Pour quiconque travaille dans le secteur de la cybersécurité ou de la technologie depuis un certain temps, un an ou deux peuvent sembler une éternité, et une décennie a tendance à laisser derrière elle suffisamment de techno-fossiles pour remplir un nombre incalculable d'entrepôts. Il est donc difficile de croire que la conversation autour de la confiance zéro a lieu depuis près de 30 ans. L'objectif de cette série de blogs est de donner un bref aperçu de la façon dont l'architecture de confiance zéro a évolué jusqu'à ce qu'elle soit aujourd'hui, de mettre en évidence certains changements technologiques et sentimentaux spécifiques en cours de route, et finalement de mettre en parallèle l'évolution beaucoup plus récente de la gestion de la surface d'attaque avec les défis de l'adoption de la confiance zéro.
Le début de la confiance zéro
Comme pour de nombreuses applications pratiques de la technologie, la confiance zéro a d'abord été un modèle conceptuel proposé par l'universitaire Stephen Paul Marsh dans sa thèse de doctorat en 1994. Sur le plan technologique, à cette époque, le pare-feu régnait en maître, et la philosophie en matière de sécurité pour les entreprises était que tout ce qui avait de la valeur se trouvait derrière le pare-feu - et que c'était là toute la protection nécessaire. Pour utiliser une image beaucoup plus familière, on pourrait comparer les entreprises de cette époque à une maison dont les différentes pièces ne sont pas séparées par des portes. Une fois que quelqu'un est entré, il a eu accès à tout et a bénéficié d'une confiance absolue.
Au cours de la décennie suivante, le modèle conceptuel de la confiance zéro a gagné suffisamment de terrain pour être inclus dans le Forum de Jéricho en 2003. À ce moment-là, la technologie a commencé à permettre le travail à distance comme jamais auparavant. Le besoin sans cesse croissant de s'adapter à cette main-d'œuvre à distance a commencé à entraîner des changements dans les architectures d'entreprise, ce qui s'est traduit par de nouveaux écarts par rapport au modèle de périmètre traditionnel. Le Jericho Forum a été en mesure de reconnaître ces tendances très tôt, mais ce n'est que lorsque Google a subi une violation importante et très publique en 2009 que le modèle de confiance zéro a commencé à se développer plus largement avec la création de BeyondCorp.
Confusion autour de ce qu'est - et de ce que n'est pas - la "confiance zéro".
En principe, la confiance zéro est extrêmement simple et correspond exactement à ce qu'elle semble être : Ne pas. Ne pas faire confiance. Rien. Toutefois, il est rapidement apparu que l'application pratique de ce principe a entraîné une grande confusion dans les années 2010.
Les entreprises et les équipes de marketing se sont emparées du terme et ont apposé la mention "zéro confiance" sur le marketing et la publicité de leurs produits. En l'absence d'un cadre ou d'une autorité officielle, le "buzzword bingo" a commencé à polluer le marché avec des publicités pour des produits qui n'étaient pas vraiment "zéro confiance" et dont personne ne pouvait vraiment dire le contraire. Cette situation a conduit à un amalgame d'idées et de technologies qui a semé la confusion chez les clients et sur le marché dans son ensemble - aucun individu ni aucune technologie n'avait la mainmise sur le marché et le problème comme la solution étaient mal compris. La catégorie est devenue si confuse que le modèle a dû être divisé en sous-catégories telles que Workforce (utilisateurs), Workplace (réseau) et Workloads (applications).
Pour ajouter à la complexité croissante du défi, à peu près à la même époque, Apple et d'autres entreprises ont complètement changé la donne en lançant leurs différents magasins d'applications ET l'adoption de l'informatique en nuage s'est imposée si rapidement que beaucoup diraient que nous en sommes actuellement au stade des "utilisateurs tardifs" de son utilisation. Soudain, l'étendue de la sécurité est devenue exponentiellement plus complexe, car des centaines, voire des milliers d'applications et de ressources informatiques ont fait voler en éclats le concept traditionnel de périmètre. De nouveaux outils sont devenus nécessaires et disponibles, et des dizaines d'entreprises ont vu le jour pour répondre à ce besoin, ce qui a rendu le paysage encore plus confus pour les consommateurs comme pour les producteurs.
L'architecture de confiance zéro du NIST
Heureusement, l'aboutissement de ce mouvement a conduit à la publication du document NIST SP800-207 Zero Trust Architecture en 2018. Ce cadre a formalisé les principes de la confiance zéro en trois composantes principales :
- Amélioration de la gouvernance des identités et des contrôles d'accès fondés sur des règles
- Micro-segmentation
- Réseaux superposés et périmètres définis par logiciel
Référence : Modèle de sécurité "Zero Trust", résumé du document NIST SP800-207
Vous vous demandez sans doute quel est le rapport avec la gestion de la surface d'attaque. Restez à l'écoute - nous y reviendrons dans le prochain article.