Le mise en place d’un projet ZTNA (ou Zero Trust Network Access) requiert certains prérequis, inhérents à la fois au niveau de maturité de l’organisation ainsi qu’au degré de sensibilité des données confidentielles et personnelles qu’elle stocke. Investiguons sur les 6 étapes de la méthodologie de déploiement d’un projet Zero Trust avec Simon Bonin, Expert Sécurité chez IMS Networks.
Suite à l’article « Pourquoi mettre en place une stratégie Zero Trust ? », nous vous proposons aujourd’hui d'aborder les prérequis pour le déploiement de votre stratégie Zero Trust, quelle que soit la taille de son organisation, la structuration de son service SI ou encore son niveau de maturité.
Depuis 8 ans chez IMS Networks, Simon Bonin a commencé par occuper des postes en tant que Technicien réseau et sécurité, assurant le Ticketing, la production et le déploiement. Il a ensuite rejoint l’équipe innovation, qui travaille notamment sur les sujets des nouvelles technologies et des nouveaux concepts dans le but d’étayer l’offre d’accompagnement d’IMS Networks.
Votre organisation est-elle suffisamment mature pour lancer un projet Zero Trust ?
Sans même vous connaître, la réponse est oui ! La question ne réside pas tant dans le degré de maturité SI de votre organisation que dans la manière dont vous allez pouvoir déployer votre ZTNA : tout d’un bloc… ou bloc par bloc ?
Par ailleurs, la mise en place de la nouvelle directive NIS2 implique de se mettre en conformité, et le Zero Trust représente une excellente solution. La nouvelle directive NIS2 implique notamment la notification des incidents de sécurité majeurs auprès des autorités compétentes, ainsi qu’un renforcement de la sécurité pour protéger les données confidentielles et personnelles demandé par le RGPD. Avec le Zero Trust, vous savez qui a eu accès à telles ou telles données, d’où, quand et comment (appareil) ! De plus, quel que soit le lieu où se trouve l’utilisateur, il a le même niveau de contrôle (au bureau, en télétravail ou en déplacement).
>> Lire l’article « Pourquoi mettre en place une stratégie Zero Trust ? »
Globalement, le ZTNA offre ainsi un niveau de sécurité minimum équivalent, quelle que soit la maturité de votre organisation en termes de ressources.
Si l’on devait le résumer ainsi : votre organisation est dite « mature » si vous disposez de ressources humaines et financières suffisantes, que vous avez une bonne connaissance de votre service (niveaux de sensibilité de données clairement identifiés) et que vous êtes en capacité de sensibiliser vos équipes en interne.
En ce qui concerne les secteurs d’activité concernés par la mise en place du ZTNA, il est évident que les secteurs de la santé, financier, gouvernemental ou encore technologique ont des données hautement confidentielles et stockent des données personnelles qui se doivent d’être particulièrement protégées. Cependant, toutes les organisations ont intérêt à mettre en place un Zero Trust, afin de réguler à minima les groupes d’individus (internes ou externes) ayant à certaines catégories de données.
Pour juger du niveau de maturité de votre organisation, posez-vous dans un premier temps ces deux questions : « Suis-je capable de bien cartographier mon parc informatique et l’ensemble de mon SI ? » et « Suis-je en capacité de lister tous les cas d’usages ? ».
Selon ses réponses, l’organisation optera pour la mise en place d’un Zero Trust tout d’un bloc, ou bloc par bloc.
Les 6 étapes de déploiement d’un projet Zero Trust
#Etape 1: Cartographie des ressources et flux de données critiques (canaux de diffusion)
La cartographie des ressources et des flux de données critiques d'un SI est une étape essentielle dans la gestion de la sécurité de l'information, permettant de mieux comprendre et de mieux protéger les éléments essentiels de votre infrastructure informatique.
Durant cette étape, il conviendra d’identifier les utilisateurs, leurs postes de travail et les appareils utilisés…afin de déterminer leurs droits et les vérifications d’identité, qui seront différents d'un groupe d’individus à un autre (accès restrictifs et personnalisés aux données).
#Etape 2 : Design de l’architecture
Cette étape va permettre de comprendre comment segmenter le réseau et mettre en place les nouvelles briques technologiques. Il s'agit de définir la matrice de toutes ses ressources, le niveau de sécurité exigé, la vérification de la conformité des postes…
C’est lors de cette deuxième étape que l’on pourra décider, dans le cas d’une organisation peu mature, de commencer par sécuriser les segments réseaux moins critiques, ou plus sensibilisés (SI, informatique,…) et de mettre en place son Zero Trust bloc par bloc. Pour les entreprises dites matures, on choisira ici de lancer la mise en place du Zero Trust tout d’un bloc.
#Etape 3 : Contrôle d’accès
Avec le VPN, l’accès aux données du réseau pouvait se résumer à « tout ou rien » : soit on est connecté au réseau interne et on a accès à toutes les données, soit aucun accès.. Avec le Zero Trust, l’utilisateur accède exactement aux données dont il a besoin.
