Un nouveau concept est omniprésent dans la cyber sécurité de 2021, sous le nom de Zero Trust.
Ce concept est théorisé depuis 2010 mais s’est encore plus imposé depuis la début de la pandémie du covid.
La cybersécurité actuelle ne fonctionne pas assez bien
Plusieurs constats peuvent être faits d’abord :
1) La cyber sécurité actuelle ne fonctionne pas assez bien : toutes les grandes entreprises se font hacker les unes après les autres, les fuites de données sont massives et concernent presque tout le monde, il suffit de lire les journaux depuis 2 ans.
2) La propagation des incidents est trop massive. Quand une entreprise est compromise, tout tombe à terre : les applications métier, les serveurs de mail et de fichiers, du service compta au service RH .. Les incidents ne sont pas circonscrits.
3) Les frontières de l’entreprise ont changé : l’usage du cloud est massif, les collaborateurs travaillent depuis chez eux ou en mobilité dans le train ou des hôtels, parfois depuis des équipements personnels, et il n’est plus possible d’assurer une sécurité à 100% de leurs usages.
La réponse à ces constats est donc : appliquer un modèle Zero Trust, avec son mantra : « Never trust, always verify ». Dans ce modèle on arrête de considérer comme sûrs un réseau, un périphérique, un utilisateur : on contrôle systématiquement, et on surveille finement l’activité sur les réseaux.
ZeroTrust et la pandémie
On peut l’expliquer simplement en ces temps de covid : Zero Trust c’est masque et geste barrière pour tout le monde, dans l’entreprise et en dehors, sans exception. On part du principe que tout peut déjà être compromis et on désinfecte systématiquement à l’intérieur comme à l’extérieur.
ZeroTrust comme nouveau paradigme
Le changement de paradigme est profond : il met à bas l’architecture historique des entreprises sous forme de LAN sécurisé et de VPN, et va entrainer des changements en cascade pour les architectures réseaux, les configurations logicielles, la gestion des authentifications, la supervision réseaux etc.
Dans ce modèle on arrête de considérer qu’à l’intérieur du périmètre du réseau de l’entreprise on est en confiance, et pour chaque cas d’utilisation on vérifie d’abord, avec des authentifications plus élaborés qui se basent sur l’identité et le contexte (origine, équipement..) : on parle alors de Trust Algorythm.
Le concept a gagné en maturité avec la publication par le NIST d’une publication dédié https://doi.org/10.6028/NIST.SP.800-207 et beaucoup d’acteurs de la cybersécurité proposent de décliner ces concepts dans leurs solutions.
Cela deviens vite complexe, surtout lorsqu’il s’agit de faire évoluer des réseaux existants vers des concepts zero trust – mais le créateur historique du concept, John Kindervag remet les choses en place très justement ces jours çi : « The hallmark of zero trust is simplicity » et « Zero trust is a journey best taken one step at a time« .
https://deloitte.wsj.com/cio/2021/04/07/john-kindervag-the-hallmark-of-zero-trust-is-simplicity/
ZeroTrust dans le maritime
Dans le secteur maritime l’application de tels concepts pour l’IT et l’OT doit guider l’évolution des systèmes et la démarche de cybersécurité. Les adaptations à bord les plus évidentes sont la micro-segmentation, notamment pour les réseaux OT ou on voit souvent beaucoup de systèmes interconnectés les uns aux autres, puis la gestion fine des identités et des droits avec le principe de moindre privilège (toujours donner le moins de droits possible).
Il faut aussi monitorer ses réseaux : collecter les logs de tous les équipements (IT et OT), définir des alertes sur la base de ces logs et les faire superviser de manière dynamique – il existe déjà beaucoup d’outils dédiés sur le marché, souvent peu présents sur les navires.
Les fournisseurs de solutions et de logiciels dans le secteur maritime sont encore loin des principes ZeroTrust, mais des évolutions sur la configuration et segmentation des réseaux, la gestion des comptes d’utilisateurs et les process peuvent déjà être entamés.
Les évolutions ne peuvent être que pensés sur mesure, mais ZeroTrust apportera un principe clair à suivre qui permettra d’obtenir des premiers résultats rapidement.