Zero-Trust et Digital Workplace : le travail a changé radicalement

Zero-Trust et Digital Workplace, ou comment ne plus faire confiance à aucun terminal ni utilisateur pour préserver la sécurité des données. Comment, en effet, protéger la Digital Workplace à l’heure où le télétravail forcé a renforcé les menaces de cybersécurité ? Le concept de Zero-Trust a justement pour but de remplir cette fonction. Pour mieux comprendre ce concept j’ai interviewé Stéphane Padique, solution engineering manager chez VMware dans le cadre de notre dossier de l’IT du futur avec Selceon. Cette interview me permet d’ailleurs d’annoncer le futur webinaire qui aura lieu le 12 janvier sur le thème de la sécurisation de la Digital Workplace

Zero-Trust et Digital Workplace : comment mieux protéger SI et données

Zero Trust et Digital Workplace
Le Zero-Trust est le nouveau chien de garde de la Digital Workplace. Avec lui, rien ne passe, car aucun terminal ni utilisateur n’est considéré comme fiable, a priori.

J’ai assisté à la présentation de Stéphane Padique sur Zero-Trust et Digital Workplace en février dernier, au salon IA for Business. Il y avait ouvert la discussion en expliquant que la personne qui s’inquiète le plus de la Digital Workplace est le responsable de la sécurité, ce qui m’avait frappé.marketing RHJ’ai donc souhaité en savoir plus, et je l’ai interviewé dans le cadre de notre dossier sur l’Environnement de Travail du futur réalisé avec notre sponsor Selceon.

Zero-Trust et Digital Workplace
Le dossier sur l’environnement du travail de demain est réalisé avec Selceon

La mise en œuvre de la Digital Workplace correspond avant tout à l’ouverture des services IT aux utilisateurs, quel que soit l’endroit où ils se trouvent, quel que soit le type de terminal qu’ils vont utiliser

Ce que nous avons observé au cours des derniers mois, c’est le défi numéro un des DSI, c’est cette sensation de perdre le contrôle de cet accès aux applications, le contrôle des terminaux utilisés par les utilisateurs. Se posent ainsi énormément de questions en termes de sécurité.

Zero-Trust et Digital Workplace
Notre webinaire du 12 janvier traitera de la cybersécurité, du Zero-Trust et de la digital workplace : inscription sur vismktg.info/live120121

La bonne nouvelle, c’est que les solutions de Digital Workplace que l’on peut trouver aujourd’hui sur le marché — dont Workspace One de VMware — sont conçues pour permettre l’ouverture aux utilisateurs.

En dehors de ce focus sur la valeur apportée à l’utilisateur, ces solutions permettent également d’assurer la sécurité des accès aux applications et globalement, à tout le patrimoine digital de l’entreprise.

La sécurité de la Digital Workplace est l’affaire de tous

La personne en charge de la sécurité aura toujours un regard particulier sur ce genre de choses. Mais quelque part, la sécurité aujourd’hui et les dernières informations qu’on a pu voir le démontrent, c’est l’affaire de tous.

Aujourd’hui, déployer une nouvelle application, mettre en place un nouveau service, doivent se faire en gardant la sécurité à l’esprit. C’est quelque chose qui doit être, selon moi, totalement intrinsèque, que ce soit par rapport aux plateformes mises en œuvre, aux applications qui sont développées, à l’endroit où on va faire tourner ces applications, qu’on soit dans le data center ou sur le cloud.

Zero-Trust et Digital Workplace
Stéphane Padique lors de sa présentation sur Zero-Trust et Digital Workplace à IT4Business en février de cette année

Protéger la digital workplace à l’heure où travailler de n’importe où devient la norme

La situation actuelle a eu un certain nombre d’aspects positifs, constate Stéphane. Nous avons été forcés à valider une nouvelle façon de travailler.

Nous avons tous bien conscience des limites du modèle dans lequel on s’est tous retrouvés au cours des derniers mois, mais cela a aussi ouvert un certain champ des possibles.

Oui ! Il est possible de travailler en toute sécurité avec une force de travail distribuée

Cela a démontré à de très grandes entreprises qu’il est tout à fait possible de travailler avec ce qu’on appelle aux Etats-Unis une « distributive workforce », qui consiste à avoir des employés beaucoup plus distribués géographiquement.

C’est une bonne nouvelle, je vois un futur qui sera différent. On ne travaillera plus demain comme on travaillait avant cette crise

Ce sont autant d’opportunités pour nos clients de travailler différemment et d’aller rechercher les meilleurs talents, la meilleure performance, en proposant davantage de flexibilité aux employés dans leur rapport au travail.

Principale menace : une surface d’attaque plus importante

Les applications ne vont pas forcément toutes être dans notre data center, mais de plus en plus dans le SaaS, et c’est une bonne chose, souligne Stéphane.

En revanche, cela signifie que la façon dont on les protégeait jusqu’à présent sur une approche très périmétrique n’est plus vraiment la meilleure façon de faire.

