Académique Documents
Professionnel Documents
Culture Documents
Presente par:
Sana Ismael Farid
Sorgho Charifatou
1
Tuteur du projet: M.Yameogo Bessin
Plan
INTRODUCTION GENERALE
Chapitre 1: généralités
INTRODUCTION
II. Principes
1. Confiance zéro (zéro trust)
2. Principe de moindre privilège
CONCLUSION
2
Chapitre 2: Mise en place de la stratégie
INTRODUCTION
I. Evaluation initial
1. Authentification Multifactorielle(AMF)
CONCLUSION
CONCLUSION GENERALE
4
Début introduction
La sécurité de tous est primordiale, dans le monde physique comme dans celui du numérique.
Les entreprises se doivent d’assurer une protection des données irréprochable et ont la
responsabilité de préserver leurs employés et leurs partenaires.
Les logiciels antivirus ont fait leurs preuves et sont indispensables, mais la protection des réseaux
partagés doit passer par la solution zéro trust pour être pleinement efficace.
5
Cette stratégie, qui repose sur le principe du moindre privilège, assure le contrôle et la vérification
poussée de toute tentative d’intégration à un système.
Chapitre 1 : Généralité
I. Généralités
1. Définition
C’est une stratégie de sécurité qui stipule qu’aucune entité (utilisateur, application, service ou
appareil) lui doit être considère comme fiable par défaut. Autrement dit c’est une stratégie de
cybersecurite dans le cadre de laquelle la politique de sécurité est applique en fonction du contexte
établie par des contrôles des accès bases sur le moindre privilège et l’authentification stricte de
l’utilisateur, et non sur la base d’une confiance implicite.
Selon le principe de l’accès sur la base du moindre privilège, la confiance est établie avant toute
connexion sur la base du contexte et de la posture de sécurité de l’entité, puis réévalué en
6
permanence pour chaque nouvelle connexion même si l’entité a déjà été authentifie auparavant.
2. Historique
Pour comprendre l’émergence de la stratégie zéro trust il essentiel d’examiner son évolution
historique et les facteurs qui ont motivé son adoption progressive dans le domaine de la
cybersecurite.
1987 : Construction des murs du périmètre réseau
Des ingénieurs de la Digital Equipment Corporation (DEC) publient le premier article sur la
technologie des parefeu, inaugurant ainsi des décennies de réflexion sur la securite cloisonne des
réseaux.
1990 : Séparation de base par la segmentation du réseau
Les premières tentatives de segmentation du réseau à l’aide de VLAN ou de sous-réseaux font leur
apparition : une approche extrêmement limitée, sans authentification, avec des restrictions
minimales et peu de fonctionnalités de sécurité interne. Toutes les restrictions mises en place sont
aisément contournées.
2001 : Le contrôle d’accès au réseau est ajoute
L’IEEE Standards Association publie le protocole 802.1X pour le contrôle d’accès au réseau
(NAC). Stimulé par l’adoption des WLAN, il permet d’authentifier les connexions réseau et donne
un accès au niveau du réseau (LAN/VLAN), mais il se révèle complexe et difficile à déployer à
grande échelle.
2004 : La graine du zéro trust est plante
Le forum Jericho est créé. Il prend acte du fait que les utilisateurs et les applications quittent le
réseau de l’entreprise et introduit les premiers concepts de Zero Trust via le principe
de « dépérimétrisation ».
2010 : Le zéro trust est ne
L’analyste John Kindervag présente le « modèle Zéro Trust » dans un article pour Forrester
Research. Il déplace l’authentification et la sécurité inline, et suggère la segmentation des sessions.
Toujours axé sur l’accès au réseau, il déplace le périmètre a l’interieur de celui-ci
2014 : Google definit son propre modèle
L’initiative BeyondCorp de Google réinvente l’architecture de sécurité à la suite de l’attaque
Operation Aurora, menant à un déploiement de Zéro Trust à l’échelle de l’entreprise.
