D'une véritable histoire de brigands au "Zero Trust" : Ne faites confiance à personne, vérifiez tout le monde !

Sécurité

22.12.2021
David Mantock, CISO, Chief Information Security Officer

"Zero Trust", "confiance zéro". Cela sonne comme un coup de poing à une époque où il nous est important de manifester des valeurs telles que la liberté, l'égalité et l'harmonie en tant que fondement de la civilisation moderne. Mais dans le domaine de la cybersécurité, ce principe est devenu incontournable.

Laissez-moi vous raconter une histoire au sujet d’une intervention policière, de gangsters armés et de "préjugé extrême". Ainsi, vous comprendrez ce que je veux dire. Et d'ailleurs, comme il s'agit d'un blog sur la cybersécurité, celle-ci va rapidement suivre. Alors, allons-y :

Il y a quelque temps, j'ai voyagé au Kenya et pris un bus de Kakamega à Nairobi. Le voyage a été agréable, car notre bus a longtemps roulé dans la fraîcheur de la nuit. Aucun signe ne laissait présager qu'un drame allait bientôt se produire. Lorsque l'on prend la route dans cette partie du monde, les contrôles de sécurité ne sont pas l'exception, mais la règle.

Ainsi, lorsque nous sommes montés dans le bus, des contrôles d'identité ont été effectués. Tout comme à l'aéroport, nos bagages à main ont été contrôlés. Jusque-là, tout va bien. Mais au cours du voyage, notre bus a été arrêté et fouillé à maintes reprises. Là encore, c'est la routine : descendre du bus, le faire fouiller par les agents, remonter dans le bus et continuer le voyage.

Un incident s'est produit lorsque des policiers armés en civil sont entrés dans le bus. Il ne faisait aucun doute qu'ils préparaient quelque chose. Trois agents armés patrouillaient de long en large dans le couloir, tout en nous examinant intensément. Lorsque l'attention s'est portée sur un suspect précis, ce qui ressemblait à un contrôle de routine s'est transformé en un instant, en une situation potentiellement mortelle :

Au moment même où les agents se sont penchés sur le suspect, ils ont crié aux autres passagers de lever les mains. Ils savaient par expérience que cela pourrait être la partie la plus dangereuse de leur opération, ils ont donc fait de leur mieux pour éliminer les éventuels complices.

Ainsi, nous avons tous été traités, sans exception, avec des préjugés extrêmes. D'après les informations qu'ils avaient reçues, les agents savaient que deux autres suspects se cachaient dans le bus. Bien qu'ils aient agi avec une apparente hostilité, ils voulaient protéger leurs vies et les nôtres. Comment agiriez-vous si votre vie et celle des autres étaient en jeu ?

Heureusement, leur approche inflexible leur a permis de débusquer le reste des bandits et nous avons pu poursuivre notre route vers Nairobi en toute sécurité.  Si les gangsters avaient réussi, vous imaginez à quel point les conséquences auraient été graves.

Passons maintenant à la partie sécurité : en 1994, Stephen Paul Marsh[1] a développé mathématiquement le concept de "Zero Trust", c'est-à-dire, de "confiance zéro" dont l’un des principe est au-delà de la méfiance ou, pour reprendre mon expression, des "préjugés extrêmes".

D'une véritable histoire de brigands au "Zero Trust" : Ne faites confiance à personne, vérifiez tout le monde !

D'un point de vue technique, les principes de Zero Trust [2] sont simples :

  • Vérification explicite (authentification et autorisation, toujours sur la base de tous les points de données disponibles).
  • Least Privilege Access (limitation de l'accès des utilisateurs à un accès suffisant et limité dans le temps)
  • Assume Breach" (minimisation du rayon d'action et segmentation de l'accès).

Quel que soit l'emplacement du réseau (interne ou externe), tous les utilisateurs qui tentent d'accéder à des données professionnelles précieuses sont coupables tant que leur innocence n’est pas prouvée.

Et ne vous y trompez pas : les cybermenaces d'aujourd'hui sont aussi graves que les tensions dans le bus pour Nairobi. Si vous avez conclu que ces fonctionnaires kényans étaient héroïques - et croyez-moi, ils l'étaient - alors il est sûrement temps de considérer les "préjugés extrêmes" dans le cadre de votre stratégie de cybersécurité. Dans le paysage actuel des menaces, c'est le seul moyen de protéger nos données, qui sont si importantes pour nous au quotidien.

Sources: 
[1] Wikipedia: https://en.wikipedia.org/wiki/Zero_trust_security_model
[2] Microsoft Zero Trust:  https://www.microsoft.com/en-us/security/business/zero-trust

back to panels