Un Guide du Zero Trust pour les MPS

Même si l’on s’en tient aux normes élevées du secteur de la cybersécurité, la montée en puissance du Zero Trust (ZT) est un phénomène qu’il est devenu difficile de manquer. Mais que signifie le Zero Trust pour les fournisseurs de services managés (MSP - Managed Service Providers) ?

Si vous aviez effectué une recherche Google sur ce terme en 2021, vous auriez obtenu 645 millions de résultats. À peine un an plus tard, ce chiffre est désormais de 2,7 milliards et ne cesse d’augmenter. Personne dans le domaine de la cybersécurité ne peut ignorer ce niveau d’intérêt, et encore moins les fournisseurs de services managés (MSP), dont le travail consiste à faire correspondre les intérêts des clients aux leurs.

L’ascension du Zero Trust peut sembler spectaculaire, mais le terme lui-même remonte à plus d’une décennie. Bon nombre des technologies qui lui sont associées (gestion des identités, contrôle d’accès et authentification) ne sont pas non plus nouvelles. Ce qui semble avoir changé pour les clients, c’est l’urgence de les appliquer et la motivation à le faire.

Expliquer le Zero Trust avec des termes généraux est à tort facile. Les réseaux utilisant le modèle traditionnel de sécurité du périmètre reposent sur l’idée d’un haut niveau de confiance. Tout ce que le périphérique, l’utilisateur ou l’application doit faire, c’est de présenter un justificatif d’identité, comme un nom et un mot de passe, pour accéder aux nombreuses ressources du réseau jusqu’à ce qu’il se déconnecte.

Comme NIST le dit clairement, le Zero Trust bouleverse la confiance. Tout ce qui se connecte au même réseau est automatiquement suspect. Le « suspect » doit alors utiliser des niveaux d’authentification supplémentaires au-delà du mot de passe pour prouver son identité, après quoi ses privilèges restent étroitement contrôlés. Même après cela, on ne lui fera jamais totalement confiance parce qu’on suppose toujours qu’il peut devenir malveillant à chaque instant.

Le Zero Trust s’apparente à une paranoïa éclairée, une vigilance qui, selon ses auteurs, est désormais nécessaire pour faire face au caractère inévitable de la compromission. La contrepartie est qu’une organisation qui réussit à mettre en œuvre le zéro trust subira moins de compromissions, et celles qui se produiront seront moins graves. Ainsi, toute stratégie de cybersécurité fondée sur le zéro trust sera plus facile à justifier auprès des employés, des actionnaires, des régulateurs et des clients

Malheureusement, c’est justement ce qui rend le Zero Trust si convaincant (il s’agit d’un ensemble de principes plus qu’un produit) qui le rend difficile pour les entreprises d’expertises et de services telles que les MSP (fournisseurs de service managés). Le Zero Trust décrit ce qui doit être fait mais pas exactement comment cela doit être fait. Ce qui est considéré comme du Zero Trust dépend du réseau, de l’application et des utilisateurs en question, ce qui varie selon le contexte et l’entreprise. Sa mise en œuvre présente de nombreux défis.

Le danger est que quelque chose d’aussi abstrait soit mal compris par le client ou considéré comme un stratagème de vente (en anglais) d’une manière qui suscite le scepticisme. Cela serait une tragédie, parce que, s’il est correctement compris et implémenté, le Zero Trust a beaucoup à offrir aux entreprises de toutes tailles, plus particulièrement aux PME qui ont décidé d’investir dans des services tiers afin de résoudre leurs problèmes de sécurité.

Comment, alors, les MSP doivent communiquer la valeur du Zero Trust à leurs clients et prospects ?

La montée du Zero Trust s’explique par de nombreux facteurs, dont le plus important est tout simplement l’effondrement de la confiance dans les technologies de sécurité traditionnelles, dont beaucoup (pare-feu, antivirus, contrôle des accès par mots de passe) datent d’une époque passée et moins contraignante.

Ce sentiment s’est renforcé avec la récente augmentation du travail à distance, qui a mis en évidence les limitations du périmètre de sécurité. Les entreprises ont été forcées de s’en remettre à la sécurité des points d’accès et des VPN, appliquant l’authentification dès que possible. Avec les restrictions budgétaires, les angles morts se sont multipliés, notamment pour les services cloud qui ne transitent pas par le centre de données de l’entreprise, ce qui a placé la question de la visibilité et de la confiance au premier plan.