2016 : Zscaler transfère Zéro Trust au Cloud
Zscaler présente la première solution Zéro Trust fournie par le Cloud, permettant aux entreprises
d’éliminer la surface d’attaque externe et de minimiser le potentiel de déplacement latéral,
7
simplifiant ainsi fondamentalement la mise en œuvre de zéro trust
2019 : Gartner entre dans la danse
Gartner introduit le concept de SASE (Secure Access Service Edge) et dynamise le concept de Zéro
Trust, en le redéfinissant en tant que Zéro Trust Network Access (ZTNA).
2020 : Le NIST définit un cadre standard de Zéro Trust
Le NIST publie la norme SP 800-207 en tant que cadre unifié pour l’établissement d’une
architecture Zéro Trust (ZTA) et introduit le premier véritable changement par rapport à la
définition de Zéro Trust dans le contexte du réseau.
2021 : Gartner définit un chemin sécurisé
Gartner définit les composants de sécurité du SASE comme une nouvelle catégorie de marché,
appelée Security Service Edge (SSE).
2022 : Le gouvernement américain impose le Zéro Trust
L’Office of Management and Budget impose l’adoption des principes de Zéro Trust pour toutes les
agences avant 2024.
8
• L'isolement des segments de réseau : Au lieu de considérer le réseau comme un
ensemble homogène, le modèle Zéro Trust le divise en segments restreints et contrôlés.
Chaque segment peut avoir ses propres règles d'accès et de sécurité, ce qui limite la
propagation des menaces à travers le réseau. Par exemple, un segment peut être dédié aux
serveurs sensibles et être strictement isolé du reste du réseau.
• L'inspection approfondie du trafic : Pour détecter les menaces potentielles, chaque
flux de données doit être inspecté en détail pour détecter les activités suspectes ou
malveillantes. Cela peut inclure l'analyse des comportements anormaux, la détection
d'attaques par force brute ou l'identification de signatures de logiciels malveillants.
• La protection de la confidentialité et de l'intégrité des données : Les données
sensibles doivent être protégées en permanence contre les accès non autorisés et les
altérations. Cela peut être réalisé en utilisant des techniques telles que le chiffrement des
données au repos et en transit, ainsi que des contrôles d'accès stricts pour garantir que seules
les personnes autorisées peuvent accéder aux informations sensibles.
• La centralisation de la gestion des politiques de sécurité : Pour assurer une
cohérence et une efficacité maximales, les politiques de sécurité doivent être définies, gérées
et appliquées de manière centralisée à travers l'ensemble du système. Cela garantit que
toutes les parties du réseau sont soumises aux mêmes règles de sécurité et que les mises à
jour ou les modifications peuvent être appliquées rapidement et uniformément.
1. Identité
Comptes inactifs :
Description : Les comptes utilisateurs inactifs ou les comptes d’anciens employés non désactivées
peuvent être exploite par des attaquants.
9
Conséquences : Ces comptes inactifs peuvent constituer des points d’entrées pour des attaques et
permettre un accès non autorisé au système
Solutions :
Revu périodique des droits d’accès et désactivation immédiate des comptes d’anciens employés
Solution : Biométrie avancée : Utiliser des solutions biométrique plus avance comme la
reconnaissance facial ou l’empreinte digitale.
3. Appareils
Problèmes :
Gestion des Appareils Personnels : Difficultés liées à la gestion et à la sécurité des appareils
personnels des utilisateurs.
Vulnérabilités des Appareils : Risque d'exploitation des vulnérabilités sur les appareils connectés au
réseau.
Solutions :
Gestion des Appareils Mobiles (GAM) : Utilisation de solutions de gestion des appareils pour
superviser les dispositifs.
Politiques de Sécurité Appareil : Mise en place de politiques de sécurité strictes pour les appareils
connectés au réseau.
4. Un réseau
Zéro Trust sécurise tout le trafic, quel que soit l’emplacement ou la ressource, et se
segmente lui-même pour limiter les mouvements latéraux.