Il n’est plus possible de cadenasser une application SaaS comme on pouvait le faire quand elle était dans notre datacenter. Il y a donc une approche particulière à mettre en œuvre pour faire face à ces menaces

Ensuite, il y a également la problématique liée à l’utilisateur lui-même, qui n’est plus dans le périmètre de l’entreprise. L’utilisateur et son terminal sont externes. On va avoir de plus en plus de besoin de Bring Your Own Device. Non seulement l’utilisateur sera à l’extérieur du réseau, mais il va utiliser un terminal qui, potentiellement, ne sera pas sous le contrôle de l’entreprise.

Là aussi, il faut absolument que la mise en place de la Digital Workplace permette de répondre à ces menaces et de proposer des solutions appropriées.

Alors le Zero-trust est arrivé …

Comme son nom l’indique, le concept du Zero-Trust signifie qu’on ne peut plus se permettre de faire confiance, même aux informaticiens. Pour le comprendre, il suffit de voir la façon dont un utilisateur va venir consommer un service IT, une application, comme une chaîne.

Zero-Trust et Digital Workplace
Les 5 piliers du Zero-Trust selon VMware (illustration VMware) – Il faut voir le façon dont l’utlisateur va consommer un service IT comme une chaîne

Cette chaîne est constituée d’un certain nombre de maillons : l’utilisateur, son device, le réseau par lequel il va transiter, l’application elle même. On va faire en sorte que les maillons de cette chaîne ne se fassent pas confiance a priori.

C’est vraiment la grande différence entre un accès et une protection périmétrique où ce qui est à l’extérieur du périmètre est une menace, ce qui est à l’intérieur on lui fait confiance.

Avec le Zero-Trust, on va partir du principe inverse à la sécurité périmètrique : dans ce cas il n’y a plus de périmètre

Dans ce contexte, aucun des éléments de cette chaîne ne peut confiance a priori à aucun des autres éléments qui sont autour de lui. Le concept du Zero-Trust consiste à apporter l’ensemble de ces mécanismes qui vont permettre d’assurer que chacune des connexions à la Digital Workplace, chacun des usages, se fasse dans une situation conforme à la politique de sécurité.

Ce n’est plus le poste de travail qui se protège du réseau, c’est le réseau qui se protège des postes de travail. Et vice versa : le poste de travail se protège du réseau aussi parce que, a priori, on ne peut pas lui faire confiance non plus

Le traditionnel antivirus va-t-il continuer à exister ?

Pour Stéphane, oui, car on voit arriver sur le marché des technologies d’antivirus de nouvelle génération, qui agissent différemment, et sont particulièrement intéressants pour protéger les postes de travail. Ils resterons donc utiles.

Par contre, la grande différence, et c’est là tout l’intérêt du Zero-Trust, c’est d’être capable d’obtenir de la part de l’ensemble de ses composants de sécurité la bonne information au moment où on en a vraiment besoin

Stéphane prend l’exemple d’un accès à une application : souvent la première chose que demandent les clients est d’établir le niveau de conformité du terminal de l’utilisateur au moment où il va venir accéder à une ressource.

Dans ce niveau de conformité, on va forcément évaluer le niveau de sécurité de ce terminal. Et c’est une information que l’on est capable d’avoir par rapport au système de gestion du terminal, mais également par rapport aux informations qui vont nous être transmises par les systèmes de sécurité qui sont à bord de ce terminal.

Une collaboration est mise en œuvre entre l’ensemble de ces composants pour créer ce domaine de confiance et définir si oui ou non, l’utilisateur est dans la bonne posture pour accéder à cette application.

Le Zero-Trust : une approche graduelle en 5 étapes

Dans le schéma Zero-Trust, le parcours de l’utilisateur depuis son poste de travail jusqu’à l’automatisation n’est pas forcément linéaire.

Il est tout à fait possible de tout mettre en place du jour au lendemain. Mais, précise Stéphane, il y a un existant, des choses à transformer, un certain travail à faire en terme d’analyse sur la façon dont les choses doivent fonctionner.