Cette troisième étape de contrôle d’accès va permettre de déterminer les persona vs. leurs droits d’ accès aux données, tout en vérifiant la conformité des postes de travail. Pour vérifier cette conformité, on utilise l’IoC, indicateur de compromission pour contrôler si le poste est à risque ou non et, si besoin, donner des accès plus ou moins restrictifs.
L’objectif étant d’effectuer un contrôle d’accès sécurisé sans pour autant perturber le quotidien des utilisateurs.
Selon votre niveau de maturité, il pourrait être nécessaire d’opter pour la mise en place d’une gestion des accès privilégiés (PAM) en complément.
#Etape 4 : Monitoring et gestion des incidents
Cette étape de surveillance permet d’identifier des tentatives d’accès non autorisées. Il s'agit d'analyser si ces tentatives d’accès sont normales, et dues à un oubli dans la cartographie (dans ce cas, il faudra revoir l’étape 2), ou s’il s’agit d’une tentative d’intrusion malveillante.
Le Cyber-SOC peut alors s’avérer une solution efficace pour analyser et investiguer tous ces incidents potentiels et préconiser des réponses à incident efficaces.
#Etape 5 : Formation et passation de connaissance à l’équipe
Une fois le Zero Trust mis en place, le prestataire ayant accompagné ce déploiement veillera à former les équipes IT du client aux principes de ZTNA : nouveaux contrôles d’accès aux ressources, bonnes pratiques, outils à mettre à disposition pour surveiller et configurer les accès aux comptes utilisateurs…
En fonction des équipes, une formation aux risques cyber actuels peut être nécessaire : l’évolution permanente des techniques employées par les cyber attaquants est un enjeu essentiel à porter à la connaissance des équipes SI.
Dans un deuxième temps, on présentera en détail ce qui a été mis en place en fournissant un document complet récapitulatif.
Ensuite, on cherchera à recueillir les retours des équipes et des utilisateurs
- Implémentation progressive des équipes et feedbacks : obtenir leurs retours d’expérience utilisateur avant que tout soit implémenté
- Mise en place Zero Trust : quels obstacles ? difficultés ?
- Être proactif, anticiper sur les risques et impacts potentiels
Enfin, il faudra également mettre en place un accompagnement en interne, de l’ensemble des utilisateurs :
- Sensibilisation au Zero Trust : nouveaux outils mis en place, nouvelles méthodes d’identification, intérêt pour l’organisation en terme de niveau de sécurité, process…
- Faciliter l’accès avec des identifiants uniques par exemple.
- Trouver l’équilibre entre sécurité et complexité pour les utilisateurs.
#Etape 6 : Evaluation continue - audit de sécurité
Vous connaissez certainement la roue de Deming ou PDCA, cette méthode d’amélioration continue en 4 phases à enchaîner de manière itérative pour améliorer un fonctionnement : Prévoir (Plan), Faire (Do), Vérifier (Check), Réagir (Act).
Au bout de quelques années, on peut en effet trouver des « trous dans la raquette » : des accès sont restés ouverts, les bonnes pratiques n'ont pas été respectées…
On peut les identifier avec des tests d’intrusion et un audit de sécurité.
S’agit-il d’un défaut dans le design de l’architecture ? D’erreurs de configurations ? De vulnérabilités portant sur des briques techno utilisées ?
S’ensuivent ensuite une phase de corrections pour un Zero Trust conforme aux attentes.
La nécessité d’avoir un pilote dédié au déploiement du Zero Trust
L’un des facteur clé de succès réside ici : une personne ou une équipe doit être dédiée à ce projet avec un niveau d’expertise suffisant, qu’il soit en interne ou en externe.
En effet, la partie expertise en Zero Trust est cruciale, au moins pour le déploiement : utiliser une expertise externe peut alors permettre d’avoir une personne expérimentée en Zero Trust, ayant été confrontée à divers cas d’usages chez d’autres clients et une vision complète du sujet :
- Déploiement efficace et bonnes pratiques
- Ressource dédiée, uniquement sur ce sujet
- Expertise forte
Le tiers de confiance que représente un prestataire pour la mise en œuvre d’un Zero Trust reste néanmoins recommandé : pour toute question ou difficulté rencontrée, il sera votre seul point de contact, et la communication inter équipe en sera simplifiée.
Qu’il s’agisse d’un service managé et d’une exploitation en continue, la passation de connaissance en interne s’avérera toujours un plus.
Si vous avez des questions, nous vous proposons un audit rapide :
#1 Analyse de votre stratégie et de vos ambitions
#2 Audit de la solution en place et de vos failles
#3 Définition d'une feuille de route d'optimisation
Vous pourriez aussi aimer
- Pourquoi mettre en place une stratégie Zero Trust ?
- SWG, CASB, Zero Trust, FWaaS… Et si toutes vos solutions de sécurité étaient réunies dans une seule plateforme ?
Webographie :
https://docs.fortinet.com/document/fortigate/7.0.0/ztna-concept-guide/126213/introduction
https://www.forbes.fr/technologie/le-zero-trust-accepte-mais-pas-tout-a-fait-integre/