Problèmes :
Attaques DDoS : Risque de surcharge réseau due à des attaques par déni de service distribué.
Ce pilier implique la protection des charges de travail sur site et basées sur le cloud via des
politiques d’accès au niveau des applications et d’autres mécanismes.
Problèmes :
Vulnérabilités Applicatives : Exposition aux attaques basées sur les vulnérabilités des applications.
Politiques d'Accès Rigides : Contraintes liées à des politiques d'accès trop restrictives.
Solutions :
Tests de Sécurité des Applications : Réalisation de tests réguliers pour identifier et corriger les
vulnérabilités.
Contrôles d'Accès Basés sur le Contexte : Mise en œuvre de politiques d'accès basées sur le
contexte pour ajuster dynamiquement les autorisations.
6. Données
Toutes les données au repos, en cours d’utilisation ou en mouvement sont cryptées, surveillées et
sécurisées pour empêcher toute divulgation non autorisée.
Problèmes :
Transferts de Données Non-Sécurisés : Risque de compromission des données lors des transferts
entre utilisateurs et applications.
Solutions :
Chiffrement des Données : Utilisation du chiffrement pour sécuriser les données lors des transferts.
11
Politiques de Gestion des Données : Élaboration de politiques strictes pour contrôler l'accès et
l'utilisation des données.
6. Infrastructures :
Problèmes :
Complexité des Systèmes : Défis liés à la gestion des systèmes complexes et à la détection des
vulnérabilités.
Réticence aux Mises à Jour : Risque de vulnérabilités non corrigées en raison de retards dans
l'application des mises à jour.
Solutions :
Politiques de Mises à Jour Obligatoires : Imposition de politiques strictes pour assurer la mise à jour
rapide des systèmes.
La sécurité zero trust permet aux employés d’une entreprise de naviguer en toute sécurité sur leurs
applications à distance. 🧑💻 Qu’ils soient chez eux ou connectés au wifi d’un espace de coworking,
cette stratégie de protection assure une navigation sans risque aux usagers. Ni pour eux, ni pour le
système qu’ils exploitent. C’est quand même rassurant de se dire que l’on peut utiliser les outils de
son entreprise en travaillant depuis l’extérieur, sans craindre d’amener des virus ou des logiciels
malveillants dans tout le réseau. Tout le monde est gagnant !
12
Bien entendu, cette protection innovante déjoue les attaques malveillantes et assure en continu un
relais de contrôle avec proactivité, de manière à cibler les tentatives d’hameçonnage, de violations
de données, etc.
Grâce à cette stratégie, les organisations vont économiser des ressources informatiques et réduire la
complexité de l’utilisation des systèmes informatiques à distance.
Avec l’évolution constante du numérique, certaines applications et certains logiciels nécessitent des
changements récurrents. La formule zéro trust vient soulager ces modifications en synthétisant des
ressources et en réduisant la singularité de certaines architectures.
des performances réseau boostées avec des visites réduites dans les sous-réseaux,
des erreurs de réseau résolues plus facilement,
une surveillance quotidienne accrue, factuelle et facilitée avec la granularité,
des cyber menaces détectées rapidement et contrôlées,
etc. Limites
Pour les Utilisateurs
Friction dans l’accès aux ressources : Les contrôles d'accès granulaires peuvent entraîner des
frictions lors de l'accès aux ressources nécessaires pour effectuer des tâches quotidiennes. Les
utilisateurs peuvent rencontrer des obstacles pour accéder à certaines applications ou données, ce
qui peut ralentir leur productivité et augmenter leur frustration.
13
Nécessite de multiples authentifications : En raison de l'authentification multi-facteurs (AMF) et
d'autres mesures de sécurité renforcées, les utilisateurs peuvent être confrontés à la nécessité de
fournir plusieurs formes d'authentification (mot de passe, code PIN, jeton, etc.), ce qui peut être
perçu comme fastidieux.
