes les autres défenses. L'enregistrement des
sessions peut également faciliter la reprise des
activités à la suite d’un incident en permettant à
9
Cybersecurité
Zero Trust
l’équipe réseau de rattraper les erreurs comme la
suppression accidentelle de fichiers, ou de repérer
des erreurs sans mauvaise intention qui auraient
pu conduire à des problèmes réseau.
L'enregistrement des sessions peut également
être utilisé comme contenu pour la formation des
équipes IT, en se fondant sur les activités réelles
des sessions du réseau, tout en fournissant les
capacités d'audit et la preuve de conformité
requises par les règlementations de sécurité
critiques et les normes de l'industrie.
Pas de privilège ?
Pas de visibilité
Personne ne devrait
pouvoir voir des ressources
sensibles sans disposer
des privilèges nécessaires
Comme on le voit souvent dans les cyberattaques
de toutes formes et de toutes tailles dans le monde,
une fois à l'intérieur d'un réseau, les utilisateurs mal
intentionnés sont en mesure de rebondir de
ressource en ressource. L'application du principe
Zero Trust implique toutefois que le système doit
approuver tous les accès à privilèges et limiter
l'accès aux seules ressources ou actifs nécessaires à
la réalisation d'une tâche. De cette façon, les
ressources sensibles sont cachées à la vue des
utilisateurs qui n'ont pas les privilèges pour y
accéder. Un utilisateur à privilèges, une fois les
étapes de vérification de ses identifiants de
connexion et d'authentification multi-facteurs
franchies avec succès, ne voit toujours que les

ressources pour lesquelles il a obtenu des
autorisations – ni plus, ni moins.
Par exemple, notre prestataire ne dispose de
privilèges que pour le seul serveur sur lequel il doit
travailler – et ne pourra même pas voir les autres
serveurs, bases de données ou actifs sensibles
hébergés sur le réseau. Appliquer le principe Zero
Trust de cette façon empêche tous les utilisateurs,
qu’ils soient salariés, sous-traitants ou pirates, de
pouvoir ne serait-ce qu’essayer d’accéder à de
nombreuses ressources critiques, tout simplement
parce qu’ils ne savent pas qu’elles existent. Et même
s'ils sont conscients ou peuvent supposer que ces
ressources existent, ne pas être en mesure de les
voir peut stopper les explorations à travers le réseau.
Les utilisateurs ne devraient
se voir accorder un accès
à privilèges que lorsqu'ils
peuvent justifier de tous
les éléments suivants : qui,
quoi, où, quand et comment
Conclusion
Il est courant et compréhensible que les
entreprises attribuent des niveaux de confiance
différents. Les pirates informatiques, bien sûr, ne
doivent jamais être considérés comme dignes de
confiance, tandis que l’on accorde généralement
aux sous-traitants un peu en confiance et que l’on
fait très souvent entièrement confiance aux
salariés. Cette approche, associée à l'hypothèse
selon laquelle les utilisateurs actifs à l'intérieur
10
Cybersecurité
Zero Trust
d'un système en font intrinsèquement partie,
conduit à la conclusion erronée que l’on peut faire
confiance aux utilisateurs. Mais un utilisateur
n'est pas intrinsèquement digne de confiance,
même le personnel interne. En fait, le but de
chaque pirate informatique est d'entrer dans un
système pour une raison précise – devenir une
menace interne – et ce seul élément suffit à
montrer le danger de faire confiance par défaut
aux utilisateurs internes.
Le nombre étonnant de violations des données qui
sont perpétrées par l'utilisation abusive des
privilèges implique qu’il est nécessaire d’appliquer
le paradigme de sécurité Zero Trust à tous les
utilisateurs d'un système, quelle que soit leur
identité supposée. Zero Trust ne fait aucune
hypothèse ; aucune activité n'est considérée
comme sûre sans prendre des mesures clés pour
prouver que les identités et les privilèges sont
valides. Tous les utilisateurs, qu'ils soient internes
ou externes, ne devraient se voir accorder un accès
à privilèges aux ressources critiques que s'ils
peuvent justifier de leurs droits en termes de qui,
quoi, où, quand et comment – et c'est exactement
ce pourquoi la gestion des accès à privilèges,
associée à l’authentification MFA et d'autres outils
de sécurité, est conçue.
 A propos de
WALLIX
Editeur de logiciels de cyber sécurité, WALLIX Group
est le spécialiste Européen de la gouvernance des
comptes à privilèges. Répondant à l’évolution
réglementaire et aux enjeux de cybersécurité qui
touchent l’ensemble des entreprises, les solutions
WALLIX protègent des cybermenaces, vols et fuites de
données liés aux identifiants volés et aux privilèges
détournés.

WWW.WALLIX.COM