Tout ce qu’il y a à savoir sur le Zero Trust
Le secteur de la cybersécurité avait pour habitude de considérer les données comme un château fort que nous protégions à l’aide de douves, d’un puissant dragon algorithmique, voire d’un preux chevalier. Les données se trouvaient toutes là, bien réunies, comme un trésor à l’intérieur de ces murs de pierre. Mais que se passait-il lorsqu’un intrus franchissait ces murs ? Il pouvait repartir avec tout le butin.
Quelques décennies plus tard, les professionnels de la cybersécurité ont mis au point de nouvelles approches afin de diviser les accès, de créer de nouvelles enceintes intérieures, de nombreux tunnels et des points de contrôle qui obligent les utilisateurs à prouver leur identité, ce qui détermine le niveau d’accès dont ils disposent.
C’est ce qu’on appelle le « Zero Trust ».
Bien que cela puisse sembler contre-intuitif, cette nouvelle approche de la cybersécurité (et ce nouveau terme à la mode) est en fait tout à fait logique. Plutôt que d’autoriser l’accès avec un seul point de contrôle à la grande porte du château, une approche Zero Trust nous demande de partir du principe que personne n’est digne de confiance pour pénétrer à l’intérieur, se faufiler dans les tunnels ou franchir des enceintes tant qu’il n’a pas systématiquement prouvé son identité pour chaque niveau d’accès associé.
C’est une approche que Salesforce applique activement pour conserver la confiance en tant que valeur principale. Mais qu’est-ce que cela signifie pour les clients Salesforce ? J’ai échangé avec Saša Zdjelar, vice-président senior de l’assurance sécurité chez Salesforce, pour découvrir les effets du Zero Trust sur vous, vos clients et Salesforce.
Bailey : Alors, Saša, revenons un peu en arrière. D’où vient le « Zero Trust » ?
Saša Zdjelar : Bien sûr, c’est la meilleure manière de commencer ! Pour comprendre l’avenir, il est utile de comprendre le passé. Si on utilise l’analogie du château fort et des douves, le secteur de la cybersécurité a abordé les données avec à l’esprit la notion de violation de périmètre. Une fois à l’intérieur, la personne avait accès à tout. Cette approche fonctionnait, car à l’époque, nous avions recours à des emplacements physiques, des serveurs sur site et des réseaux uniques. Il était logique de se concentrer sur la mise en place et la sécurisation d’un périmètre simple.
Pourtant, au fur et à mesure que des entreprises comme Salesforce et d’autres fournisseurs de SaaS (logiciel en tant que service) ont vu le jour, les personnes ont commencé à déplacer les données entre les fournisseurs, et notre travail a évolué pour se faire davantage à distance et en déplacement ; le périmètre qui était autrefois unique est devenu terriblement flou. Avant même que vous ne vous en rendiez compte, lorsque vous avez adopté des produits tels que G-Suite, Salesforce CRM et d’autres solutions commerciales, ce périmètre a complètement disparu. Nous n’avons plus affaire à un seul château fort qui renferme toutes les données, mais à de nombreux petits villages de données qui sont dispersés, et qui ne se trouvent plus à l’intérieur de l’énorme enceinte de votre château.
Au fur et à mesure du développement de ces nouvelles technologies mondiales, des menaces de cybersécurité plus complexes se sont également intensifiées, entraînant des événements d’ampleur considérable impliquant des violations, des logiciels malveillants et des rançongiciels à l’échelle des États. Nous avons appris au fil des années que ces acteurs exploitaient souvent les faiblesses inhérentes à nos conceptions en château fort. C’est à ce moment-là que le Zero Trust entre en scène : nous avons compris que les violations ne devaient pas tout compromettre et donner accès à l’ensemble des données, c’est pourquoi nous avons divisé les éléments en tunnels spécifiques en fonction des preuves d’identité, des autorisations des appareils, de l’authentification multifacteur, etc. Le Zero Trust demande de faire confiance uniquement aux personnes ayant prouvé qu’elles sont dignes de confiance. Ainsi, nous sommes tous plus en sécurité.
Bailey : Tout à fait, cette analogie est très utile ! Pouvons-nous explorer plus en détail le fonctionnement du Zero Trust dans une organisation comme Salesforce, où, à première vue, cela semble contradictoire avec notre valeur première de confiance ?
Saša : Ce sont des enjeux importants et le terme « Zero Trust » peut être très déroutant, car il ne vous dit pas grand-chose. Lorsque vous êtes une organisation comme Salesforce et que votre valeur principale est la confiance, dire ensuite à vos clients que vous n’avez aucune confiance peut sembler problématique.
Cependant, ce terme signifie en réalité qu’il n’existe aucune confiance implicite lors des connexions. Nous ne vous faisons pas confiance par défaut simplement parce que vous pouvez vous connecter ; vous devez prouver que l’on peut vous faire confiance dans chaque ressource à laquelle vous accédez. Pour ce faire, vous utilisez l’authentification d’identité, l’attestation d’état de l’appareil et d’autres méthodes. Une fois que nous avons décidé que nous pouvons vous faire confiance et que nous revalidons cette confiance pour chaque demande que vous faites, nous devons alors décider à quoi vous avez accès. Nous pouvons arranger l’accès à un tunnel précis, à des informations spécifiques au sein d’une application donnée, cet accès pouvant être très précis, par exemple à un port ou à un service particulier.
Bailey : Ah, cela nous aide donc à respecter notre valeur principale !
Saša : Absolument. Du côté de l’entreprise Salesforce, le Zero Trust nous aide à mieux nous protéger contre les menaces persistantes avancées, les acteurs étatiques ou d’autres attaques, afin que nous soyons tous plus résilients. Et étant donné qu’il s’agit de produits destinés à des clients, vous devriez avoir la certitude que les données sont mieux protégées. Les avantages apportés par le Zero Trust à notre organisation sont les mêmes que ceux apportés à nos clients.