Education et sensibilisation nécessaire : Les utilisateurs peuvent ne pas comprendre pleinement les
raisons derrière la mise en œuvre de la stratégie Zéro Trust et les implications pour leur expérience
utilisateur. Une sensibilisation et une éducation adéquates sont nécessaires pour expliquer les
mesures de sécurité mises en place et aider les utilisateurs à comprendre leur importance.
Complexité de mise en œuvre : La transition vers une architecture Zéro Trust peut être complexe et
exigeante. Elle nécessite souvent des modifications importantes de l'infrastructure réseau, des
systèmes de sécurité et des processus opérationnels. Cette complexité peut entraîner des coûts plus
élevés et des retards dans la mise en œuvre.
Cout élevé : La mise en œuvre d'une stratégie Zéro Trust peut nécessiter des investissements
importants en termes de technologies de sécurité, de formation du personnel et de changements
d'infrastructure. Ces coûts peuvent être prohibitifs pour certaines entreprises, en particulier les PME
avec des budgets limités.
Défi de la conformité : La mise en œuvre d'une stratégie Zéro Trust peut poser des défis en matière
de conformité réglementaire. Les entreprises doivent s'assurer que leurs politiques de sécurité
respectent les exigences légales et réglementaires dans leur secteur d'activité, ce qui peut être
complexe et exigeant.
CONCLUSION
14
Chapitre 2: Mise en place de la stratégie
Introduction
I. Evaluation Initiale
1. matériel
2. logiciel
3. humain
4. documents
Cette identification consiste en plusieurs étapes : inventaire des actifs: Recensez tous les
actifs informatiques de l'organisation, y compris les serveurs, les applications, les données et les
périphériques réseau.
Qu’il s’agisse d’une machine, d’une application, d’une base de données, d’un procès
ou d’un contrat de sous-traitance, tous les actifs d’une entreprise ont une valeur qu’il
convient de connaître (et/ou de déterminer) afin de définir le niveau de sécurité nécessaire
à sa protection. Cependant, une attention particulière devra être portée aux actifs qui ont la
valeur la plus importante pour l’entreprise.
Afin d’être exhaustif dans l’identification des actifs et de déterminer le niveau de protection
approprié, il convient d’être précis. Ainsi pour chaque actif, il est de bon ton de déterminer au sein
d’un registre :
16
une vérification continue de l'identité et une gestion efficace des privilèges.
-Vérifier les mécanismes de détection et de réponse aux incidents: Vérifiez l'efficacité
des mécanismes de détection des incidents et des capacités de réponse pour garantir une
réaction rapide en cas d'incident de sécurité.
-Évaluer la conformité aux normes de sécurité: il faut s’assurer que vos pratiques de
sécurité sont conformes aux normes et aux meilleures pratiques de l'industrie, telles que ISO
27001, NIST SP 800-207, et les directives de l'ANSSI en France.
17
que les autorisations d'accès peuvent être définies de manière précise en fonction des besoins
spécifiques de chaque segment. Cela garantit que seuls les utilisateurs autorisés ont accès aux
ressources appropriées.
2. Avantages de la Segmentation
La segmentation réseau offre plusieurs avantages clés qui contribuent à renforcer la sécurité et
l’efficacité du réseau informatique d’une organisation.
18
2. implémentation Pratique de la Segmentation
Créer des règles de sécurité et identifier les ressources. Pour mettre en œuvre la segmentation du
réseau, les équipes réseau doivent commencer par créer des règles de sécurité pour chaque type de
données et chaque type de ressources qu’elles doivent protéger. Ces règles doivent identifier chaque
ressource, les utilisateurs et les systèmes qui y accèdent, ainsi que le type d’accès qui doit être
fourni.
Utiliser des listes d’autorisation. Ensuite, les équipes doivent mettre en place des contrôles d’accès
par liste d’autorisations. Cette pratique améliore considérablement la sécurité du réseau. Pour ce
faire, les équipes doivent identifier les flux de données de chaque application. Bien que ce
processus puisse demander beaucoup de travail, le temps et les efforts en valent la peine par rapport
au coût d’un incident de cybersécurité.
