Secu
ZTS & NGA : les deux nouveaux piliers de la sécurité
Par Laurent Delattre, publié le 05 février 2019
Next Gen Access et Zero Trust Security s’imposent petit à petit comme deux tendances complémentaires et incontournables pour sécuriser le système d’information étendu d’entreprises devenues cloud et mobiles.
Selon une récente étude du Forrester, 80% des brèches de sécurité IT ont pour origine l’utilisation d’accès privilégiés ou la compromission de comptes à privilèges. Pour faire face à cette problématique devenue cruciale alors que les défenses périmétriques n’ont plus guère d’utilité – ou en tout cas ne suffisent plus à défendre un réseau devenu étendu et mobile – deux nouvelles approches complémentaires attirent désormais l’attention des CISO, RSSI et DSI : NGA et ZTS.
Gestion des Identité & Accès, nouvelle génération
La NGA, acronyme de Next Gen Access (également désigné sous le nom de NG-IAM, Next Gen Identity and Access Management), marque la convergence de plusieurs technologies existantes pour mieux déterminer qui sont les utilisateurs et les périphériques qui réclament un accès aux ressources de l’entreprise. La NGA combine ainsi la MFA (authentification multifacteur), le PAM (Gestion des accès privilégiés), l’EMM (Enterprise Mobile Management) et l’IDaaS (Identity as a Service) en une brique cohérente où ces composantes interagissent, échangent leurs signaux et collaborent.
Une confiance à Zéro, pour tous…
ZTS, contraction de Zero Trust Security, est une approche qui consiste à reconnaître qu’il n’est à priori pas possible de reconnaître un utilisateur « bienveillant » d’un utilisateur « malveillant » par son simple login. Elle considère que l’on ne peut et que l’on ne doit faire confiance à aucun login, aucun utilisateur, aucun appareil. Dès lors, on ne peut accorder aucun droit d’accès à un utilisateur ou un dispositif tant que l’on n’a pas effectivement contrôlé et vérifié qu’il est ce qu’il prétend être au moment même où il a besoin des droits d’accès qu’il réclame.
La philosophie « Zero Trust » consiste donc à systématiquement vérifier – via de l’authentification multi facteur à base de biométrie et de périphériques mais aussi via des politiques dynamiques tenant compte du contexte et de la géolocalisation -chaque utilisateur et chaque appareil avant de lui attribuer un accès spécifique, borné, et dynamique en fonction des contextes.
Évidemment, l’authentification multifacteur (MFA) joue un rôle clé dans cette nouvelle approche et s’avère nécessaire pour contrecarrer la trop grande facilité de compromission des approches par mots de passe et les risques accrus induits par les solutions SSO (solutions de Single Sign On, devenues indispensables à l’heure du SaaS et de la multiplication des services en ligne). Mais elle ne suffit pas. Il faut avoir une vision plus large et plus avisée de l’authenticité de l’utilisateur et faire en sorte de lui attribuer dynamiquement les droits. C’est pourquoi toute approche ZTS s’appuie aujourd’hui sur des outils NGA.
Des approches rendues possibles par l’IA
Parallèlement, analyse comportementale et Machine Learning permettent désormais de mieux assimiler la notion de « contextes » et de « comportements » de sorte à n’attribuer les droits d’accès réclamés que si le contexte s’y prête et que le comportement de l’utilisateur apparaît comme normal dans ce contexte. Des progrès importants ont été faits ces derniers mois dans les algorithmes de « scoring » du comportement. Ils prennent en compte de nombreux éléments tels que la version du système d’exploitation et son niveau de patching, sa géolocalisation actuelle mais aussi celles des précédentes heures, les habitudes d’accès aux différentes heures de la journée en fonction de cette géolocalisation, le nombre d’accès accordés ou refusés dans les dernières minutes-heures-journées, le profil du dispositif, etc. Ces nouvelles technologies, abusivement qualifiées d’IA, constituent le cœur (et la spécificité) de cette nouvelle génération d’outils de gestion des identités et des accès.
NGA et ZTS imposent une vision beaucoup plus dynamique et temps réel de la sécurité des systèmes d’information. Ces technologies ont besoin de nombreuses données pour apprendre mais aussi et surtout pour réagir intelligemment en surveillant les très nombreux paramètres et critères nécessaires à une analyse comportementale contextualisée pertinente.
Ces technologies encouragent également une nouvelle approche beaucoup plus orientée « plateforme » des outils de sécurité. D’abord parce qu’aucun éditeur ne pouvant prétendre couvrir tous les besoins et tous les scénarios. Ensuite parce qu’il faut interconnecter de nombreux équipements et de nombreuses sondes logicielles pour obtenir le niveau d’information requis.
Cette notion de plateforme ouverte et extensible se retrouve chez un nombre croissant d’acteurs à l’instar de Symantec, BeyondTrust, Idaptive, Centrify, Okta ou même IBM pour n’en citer que quelques-uns.
Ces approches sont intéressantes mais le seront d’autant plus si les plateformes adoptent un langage commun. D’où l’intérêt de projets comme STIX/TAXII (soutenu par IBM pour son IBM Security Platform, Anomali, NC4, Fujitsu, ThreatQuotient, Cisco, Check Point) et OpenC2 (soutenu par Intel, Cisco, LookingGlass, Symantec, ThreatConnect, mais aussi FireEye, McAfee, Splunk et TrendMicro). Les deux projets sont complémentaires : le premier s’intéresse à définir le protocole qui explique pourquoi il y a une menace, le second à définir un protocole d’actions et réactions.