Aucune confiance dans la “confiance zéro”

En mai 2021, le président des États-Unis a publié un décret exécutif, lançant un effort à l’échelle du gouvernement pour sécuriser ses pratiques de cybersécurité. Le mandat chargeait les agences de mettre en œuvre des architectures de confiance zéro et une infrastructure basée sur le cloud d’ici 2024, dans le but d’accroître la sécurité et d’atténuer les risques potentiels.

Mais Virgil Gligor, professeur de génie électrique et informatique à l’Université Carnegie Mellon, affirme que le plan laisse beaucoup à désirer et explique qu’il n’est pas possible d’atteindre la confiance zéro.

“Avant de vous dire ce qu’est la confiance zéro, je devrais peut-être commencer par définir la confiance”, a déclaré Gligor. “La confiance est l’acceptation de la vérité d’une déclaration sans preuve ni enquête ; c’est une foi aveugle ou un vœu pieux si vous voulez.”

“Il y a des domaines où les croyances injustifiées sont acceptables, mais en cybersécurité, croire qu’une propriété de sécurité tient sans aucune preuve ni enquête est un handicap. Ainsi, les professionnels de la cybersécurité cherchent à éliminer les croyances aveugles.”

Pour atteindre la confiance zéro, le plus haut niveau d’établissement de confiance, Gligor dit que plusieurs principes devraient être réalisés. Plus important encore, toutes les propriétés de sécurité d’un réseau d’entreprise devraient être prouvées inconditionnellement et avec certitude (c’est-à-dire avec une probabilité de un en temps fini).

“Si vous êtes capable de le faire, il n’y a plus de responsabilité ; vous avez atteint la confiance zéro”, explique Gligor. “Malheureusement, cela est théoriquement impossible pour certaines propriétés et pratiquement irréalisable pour d’autres.”

Dans son rapport technique, “Zero Trust in Zero Trust?”, Gligor déclare que les dispositifs “boîte noire”, qui sont utilisés dans tous les serveurs et terminaux des réseaux d’entreprise, rendent la confiance zéro irréalisable, car il existe au moins une propriété de sécurité qui ne peut pas être justifié inconditionnellement avec certitude.

Alors, que veut dire le gouvernement lorsqu’il parle d’architectures de confiance zéro ? Et qu’espère-t-il qu’ils obtiendront?

Les architectures Zero Trust ne résistent pas à la pénétration. Par conséquent, ils n’éliminent pas les violations. Selon Gligor, en mettant en œuvre ces architectures, l’objectif principal du gouvernement est de limiter les mouvements «latéraux» des adversaires en segmentant les réseaux dans le but de réduire la quantité de dommages qu’un adversaire peut causer.

Pour sécuriser ces segments de réseau ou zones de confiance implicites, le gouvernement présente un plan qui accorderait l’accès aux ressources sur la base d’une vérification continue des attributs des utilisateurs (par exemple, les rôles, les autorisations, les niveaux d’accès) et appliquerait le principe du moindre privilège (un concept de sécurité qui stipule qu’un utilisateur ou une entité ne doit avoir accès qu’aux ressources de données et aux applications spécifiques nécessaires pour effectuer une tâche requise). Cependant, Gligor dit que ce concept est techniquement malsain.

Limiter les mouvements «latéraux» de l’adversaire ne peut être atteint que si les contrôles de vérification continus et l’application du principe du moindre privilège empêchent les attaques entre zones. La surveillance continue des comportements des appareils doit également les détecter. Mais Gligor explique que les architectures de confiance zéro échouent souvent à détecter et à prévenir ces types d’attaques, citant plusieurs exemples dans son rapport technique.

“L’objectif de limiter le mouvement des adversaires à une zone de confiance minimisée ne peut pas être atteint car les critères utilisés par les architectures de confiance zéro ne parviennent pas à minimiser de nombreuses zones de confiance critiques”, déclare Gligor.

“Il existe plusieurs autres principes de minimisation, que les architectures Zero Trust ignorent pour des raisons pratiques. Leur mise en œuvre nécessiterait une refonte de la sécurité, ce que le gouvernement cherche à éviter car cela pourrait retarder le déploiement.”

Alors que Gligor affirme que les architectures Zero Trust ne peuvent pas servir de modèles de sécurité en raison de leur incapacité à contrer les risques de sécurité majeurs, il souligne qu’elles ne sont pas inutiles.

“Bien que les architectures aient une faible valeur de défense, elles offrent une valeur de récupération de violation utile.”

En utilisant les données d’IBM, Gligor montre que la segmentation des réseaux en zones de confiance réduites peut réduire considérablement la quantité de données perdues lors d’une violation, diminuant ainsi le coût global des efforts de récupération.

“Lorsque vous récupérez des données après une violation, vous devez déterminer combien d’enregistrements d’informations ont été perdus. Avec les architectures Zero Trust, au lieu de perdre 20 millions d’enregistrements au profit d’un adversaire, vous risquez de n’en perdre que 1 000 car vous avez limité le nombre d’enregistrements que l’adversaire a accès. Par conséquent, il y a beaucoup moins à récupérer.