Le modèle Zero Trust consiste à n’accorder aucune confiance implicite en les éléments qui se trouvent à l’intérieur comme à l’extérieur du réseau. Chaque élément est considéré comme potentiellement néfaste jusqu’à preuve de sa neutralité, et doit être analysé pour confirmer son caractère inoffensif.
L’un des principes clés du Zero Trust repose sur la nécessité pour les entreprises de réduire les informations qu’elles exposent sur Internet. Prenons l’exemple d’un système d’enregistrement des dépenses d’une grande entreprise. L’équipe crée un portail de connexion en ligne accessible uniquement aux personnes disposant des bons identifiants. Le problème réside dans le fait que ce portail est visible et accessible par tout le monde sur Internet, et pas seulement par ceux qui voudraient en faire bon usage.
Même l’interface d’un VPN utilisé pour accéder à des applications sur le réseau interne peut être la cible d’une attaque. Les attaques de VPN ne sont pas à prendre à la légère : en octobre 2020, la NSA a publié la liste des 25 plus grandes failles de sécurité exploitées par les cybercriminels chinois. Les attaques de type VPN et RDP représentaient la moitié de cette liste.
Et en inspectant tout le trafic avec l’application de contrôles d’accès avant l’accès aux applications, elles peuvent se protéger bien plus efficacement des menaces.
Dans un monde hypothétique où toutes les entreprises auraient adopté une approche Zero Trust et n’exposeraient que très peu d’informations sur Internet, quelle serait la nouvelle cible des cybercriminels ? Même lorsque l’entreprise en elle-même n’est pas exposée, l’infrastructure sur laquelle repose Internet, à savoir les routeurs ou encore l’infrastructure DNS, le sera toujours. Les attaques DNS qui ont eu lieu en Suisse en 2019 en sont la preuve, et cette menace prendra de l’ampleur dans le monde Zero Trust de demain.
Même une approche Zero Trust ne peut empêcher quelqu’un de divulguer les identifiants d’accès aux données, et les attaques comme le phishing et le spear phishing qui compromettent un utilisateur et sa machine, obtenant ainsi un certain niveau de confiance, continueront à proliférer. À l’avenir, l’objectif de ces attaques pourra justement être de gagner la confiance au-delà du simple contrôle. Elles pourraient se présenter sous la forme de malwares ciblés et beaucoup plus légers que les malwares polyvalents et massifs utilisés dans le cadre de campagnes de ransomware et d’autres vecteurs d’attaque courants.
Il est important de souligner que ces deux types d’attaque présentent un haut niveau de sophistication, tant en matière de compétences que de ressources. L’ingénierie sociale requiert une très grande maîtrise et doit s’opérer à grande échelle pour être efficace. Ainsi, les cybercriminels les plus novices, les loups solitaires de la cybercriminalité, devront s’associer pour poursuivre leur œuvre. Les organisations spécialisées dans les escroqueries amoureuses et financières ont déjà ce niveau de compétences et cette portée, ce n’est donc qu’une question de temps avant qu’elles en fassent bon usage pour obtenir la confiance des systèmes de défense. Seuls ces groupes mieux organisés et plus vastes, et éventuellement subventionnés par l’État, pourront espérer entreprendre des actions efficaces.
Si cela semble donner une image négative du modèle Zero Trust, la réalité est tout autre. L’approche Zero Trust résout bon nombre des problèmes que rencontrent aujourd’hui les entreprises, et réduit de manière considérable les risques qu’elles encourent. En anéantissant la viabilité financière de nombreux vecteurs d’attaque occasionnels ou à large échelle, elle renforce avec une efficacité redoutable la sécurité des entreprises. Mais tout le monde ne jouera pas le jeu, et le processus sera long. Un fossé se créera donc entre les entreprises qui auront adopté le modèle Zero Trust et celles qui ne l’auront pas fait. Lles entreprises qui ne feront pas le choix de la sécurité Zero Trust deviendront des cibles faciles pour les cybercriminels qui ont bien plus d’un tour dans leur sac.
L’équation est encore difficile à résoudre, mais avec l’essor du modèle Zero Trust, les équipes de cybersécurité continuent à mener la vie dure aux cybercriminels en les obligeant à mobiliser davantage de ressources humaines et de temps. Et elles continuent à rendre le monde plus sûr. Mais les hackers n’ont pas encore dit leur dernier mot.