Une (plus) brève histoire de Zero Trust : Les grandes étapes de la refonte de la sécurité des entreprises

Pourquoi raconter l’histoire de Zero Trust ?

Nombreux sont ceux qui, dans le domaine de la sécurité informatique, pensent que Zero Trust constitue un véritable bouleversement, une refonte fondamentale de la sécurité des entreprises et de la protection des réseaux et des ressources qui abritent nos meilleures idées, connectent nos talents les plus brillants et donnent accès à des outils de productivité transformateurs. 

Pour comprendre à quel point le modèle Zero Trust est révolutionnaire dans le domaine de la cybersécurité, il est nécessaire de comprendre comment l’idée d’une architecture Zero Trust a évolué pour devenir un modèle qui bouleverse fondamentalement un mode de pensée vieux de plusieurs décennies. 

Voici un bref historique de certains des moments clés de la création du mouvement Zero Trust.

Les moments clés de l’histoire de Zero Trust

1987 – Des ingénieurs de la Digital Equipment Corporation (DEC) publient le premier article sur la technologie des pare-feu, inaugurant ainsi des décennies de réflexion sur la sécurité cloisonnée des réseaux.

2001 – L’IEEE Standards Association publie le protocole 802.1X pour le contrôle d’accès au réseau (NAC).

2004 – Création du forum Jericho, qui introduit le principe de dépérimétrisation.

2007 - La Defense Information Systems Agency (DISA) publie son modèle « black core » pour un périmètre défini par logiciel, modèle qui a du mal à s’imposer. 

2009 – BeyondCorp, de Google, est fondée pour repenser l’architecture de sécurité à la suite de l’opération Aurora.

2010 – L’analyste John Kindervag introduit le terme « Zero Trust » dans un article du Forrester Research Group.

2013 - Le périmètre défini par logiciel de la Cloud Security Alliance, qui dépend du SPA, échoue en raison des limites techniques ; le forum Jericho déclare que la dépérimétrisation est un « fait » et se dissout.

2017 – Gartner conçoit CARTA (Continuous Adaptive Risk and Trust Assessment) comme un cadre de gestion des risques.

2019 – Gartner introduit le concept de secure access service edge (SASE).

2020 – Le NIST publie la norme SP 800-207 comme cadre unifié pour l’établissement d’une architecture Zero Trust (ZTA).

2021 – Gartner précise que les composants de sécurité du SASE constituent une nouvelle catégorie de marché, appelée secure service edge (SSE).

2022 – L’Office of Management and Budget du gouvernement américain impose l’adoption des principes de Zero Trust à toutes les agences d’ici 2024.

 

802.1X et le contrôle d’accès au réseau

Le protocole 802.1X a été publié en 2001 en tant que norme régissant le contrôle d’accès au réseau (NAC) pour les appareils sans fil. L’adoption croissante de ces dispositifs sans fil a compliqué la notion de périmètre d’entreprise strictement défini, et les entreprises ont ressenti le besoin de répondre à cet usage croissant.

Le supplicant (ou client) 802.1X était censé permettre aux réseaux d’authentifier un terminal avant d’autoriser une connexion. Hélas, tous les appareils ne sont pas compatibles avec le protocole 802.1X. Les imprimantes, les systèmes IoT et d’autres appareils connectés n’ont pas permis à cette méthode de servir de solution universelle au problème de l’accès non autorisé au réseau. 

 

Le forum Jericho imagine une solution courageuse

En 2003, un groupe de leaders technologiques européens a reconnu les problèmes inhérents à l’architecture de réseau cloisonnée et a examiné les moyens de faire tomber les cloisons du réseau.  

Ils ont réuni en 2004 un groupe de travail connu sous le nom de forum Jéricho, qui a introduit l’idée de la « dépérimétrisation » et a donné au monde un ensemble de « commandements » qui ont jeté les bases des bonnes pratiques de gestion des réseaux sans périmètre.

 

Plus qu’un mot à la mode : le concept de « Zero Trust »

En 2010, John Kindervag, analyste chez Forrester, a publié un article intitulé « No More Chewy Centers: Introducing The Zero Trust Model Of Information Security ». Plus qu’un mot à la mode, il a apporté au secteur de la sécurité informatique un point d’ancrage pour l’élaboration d’un nouveau modèle de connectivité.

