Transformation de la cybersécurité à l'aide des modèles à vérification systématique (DDN2-A53)

Transformation de la cybersécurité à l'aide des modèles à vérification systématique

Les réseaux de technologies de l'information (TI) se développent à un rythme sans précédent, portés par des innovations comme les infrastructures infonuagiques hybrides et la demande toujours plus grande des entreprises d'aujourd'hui. Mais la croissance de ces réseaux va de pair avec la montée des cybermenaces qui ciblent leurs vulnérabilités. Avec la dispersion des données, des utilisatrices et utilisateurs et des services sur de multiples sites, le périmètre de sécurité traditionnel s'est pour ainsi dire évanoui, ce qui a fait ressortir des lacunes critiques dans les modèles de sécurité conventionnels. Conséquence : s'appuyer uniquement sur les techniques de défense basées sur le périmètre ne suffit plus. Le modèle à vérification systématique (MVS), aussi appelé « architecture zéro confiance », est conçu pour affronter ces défis modernes de sécurité, en traitant chaque connexion, chaque utilisatrice ou utilisateur, et chaque appareil comme étant non fiable jusqu'à preuve du contraire.

Le contenu de cet article est adapté de la publication Approche à vérification systématique pour l'architecture de sécurité rédigée par le Centre canadien pour la cybersécurité, qui fait partie du Centre de la sécurité des télécommunications.

La vérification systématique et le modèle afférent

Le modèle à vérification systématique (MVS) est un cadre de sécurité complet qui s'appuie sur des principes de zéro confiance. L'idée centrale est simple, mais essentielle : il ne faut jamais faire confiance par défaut à une entité, qu'il s'agisse d'une utilisatrice ou d'un utilisateur, d'un appareil ou d'un système. Chaque requête est donc vérifiée rigoureusement afin de garantir le maintien de la sécurité à tous les niveaux, indépendamment de l'emplacement ou de l'accès antérieur.

Voici les règles du MVS :

• Chaque interaction établie entre une utilisatrice ou un utilisateur et un appareil ou une application doit passer par un processus rigoureux d'authentification (conforme aux Exigences de configuration relatives à la gestion des comptes du gouvernement du Canada) et d'autorisation. Par exemple, un·e employé·e en télétravail qui tente d'accéder à une base de données financières pourrait devoir procéder à une authentification multifactorielle doublée d'une vérification basée sur les rôles avant que l'accès lui soit accordé.
• La granularité du contrôle d'accès aux ressources est aussi pointue que possible. Par exemple, l'accès d'un concepteur ou d'une conceptrice peut être limité à des dépôts de code spécifiques et aux autorisations de dossiers nécessaires à son projet. En d'autres termes, les droits d'accès sont restreints en fonction du rôle d'une personne et des besoins précis d'un projet, ce qui permet d'éviter les accès inutiles.
• Les décisions de contrôle d'accès sont prises à la suite d'une évaluation dynamique du contexte de confiance pour chaque demande d'accès. Ainsi, si un·e employé·e se connecte à partir d'un lieu inconnu, le MVS conduira à signaler la tentative et à demander des vérifications supplémentaires. L'accès pourrait être temporairement limité aux données peu sensibles jusqu'à ce que le système confirme le retour à un niveau de risque moins élevé.

Dans un modèle à vérification systématique, la communication entre utilisateurs et utilisatrices, systèmes et appareils est constamment vérifiée. L'accès est régi par des règles strictes, fondées sur des politiques, qui prennent en compte des facteurs tels que le rôle des utilisatrices et utilisateurs, l'heure, l'emplacement, l'appareil utilisé et la sensibilité des données. Le niveau de confiance qui en résulte détermine l'accès attribué : plus le niveau de confiance est élevé, plus l'accès est grand.

L'une des principales caractéristiques du MVS est sa capacité à bloquer les mouvements horizontaux, de sorte que si une personne malintentionnée accède à une zone, elle ne pourra pas se déplacer facilement ailleurs. Ce confinement est l'objectif principal du modèle à vérification systématique, sans oublier les autres avantages comme une meilleure défense du périmètre et la prise en charge de politiques PAP (« prenez vos appareils personnels »).