L’étape suivante consiste à ajouter une couche virtuelle pour le routage et la transmission des
paquets (couche VRF, pour Virtual Routing and Fowarding). Cette couche segmente les
informations de routage. Une implémentation avancée mettrait en œuvre un système multitenant
complet (prise en charge de plusieurs clients étanches entre eux chez un même prestataire,
typiquement) et serait basée sur des technologies de type Software-Defined (boîtier générique,
paramétrable à l’envi) qui combinent les firewalls, les ACL, les VLAN et la couche VRF.
Software-Defined. Il existe des boîtiers SD-Access qui identifient les points d’extrémité et les
affectent aux segments de réseau appropriés, indépendamment del’endroit où ils se connectent
physiquement. Le SD-Access étiquette les paquets pour identifier le segment auquel ils
appartiennent. L’étiquetage permet au réseau d’appliquer efficacement la règle appropriée.
Séparation physique. Les équipes réseau doivent recourir à la séparation physique, par exemple des
firewalls distincts, pour réduire la complexité des règles. Mélanger les règles de plusieurs firewalls
pour un grand nombre d’applications dans un seul firewall peut en effet devenir impossible à
19
maintenir. Dans ce genre de situations, les jeux de règles sont rarement supprimés, car on a du mal à
déterminer quelle action va en résulter. L’utilisation de firewalls distincts, via des machines
virtuelles typiquement, peut considérablement simplifier chaque jeu de règles, ce qui permet aux
équipes d’auditer et de supprimer plus facilement les anciennes règles lorsque les besoins changent.
Automatisation. Enfin, les équipes peuvent utiliser l’automatisation pour aider à maintenir la
sécurité du réseau. De nombreuses étapes d’audit de sécurité peuvent et doivent être automatisées
pour garantir qu’elles sont appliquées de manière cohérente. Les outils de type Software-Defined
sont généralement plus adaptés pour mettre en œuvre des processus d’automatisation.
1. Authentification Multifactorielle(AMF)
Avec l'AMF, les utilisateurs doivent combiner les technologies de vérification d'au moins
deux facteurs d'authentification différents. Ces facteurs se répartissent en trois catégories : ce que
vous savez, ce que vous avez et ce que vous êtes. Voici les trois principales catégories de facteurs
d’authentification multifactorielle :
20
saisir correctement des informations correspondant à celles qui ont été précédemment
stockées dans l'application en ligne.
De ‘tout ce qui precede l,utilisation d'un code PIN et d'un mot de passe (tous deux
appartenant à la catégorie "quelque chose que vous savez") ne sera donc pas considérée comme une
authentification multifactorielle, alors que l'utilisation d'un code PIN et d'une reconnaissance faciale
(appartenant à la catégorie "quelque chose que vous êtes") le serait. Il convient donc de noter qu'un
mot de passe n'est pas nécessaire pour bénéficier de l'AMF. Une solution MFA peut être entièrement
sans mot de passe.
Authentification biométrique : Les technologies biométriques sont une forme d'authentification qui
permet d'authentifier avec précision et en toute sécurité les utilisateurs par le biais de leurs
appareils mobiles. Les modalités biométriques les plus courantes sont la numérisation des
21
empreintes digitales et la reconnaissance des visages. L'authentification biométrique
comprend également la biométrie comportementale, qui fournit une couche de sécurité
invisible en authentifiant en permanence une personne sur la base de la façon unique dont
elle interagit avec son ordinateur ou son appareil mobile : frappe au clavier, balayage,
mouvements de la souris, etc.
Jetons matériels : Les authentificateurs matériels sont de petits dispositifs faciles à utiliser qu'un
propriétaire porte sur lui pour autoriser l'accès à un service réseau. En prenant en charge
l'authentification forte avec des codes d'accès à usage unique (OTP), les jetons physiques
fournissent un facteur de possession pour l'authentification multifactorielle tout en
permettant une sécurité renforcée pour les banques et les fournisseurs d'applications qui
doivent sécuriser plusieurs applications avec un seul dispositif.