Le postulat était qu’une présence sur un réseau ne constituait pas une base suffisante pour accorder la confiance. L’identité et la capacité de la vérifier a remplacé le périmètre en tant que critère essentiel d’accès. Hélas, jusque-là, rien de fondamental n’avait changé dans l’environnement de l’entreprise elle-même. Les réseaux étaient encore une construction tout ou rien, interne ou externe.

 

Beyond Corp (au-delà du périmètre)

Comme c’est souvent le cas en matière de cybersécurité, les auteurs des menaces ont été à l’origine de la nouvelle évolution de la sécurité du réseau. L’Armée populaire de libération de la Chine a mené une opération de grande envergure contre des sociétés technologiques américaines, dont Akamai, Adobe et Juniper Networks, et Google a réagi en lançant BeyondCorp. 

L’objectif, selon Google, était de « déplacer les contrôles d’accès du périmètre du réseau vers les utilisateurs individuels… [permettant] de travailler en toute sécurité depuis pratiquement n’importe quel emplacement sans avoir besoin d’un VPN traditionnel ». Zero Trust, dans son sens le plus pur de non-prise en compte de la distinction entre « sur » et « hors » réseau, était en marche. 

Mais Google s’efforçait de résoudre un problème difficile et, bien qu’il ait essayé « d’ouvrir la voie à d’autres entreprises pour qu’elles mettent en œuvre leur propre réseau Zero Trust », cette stratégie était encore hors de portée de la plupart des entreprises en 2010.

 

« The Man » (le gouvernement américain) apporte son soutien à Zero Trust

En 2020, le National Institute for Standards and Technology (NIST) a recentré le débat avec sa norme NIST 800-207 concernant l’architecture Zero Trust. 

Ce nouveau paradigme de cybersécurité était axé sur la protection des ressources et sur le principe selon lequel la confiance ne doit jamais être accordée implicitement, mais doit être constamment évaluée. Les carcans du périmètre et la notion de réseau privé virtuel ont été rejetés. 

Ses éléments fondamentaux sont essentiels pour comprendre comment fonctionne le concept de Zero Trust et en quoi il s’écarte des approches qui l’ont précédé. La norme 800-207 stipule les principes et hypothèses clés de Zero Trust. Voici trois des points les plus critiques (parmi une liste beaucoup plus longue) :

1. Aucune ressource n’est intrinsèquement fiable.
2. Toutes les communications sont sécurisées, indépendamment de l’emplacement du réseau.
3. L’authentification et l’autorisation de toutes les ressources sont dynamiques et rigoureusement appliquées avant que l’accès ne soit autorisé.

S’il s’agissait d’un changement de paradigme en termes de réflexion sur la notion de Zero Trust, la révolution en termes d’avancement est venue de la directive M-22-09 de l’Office of Management and Budget (OMB) des États-Unis, publiée en 2022. Zero Trust est soudainement devenu la règle, du moins en ce qui concerne les agences fédérales américaines. 

Mais les implications étaient plus larges. Avec l’aval de l’exécutif, très certainement en raison d’une attaque très médiatisée de la chaîne d’approvisionnement en 2021 qui a compromis des agences fédérales telles que l’État, le Trésor, la Sécurité intérieure, le Commerce et l’Énergie, la méthodologie Zero Trust a bénéficié du soutien du gouvernement américain.

 

Affiner davantage Zero Trust

L’approbation des principes de Zero Trust par le gouvernement américain n’a pas sonné la fin des progrès de ce modèle. L’approche de Zscaler en matière d’architecture Zero Trust s’aligne étroitement sur le cadre ZTA du NIST et sur la définition de SSE proposée par Gartner. Elle va même au-delà de ces normes, avec trois avancées fondamentales de la pensée Zero Trust :

1. L’ensemble du trafic est un trafic Zero Trust.
2. L’identité et le contexte passent toujours avant la connectivité.
3. Les applications - et même les environnements d’applications - doivent rester invisibles aux utilisateurs non autorisés.

Pour en savoir plus sur cette approche moderne de Zero Trust, et notamment sur la façon dont Zscaler contribue aux prochaines étapes de la refonte de la sécurité des entreprises, nous vous invitons à lire livre blanc « A brief history of zero trust: Major milestones in rethinking enterprise security » (Une brève histoire de Zero Trust : Les grandes étapes de la refonte de la sécurité de l’entreprise).

Vous pouvez également visionner l’enregistrement de ma présentation LinkedIn Live sur le sujet avec Greg Simpson.