Zero trust

Cet article est une ébauche concernant la sécurité et l’informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Le modèle de cybersécurité Zero Trust (soit : aucune confiance), ou architecture zero trust, ou accès au réseau zero trust, parfois défini comme sécurité sans périmètre, définit une approche de design numérique et d'installations de systèmes d'information.

Le concept découle d'un principe simple : never trust, always verify (ne faites aucune confiance, vérifiez toujours) qui implique qu'aucun appareil connecté ne doit recevoir de confiance par défaut, même s'il est connecté par un réseau ayant permission, et même s'il a déjà obtenu des permissions auparavant.

Historique[modifier | modifier le code]

L'expression zero trust apparaît pour la première fois en 1994 dans la thèse de doctorat en sécurité informatique de Stephen Paul Marsh en sécurité informatique à l'Université de Stirling. Il aborde pour la première fois la notion de confiance "sous forme mathématique, transcendant les aspects humains comme la morale, l'éthique, la légalité, la justice et le jugement"^[1].

En 2004, le défi pour définir le périmètre du système d'information d'une organisation a été mis en lumière par le Jericho Forum de cette année-là, lors d'un débat sur le thème du moment la dé-périmètration.

En 2009, Google a déployé une architecture zero trust qu'il a nommée BeyondCorp.

En 2010, l'expression « modèle zéro trust » a été utilisé par l'analyste John Kindervag, travaillant chez Forrester Research, pour désigner des programmes de cybersécurité et des contrôles d'accès plus stricts au sein des organisations et entreprises^[2]^,^[3]^,^[4].

Recommandations[modifier | modifier le code]

Aux États-Unis, les travaux entamés en 2018 par les chercheurs en cybersécurité du NIST et du National Cybersecurity Center of Excellence ont conduit à la publication d'un standard : SP 800-207, Zero Trust Architecture^[5]^,^[6], définissant le zero trust comme « un ensemble de concepts et d'idées permettant de réduire l'incertitude dans l'accès sur demande à des décisions informatiques dans les systèmes et services informatiques en cas de compromission du réseau ».

En France, l'ANSSI incite à une remise en cause de la « confiance implicite » accordée traditionnellement dans le modèle périmétrique, en particulier dans un contexte où le recours étendu au cloud et le bring your own device rendent plus difficile le tracé des contours du périmètre du SI^[7].

Au Royaume-Uni, le United Kingdom National Cyber Security Centre (NCSC) recommande l'architecture zero trust pour tout nouveau déploiement IT, en particulier lorsqu'il est prévu un recours significatif aux services cloud^[8].

Stratégies[modifier | modifier le code]

Une stratégie de cybersécurité zero trust doit inclure a minima ces trois éléments :

une politique d'utilisation d'identité améliorée et des contrôles d'accès réglementés
l'usage de micro-segmentation
l'usage de réseaux superposés et de périmètres définis par le software plutôt que le hardware.

Une approche alternative, notamment prônée par le NCSC britannique, est d'identifier les principes clés qui constituent une architecture zero trust :

usage d'une source fort et unique de l'identité utilisateur
authentification de l'utilisateur
authentification de la machine
contexte additionnel, comme la conformité à des directives et la "santé" des appareils
règles d'accès pour une application en particulier
règles d'accès à l'intérieur même d'une application

Voir aussi[modifier | modifier le code]

Cybersécurité
Faites confiance, mais vérifiez (proverbe russe)
Sécurité des systèmes d'information
Fatigue de mot de passe

Notes et références[modifier | modifier le code]

↑ (en) « Formalising Trust as a Computational Concept », sur Google Scholar, 1994 (consulté le 27 avril 2023)
↑ (en) Angus Loten, « Akamai Bets on 'Zero Trust' Approach to Security », Wall Street Journal, 1^er mai 2019 (consulté le 17 février 2022)
↑ (en) Kelly Jackson Higgins, « Forrester Pushes 'Zero Trust' Model For Security » [archive du 26 août 2021], sur Dark Reading, Informa (consulté le 17 février 2022)
↑ John Kindervag, « Build Security Into Your Network’s DNA: The Zero Trust Network Architecture », Forrester Research, 5 novembre 2010 (consulté le 22 juillet 2022)
↑ National Cybersecurity Center of Excellence, « Implementing a Zero Trust Architecture », NIST (consulté le 22 juillet 2022)
↑ Scott Rose, Oliver Borchert, Stu Mitchell et Sean Connelly, « Zero Trust Architecture », sur nvlpubs.nist.gov, NIST (consulté le 17 octobre 2020)
↑ Avis scientifique et technique - Le modèle Zero Trust, ANSSI, avril 2021
↑ (en) « Network architectures », sur www.ncsc.gov.uk (consulté le 25 août 2020)

[1] (en) « Formalising Trust as a Computational Concept », sur Google Scholar, 1994 (consulté le 27 avril 2023)

[:1-2] (en) Angus Loten, « Akamai Bets on 'Zero Trust' Approach to Security », Wall Street Journal, 1^er mai 2019 (consulté le 17 février 2022)

[:2-3] (en) Kelly Jackson Higgins, « Forrester Pushes 'Zero Trust' Model For Security » [archive du 26 août 2021], sur Dark Reading, Informa (consulté le 17 février 2022)

[4] John Kindervag, « Build Security Into Your Network’s DNA: The Zero Trust Network Architecture », Forrester Research, 5 novembre 2010 (consulté le 22 juillet 2022)

[:3-5] National Cybersecurity Center of Excellence, « Implementing a Zero Trust Architecture », NIST (consulté le 22 juillet 2022)

[:4-6] Scott Rose, Oliver Borchert, Stu Mitchell et Sean Connelly, « Zero Trust Architecture », sur nvlpubs.nist.gov, NIST (consulté le 17 octobre 2020)

[7] Avis scientifique et technique - Le modèle Zero Trust, ANSSI, avril 2021

[:0-8] (en) « Network architectures », sur www.ncsc.gov.uk (consulté le 25 août 2020)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]