Authentification mobile : L'authentification mobile consiste à vérifier un utilisateur via son appareil
Android ou iOS ou à vérifier l'appareil lui-même. Cette technologie permet aux utilisateurs
de se connecter à des sites sécurisés et d'accéder aux ressources de n'importe où avec une
sécurité renforcée.
Code Cronto : Ce code couleur de type QR peut authentifier ou autoriser une transaction
financière. L'individu voit ce code couleur de type QR affiché par son navigateur
web. Seul l'appareil enregistré de la personne peut lire et décrypter le code. Il
contient les détails de la transaction que l'utilisateur peut vérifier avant d'effectuer la
transaction, ce qui le rend très sûr.
Message textuel SMS ou message vocal : Les codes de passe à usage unique sont transmis
à l'appareil mobile de l'utilisateur par un message textuel SMS ou un message vocal.
22
Jeton logiciel : Les authentificateurs logiciels ou "jetons basés sur une application"
génèrent un code PIN de connexion unique. Ces jetons logiciels sont souvent utilisés
pour des cas d'utilisation MFA où l'appareil de l'utilisateur - dans ce cas un
smartphone - fournit le facteur de possession.
-Inscription
Un utilisateur crée un compte avec un nom d'utilisateur et un mot de passe. Cet utilisateur relie
ensuite son compte à d'autres éléments, comme un téléphone mobile ou un dispositif matériel
physique porte-clef. L'élément peut également être virtuel, comme une adresse e-mail, un numéro
de téléphone ou un code d'application d'authentification. Tous ces éléments permettent d'identifier
l'utilisateur de manière unique et ne doivent pas être partagés.
-Authentification
Quand MFA est activé, lorsqu'un utilisateur se connecte à un site web, il est invité à saisir son nom
d'utilisateur et son mot de passe (le premier facteur, ce qu'il connaît), ainsi qu'un code
d'authentification de son dispositif MFA (le second facteur, ce qu'il possède).
Si le système vérifie le mot de passe, il se connecte aux autres éléments. Par exemple, il peut
émettre un code chiffré vers l'appareil matériel ou envoyer un code par SMS à l'appareil mobile de
l'utilisateur.
-Réaction
L'utilisateur termine le processus d'authentification en vérifiant les autres éléments. Par exemple, il
saisit le code reçu ou clique sur un bouton sur l'appareil matériel. L'utilisateur se voit accorder
l'accès au système uniquement lorsque toutes les autres informations ont été vérifiées.
-Implémentation du processus
23
L'authentification multifactorielle peut être implémentée de différentes manières. Voici quelques
exemples :
• Le système demande uniquement le mot de passe et une autre preuve d'identité : il s'agit de
l'authentification à deux facteurs ou vérification en deux étapes.
• Durant la vérification, l'utilisateur saisit des informations biométriques en scannant une empreinte
digitale, sa rétine ou une autre partie du corps.
• Le système peut demander plusieurs authentifications uniquement lorsque vous y accédez pour la
première fois sur un nouvel appareil. Après cela, il se souviendra de la machine et ne vous
demandera que votre mot de passe.
-Microsoft authenticator
-User Lock
-ActiveCompaign
-andOTP
-Twilio Authy
-Google Authenticator
-2FA Authenticator
-FreeOTP
-Microsoft Authenticator
-Duo Mobile
24
Pour personnaliser l’expérience de l’utilisateur final au niveau de l’authentification multifacteur
Microsoft Entra, vous pouvez configurer des options pour les paramètres comme les seuils de
verrouillage de compte ou les alertes et notifications de fraude.
2. Politique de moindre privilege
La politique de moindre privilège est une politique qui stipule, selon l'ANSSI, qu'une tâche
ne doit bénéficier que de privilèges strictement nécessaires à l'exécution du code menant à bien ses
fonctionnalités. En d'autres termes, une tâche ne devrait avoir la possibilité de mener à bien que les
actions dont l'utilité fonctionnelle est avérée.
25
26