Les clients sont également influencés par les contrats de cyberassurance qui exigent maintenant de meilleures garanties et des tests externes, et veulent minimiser les risques mesurés par rapport aux normes de cybersécurité de l’industrie telles que le NIST. La multiplication des cyberattaques rendant le coût des assurances plus élevé que jamais, les clients sont de plus en plus motivés par tout ce qui peut réduire leurs primes.

Le Zero Trust est parfois présenté comme un moyen d’empêcher les choses de se produire, par exemple en bloquant les clients non autorisés. Ce n’est pas le cas. L’attrait caché du Zero Trust est qu’il offre la possibilité d’améliorer la gestion des ressources du réseau, des utilisateurs et des données de manière à réduire les coûts et à faciliter l’adoption des technologies.

Cela est particulièrement important dans le secteur des PME, où la surcharge technologique et les dépenses sont un réel problème. En ce sens, le zéro trust reflète ce qui pousse de plus en plus d’organisations à utiliser les services managés : elle simplifie la vie et la rend plus prévisible financièrement.

Il s’ensuit toutefois que les produits vendus pour faciliter la mise en œuvre du zéro trust doivent répondre à ces exigences de front. Ce que les produits ne peuvent pas faire, c’est augmenter les frais généraux de gestion, sinon cela réduira les marges des MSP et la satisfaction des clients.

Aujourd’hui les cyberattaques peuvent avoir des conséquences graves, dont certaines auraient été considérées comme inhabituelles il y a encore quelques années. La perception du risque de cybersécurité s’en est trouvée modifiée, ce qui a donné naissance à des dispositifs permettant aux entreprises d’appréhender leur investissement à long terme dans ce domaine. Des idées telles que le Zero Trust ne sont pas simplement considérées comme une bonne pratique ou un « bienfait », mais comme un élément essentiel de l’activité.

De plus en plus, les entreprises comprennent qu’une stratégie de cybersécurité cohérente, élaborée grâce à des partenariats avec des fournisseurs de services leur donne un avantage concurrentiel sur le marché par rapport aux organisations rivales qui sont à la traîne. Cela va bien au-delà des idées reçues sur la conformité et la régulation, qui opèrent sur des échelles de temps plus longues. Dans certains cas, la cybersécurité pourrait même être aujourd’hui une question de survie.

Le Zero Trust dépend de la possibilité de tout voir. Pas seulement l’état de sécurité du système, mais aussi celui des utilisateurs et des données. Et il est impératif de connaitre à chaque instant le statut de ces différents éléments, ce qui pose déjà problème dans une période où l’informatique clandestine et les utilisations anormales du cloud sont difficiles à surveiller.

Le Zero Trust suppose que :

• Journaux d’activités complets : Toutes les activités doivent être enregistrées, le plus loin possible dans le temps afin de permettre une analyse forensique (investigation numérique) de qualité.

• Contrôle au niveau du fichier : L’accès aux données doit être strictement contrôlé au niveau des fichiers ainsi que des utilisateurs qui accèdent à ces ressources.

• Sécurité des dispositifs : Chaque outil doit être sécurisé, pas seulement les ordinateurs et serveurs, mais aussi ceux qui n’exécutent pas d’agents de sécurité, comme les systèmes de contrôle industriel et IoT.

• Suivi en temps réel : Chaque modification de donnée ou de système doit être notifiée en temps réel.

• Contrôles contextuels : La gestion des utilisateurs doit mettre en œuvre le Zero Trust de manière à permettre des contrôles circonstanciels en plus de l’authentification multifacteur et de l’authentification unique.

• Contrôles granulaires : La mise en œuvre du Zero trust doit offrir une granularité, par exemple des restrictions contextuelles comme la durée, l’emplacement, l’adresse IP, le service, le type de session, ou de machine.

Le Zero Trust a déjà une influence majeure sur le type de produits et de services achetés par les clients. Mais la phase de mise en œuvre va prendre des années, ce qui implique un potentiel de vente à long terme et la possibilité de développer une relation plus forte avec le client au fil du temps.

C’est d’autant plus vrai pour le secteur des PME pour lequel les services gérés sont naturellement adaptés. De plus en plus, les MSP doivent se pencher sur la manière dont leurs services s’inscrivent dans le cadre d’une cybersécurité Zero Trust. L’avantage du Zero Trust pour les MSP est qu’il implique une relation à long terme avec les clients qui va au-delà du cycle de vente traditionnel dans lequel les MSP sont contactés après que quelque chose ait mal tourné.