  1. La première étape de cette approche est de se rassurer quant à la conformité du terminal qui va être utilisé : C’est quelque chose qui est relativement simple à mettre en œuvre au travers des systèmes de management des terminaux. On parle de MDM, mais on parle aussi de modern management sur les plateformes Windows. Enormément de travaux ont été réalisés par Apple sur les plateformes macOS, ainsi que la plupart des fournisseurs de plateformes. On peut vraiment se baser sur cela pour mettre en place le maintien de la configuration et de la conformité du terminal.
  2. Ensuite, on va pouvoir travailler sur la mise en place des accès conditionnels : En fonction de la criticité des applications, des données qu’elles font transiter, on va définir le bon niveau de sécurité, ou en tout cas un niveau de sécurité minimal attendu, pour permettre cette consommation. Il est clair qu’il n’y a pas forcément du sens à mettre en place des règles extrêmement dures d’accès à certaines applications si les données ne sont pas critiques. En matière de Digital Workspace on doit toujours penser aussi au confort et à l’expérience de l’utilisateur. Cet accès conditionnel, on va le faire généralement application par application. Cela demande un certain temps. Il y a un certain travail d’analyse à faire qui constitue la deuxième étape.
  3. Puis aller de plus en plus loin au cœur du data center : Par exemple, on aura recours au « per app » VPN ou Tunnel. La possibilité de pouvoir sécuriser très finement le lien entre une application donnée et le back-end avec lequel elle doit communiquer au sein du data center. Ça aussi, c’est quelque chose de très intéressant. On va relier aux deux autres concepts puisque l’ouverture et la mise en œuvre de ce tunnel sera conditionné, bien entendu, au niveau de conformité du terminal de l’utilisateur.
  4. Ensuite, on va prendre en compte le comportement de l’utilisateur : Il s’agit, au travers des informations que l’on a recueillies sur la façon dont l’utilisateur va utiliser son terminal et accéder aux applications, d’identifier le niveau de risque potentiel présenté par cet utilisateur. On a tous des usages qui peuvent potentiellement être risqués. Ce qui est intéressant, c’est justement de pouvoir dire à ce niveau-là, tout est ok, je laisse passer l’utilisateur. À tel autre niveau, je commence à avoir un doute. Donc je vais peut-être renforcer, par exemple, la force d’authentification demandée. Puis à un certain niveau, je vais demander un peu plus de choses à l’utilisateur, par exemple, de retirer certaines applications qu’on estime être trop risquées, de son terminal, ou encore lui demander d’aller consulter certaines formations de sensibilisation à la sécurité. Et une fois cette formation passée, automatiquement redescendre le score de risque de cet utilisateur, et donc affecter directement son accès aux applications.
  5. Enfin, le Saint-Graal du Zero-Trust dans un cadre de digital workplace : la proactivité et l’automatisation. On a finalement toute une chaîne, tout un ensemble de composants qui nous nourrissent en permanence d’informations tout à fait pertinentes en termes de sécurité. Au cran supérieur, il est possible d’utiliser ces informations pour proactivement et automatiquement prendre les bonnes actions, notamment en termes de remédiation. Et ce, sans forcément attendre que l’administrateur ou le SOC prenne ce genre de décision. Là aussi, il s’agit d’une problématique de temps de résolution ou de temps de remédiation. Plus vite on remédie à quelque chose que l’on a identifié, moins on va être exposé au risque.

Finalement, avec la digital workplace et le Zero-Trust, on s’aperçoit qu’on a un niveau de sécurité équivalent, si ce n’est supérieur, à ce qu’on avait l’habitude d’utiliser en sécurité périmétrique.

Il y a aussi un élément éducatif dans cette protection de la Digital Workplace

On n’est pas forcément obligé, toujours, de taper sur les doigts des utilisateurs, on peut aussi les récompenser quand ils réagissent bien.

L’utilisateur lui aussi doit être sensibilisé, et être conscient des risques qui sont autour de lui, sans forcément devenir paranoïaque.

Une approche intéressante a été mise en œuvre chez VMware pour éduquer les utilisateurs à la vigilance en étant le plus proche du jeu.

Très régulièrement, des emails de phishing sont envoyés aux utilisateurs. Lorsqu’ils détectent et remontent un email de phishing « de test », ils vont gagner des points, ce qui permet de gamifier l’expérience et d’apprendre au fur et à mesure et à se sensibiliser aux pièges que l’on peut rencontrer aujourd’hui.

Innovations attendues dans les mois et années qui viennent

Force est de constater qu’il va falloir pousser ce concept beaucoup plus loin, travailler sur l’infrastructure et les applications elles-mêmes, souligne Stéphane.

C’est quelque chose sur quoi VMWare travaille d’ores et déjà au travers de ce qu’on appelle « Intrinsic Security » (voir la présentation du COO de VMware Sanjay Poonen, ci-dessous), c’est-à-dire mettre en œuvre tous les mécanismes de sécurité au niveau de l’infrastructure et fermer la boucle entre l’infrastructure et l’utilisateur.

Et puis, plus loin par rapport aux applications, faire l’effort nécessaire pour sécuriser le développement même des applications et éviter, par exemple, que ces applications ne soient piratées alors même qu’elles sont encore en développement, et que du code malicieux soit injecté dans ces applications.

On va devoir étendre cette chaîne de confiance jusqu’à la source qui est le développement de l’application. Pour Stéphane, le concept de Zero-Trust est tout à fait adapté à cette approche, et doit maintenant être élargi.

Inscrivez-vous à notre webinaire pour en savoir plus er bénéficier des retours d’expérience d’ASL Airlines sur ce sujet.

marketing RH

Yann Gourvennec
Follow me

Comments