Au-delà de cela, nous étudions des stratégies pour intégrer les concepts de Zero Trust à la manière dont nos clients accèdent à leurs propres données. Si les employés de votre organisation accèdent à vos données, comment le Zero Trust peut-il aider à garantir que seuls les employés vérifiés de l’organisation, qui en ont l’autorisation, qui sont sur le bon appareil et à un emplacement correct, sont autorisés à avoir accès à ces données ?
Une fois que vous nous avez dit ce que vous souhaitez autoriser dans votre organisation, en termes d’identification, d’appareils et d’emplacements que vous vous attendez à voir, nous pouvons vous aider à mettre en place ce que nous appelons « l’accès par la porte d’entrée » et déterminer si nous autorisons l’accès à vos propres données. Cela peut vous permettre de lutter contre les employés malhonnêtes, les risques ou les violations dans votre propre environnement et d’empêcher l’accès à toutes les données stockées avec Salesforce.
Bailey : C’est tout à fait logique. Il est très utile de connaître les mesures en faveur du Zero Trust qui sont prises par les professionnels de la cybersécurité et pourquoi. Je sais que ce terme est très à la mode aujourd’hui, mais il existe à présent depuis environ une dizaine d’années, alors pouvez-vous nous en dire plus sur les phénomènes qui ont accru ou renforcé l’urgence du passage au Zero Trust ?
Saša : Si vous regardez n’importe quelle chronologie de la technologie, vous constatez en général des moments catalyseurs de changements. Pour le Zero Trust, bien que ce concept ait été inventé en 2010 par John Kindervag, la pandémie de COVID-19 a été un marqueur important, moteur du changement. Avant la COVID-19, le secteur de la sécurité des réseaux ainsi qu’un très petit pourcentage d’entreprises natives du Cloud les plus avancées s’intéressaient aux pratiques de Zero Trust.
Lorsque la pandémie de COVID-19 est arrivée, des employés de tous les secteurs et de toute la planète ont été renvoyés chez eux. Ce que beaucoup de gens ne réalisent peut-être pas, c’est que lorsqu’ils fonctionnent en mode VPN d’entreprise, l’ensemble du réseau de l’organisation est étendu à ces lieux. Sans surprise, les risques sont très nombreux. Imaginez que des centaines de milliers d’employés dans le monde étendent les réseaux de leur entreprise dans chacun de leurs domiciles ou chaque café où ils se connectent ? Les organisations sont alors extrêmement exposées.
Avec le Zero Trust, lorsque vous avez été contrôlé en tant qu’utilisateur autorisé d’une application ou d’un service, la technologie arrange ensuite un microtunnel très précis pour cette ressource spécifique, plutôt que de vous autoriser l’accès à tout le château. Ce faisant, les données sont bien mieux protégées.
Bailey : C’est bon à savoir, surtout parce que tant d’aspects de notre travail et de nos interactions en ligne ont changé depuis la COVID-19. Je suis curieuse de connaître les méthodes de Zero Trust dans notre quotidien. De quelles manières sommes-nous plus régulièrement confrontés aux approches ou pratiques de Zero Trust ?
Saša : Alors, nous constatons en fait beaucoup de pratiques de Zero Trust dans le cadre de la consommation dans notre vie quotidienne. Par exemple, lorsque vous vous connectez à votre application bancaire ou au site Web de votre banque, on peut vous demander de vous connecter, puis de saisir un code envoyé par e-mail ou par SMS pour finaliser votre connexion. Lorsque les appareils ne sont pas reconnus, la gestion des états d’appareil acceptables du consommateur vous demandera de confirmer qu’il s’agit de votre appareil, en répondant à des questions supplémentaires et en vous demandant si vous souhaitez ajouter cet appareil en tant qu’« appareil de confiance ». Salesforce demande l’authentification multifacteur (MFA) pour tous les employés et clients afin d’améliorer la protection contre les attaques d’hameçonnage, le credential stuffing et les piratages de compte grâce à des facteurs supplémentaires de contrôles de sécurité. Même dans le cas où une personne vole un nom d’utilisateur et un mot de passe, les couches supplémentaires de contrôles de sécurité empêcheront tout de même l’accès aux données critiques. C’est à nos yeux une pratique importante de Zero Trust, qui est d’ailleurs adoptée par beaucoup d’autres organisations.
Les écoles, les hôpitaux, les banques, les entités gouvernementales et même les revendeurs commencent à implémenter leurs propres pratiques de Zero Trust pour assurer la sécurité des consommateurs et des citoyens. Si je devais faire une annonce d’intérêt public pour prévenir les gens, je dirais que si vous ne vous souvenez pas de votre mot de passe sur un site et qu’on vous l’envoie par e-mail, cela signifie que votre mot de passe est connu et visible en clair. C’est une pratique à proscrire absolument. Les mots de passe doivent toujours être chiffrés lors de leur stockage.
Si vous réfléchissez à la meilleure façon de protéger vos données et celles de vos clients, Salesforce peut vous aider. Vous pouvez découvrir les produits et solutions que nous avons conçus en ayant à l’esprit leur sécurité pour aider votre organisation à maintenir la confiance et à protéger ses clients. Explorez également notre Centre d’apprentissage de cybersécurité gratuit (une initiative en partenariat avec le Centre pour la cybersécurité du Forum économique mondial) pour acquérir toutes les connaissances les plus récentes en matière de sécurité. Après tout, veiller à maintenir la confiance relève de la responsabilité de chacun !