Ces derniers temps, de nombreux articles sur le Zero Trust sont parus dans la presse. S’agit-il d’un nouveau terme à la mode, ou l’expression recouvre-t-elle une réalité bien tangible ?
Le Zero Trust (« confiance zéro ») n’est pas un nième mot branché. Le terme désigne un concept et un modèle de sécurité qui, depuis quelques années, séduit de plus en plus d’entreprises. Le Zero Trust transforme le modèle traditionnel de sécurité périmétrique en un modèle de sécurité proactif et dynamique. Son principe : rien n’est fiable par défaut. Le Zero Trust met l’accent sur la sécurisation de chaque demande d’accès à des ressources ou des systèmes, quels que soient l’emplacement ou l’environnement réseau de l’utilisateur.
Le terme « Zero Trust » a été popularisé en 2009 par John Kindervag, analyste chez Forrester Research. En présentant son concept, Kindervag soulignait la nécessité d’une approche de la sécurité plus robuste et centrée sur l’identité. Le principe de base du Zero Trust est de « ne jamais faire confiance, toujours vérifier ».
L’infrastructure à clé publique (PKI) représente quant à elle un cadre technologique permettant de gérer les certificats numériques et les clés de chiffrement. On utilise une PKI principalement pour sécuriser les communications, authentifier les entités numériques (appareils, serveurs, utilisateurs), et préserver l’intégrité des données. Elle établit une relation de confiance entre les différentes entités en utilisant des clés cryptographiques et des certificats numériques.
Pour résumer, l’approche Zero Trust se concentre sur la gestion des accès et la sécurité du réseau, tandis que la technologie PKI offre des fonctionnalités de communication et d’authentification sécurisées.
Comment combiner une PKI avec une démarche Zero Trust pour renforcer la sécurité ?
L’intégration d’une PKI dans un contexte de « confiance zéro » permet de renforcer efficacement la posture de sécurité d’une organisation. On ajoute en effet des couches supplémentaires de protection et d’authentification aux systèmes et aux données de l’organisation.
Bien que la PKI et la philosophie Zero Trust poursuivent des objectifs différents, elles sont complémentaires et peuvent être associées pour améliorer la sécurité globale.
Dans un modèle de confiance zéro, aucun utilisateur, appareil ou composant réseau n’est considéré comme fiable par défaut. Chaque demande d’accès doit être authentifiée et autorisée.
Pour les organisations qui combinent les principes de la confiance zéro avec les capacités d’une PKI, les avantages sont nombreux. En plus de consolider leur posture sécuritaire, cela permet d’atténuer les risques et garantit que l’accès aux ressources critiques repose sur une authentification forte, une autorisation stricte et une communication sécurisée, selon les principes suivants :
Authentification forte de l’utilisateur
La PKI s’appuie sur des certificats numériques pour authentifier les utilisateurs de façon robuste. Chaque utilisateur reçoit un certificat unique qui nécessite une clé privée pour accéder aux ressources protégées. Cette façon de procéder permet de réduire les risques liés aux mots de passe faibles ou aux informations d’identification compromises.
Authentification des appareils
Le modèle Zero Trust exige que les appareils soient authentifiés avant de leur accorder l’accès aux ressources. La PKI peut être utilisée pour délivrer et gérer [les certificats] de ces dispositifs afin que seuls les dispositifs fiables et autorisés puissent accéder aux ressources et aux réseaux protégés.
Communication sécurisée
Grâce au chiffrement, la PKI joue un rôle essentiel dans la sécurisation des communications. De son côté, le modèle Zero Trust exige le chiffrement des données en transit. En intégrant la PKI, les organisations s’assurent ainsi que les canaux de communication entre les entités de confiance sont chiffrés, préservant ainsi les informations sensibles de tout accès non autorisé.
Points à prendre en compte lors de la mise en œuvre d’un modèle Zero Trust
Dans une démarche Zero Trust, avec authentification stricte et vérifications continues, le processus d’authentification utilisateur peut se voir ajouter des étapes supplémentaires. Afin de ne pas dégrader l’expérience utilisateur – et éviter les frustrations et les baisses de productivité – la mise en œuvre doit être bien pensée. Tout le jeu consiste à trouver le juste équilibre entre rigueur des mesures de sécurité et fluidité de l’expérience utilisateur. Pour y parvenir, des actions de sensibilisation et de formation des utilisateurs doivent être prévues.
Il est essentiel de planifier et d’exécuter ces intégrations avec précaution. Pour ce faire, vous pouvez faire appel à votre Autorité de certification de confiance qui possède l’expertise nécessaire pour vous guider dans la mise en place de la technologie PKI requise, en prenant en considération les spécificités et les défis propres à votre environnement.
Et enfin…
Dans un environnement Zero Trust, où chaque demande d’accès exige une authentification et une autorisation, la gestion des certificats peut devenir complexe. Il s’agit en effet de gérer des tâches allant de l’inscription, au renouvellement, jusqu’à la révocation et la surveillance des certificats… Pour garantir l’intégrité et la sécurité de l’infrastructure cryptographique PKI sous-jacente, les organisations doivent mettre en place les processus et les systèmes appropriés afin de gérer efficacement toutes ces étapes.