L'approche de sécurité à vérification systématique

En optant pour un MVS, vous renforcez la sécurité de votre organisation, optimisez ses ressources, améliorez sa conformité et augmentez sa résilience globale. Le passage à une approche à vérification systématique s'accompagne de nouvelles perspectives :

• les connexions à l'infrastructure réseau et aux ressources sont toutes potentiellement hostiles;
• le trafic réseau et les demandes d'accès aux ressources sont potentiellement malveillants;
• des personnes malveillantes tentent d'espionner les communications et les flux de données;
• la journalisation et la surveillance des demandes d'accès en temps réel, les activités de gestion du système, les changements de configuration et le trafic réseau doivent être soigneusement mis en œuvre afin de mesurer l'intégrité et la posture de sécurité de tous les actifs;
• l'authentification, la vérification et l'autorisation de chaque demande d'accès doivent respecter le principe de droit d'accès minimal, et les demandes d'accès en question doivent avoir une durée de vie déterminée et n'accorder que l'accès nécessaire à l'utilisateur ou à l'utilisatrice pour effectuer son travail;
• une sécurité adaptative, qui se traduit par des décisions de contrôle d'accès reposant sur des politiques dynamiques basées sur les risques et adaptées au contexte doit être mise en place;
• tout accès accordé à des ressources sensibles augmente votre risque vis-à-vis des cybermenaces;
• la mise au point d'une intervention en cas d'incident et d'un plan de reprise limitera des dégâts et assurera la continuité des activités.

Cadres de modèle à vérification systématique acceptés dans l'industrie

Lorsque les organisations passent de modèles de sécurité traditionnels au MVS, elles ont tout intérêt à utiliser des cadres et des lignes directrices établis. La Cybersecurity and Infrastructure Security Agency (CISA) ou le National Institute of Standards and Technology (NIST) des États-Unis, de même que le National Cyber Security Centre (NCSC) du Royaume-Uni fournissent des ressources (en anglais) pour aider les organisations à créer des cadres de MVS adaptés aux besoins et menaces qui leur sont particuliers.

Le gouvernement du Canada (GC) élabore actuellement son propre cadre de sécurité MVS en se fondant sur les piliers établis par la CISA et le NIST. Ce changement a notamment pour objectif de :

• continuer d'offrir un écosystème de sécurité numérique résilient assurant une prestation des services du gouvernement en toute sécurité;
• fournir une expérience utilisateur transparente et améliorée pour les utilisatrices et utilisateurs autorisées;
• proposer une plateforme sécuritaire assurant la protection des systèmes et données (physiques ou virtuels) hébergés au sein du réseau du GC;
• offrir une protection de bout en bout de l'information, des applications, des appareils, des réseaux, du matériel et des installations physiques du GC;
• appliquer des processus, une structure de gouvernance et des normes matures en matière de sécurité;
• assurer la confidentialité, l'intégrité et la disponibilité de l'infrastructure des TI et des données critiques du gouvernement.

En attendant que le GC publie son cadre MVS, les organisations du GC sont priées de suivre les cadres ou les lignes directrices établies par des sources fiables comme le NIST (Zero Trust Architecture [PDF], particulièrement les 7 principes du modèle à vérification systématique), la CISA (Zero Trust Maturity Model [PDF]), et le NCSC (Zero trust architecture design principles). Veuillez noter que ces ressources sont offertes en anglais. Bien choisir le cadre MVS et suivre des conseils éprouvés sont les premières étapes essentielles de l'élaboration d'une stratégie efficace en matière de vérification systématique.

Les 5 piliers de la vérification systématique

• Utilisateurs et utilisatrices : identification et authentification, principe de droit d'accès minimal, authentification à deux facteurs
• Appareils des utilisateurs et utilisatrices : identification et vérification, gestion
• Réseaux : isolation et protection des appareils et de l'infrastructure du réseau
• Protection des ressources : protection des actifs, y compris les données, les applications et les services
• Surveillance continue : gestion automatisée des événements de sécurité et analyse du comportement des utilisateurs et utilisatrices; corrélation en temps réel, évaluation des menaces et intervention

Pratiques pour la mise en œuvre d'une architecture à vérification systématique

• Authentification de toutes les connexions : Vous ne devez jamais faire confiance à votre réseau local. Dans les architectures traditionnelles, nous faisons confiance à toute connexion réseau provenant du périmètre intérieur. Toutefois, avec le MVS, toutes les connexions doivent être authentifiées. Au minimum, il faut authentifier l'utilisateur ou l'utilisatrice ainsi que l'appareil au moyen de la géolocalisation, de la date et de l'heure. Lorsque les exigences de sécurité sont plus strictes, il faut accroître le nombre et la complexité des facteurs d'authentification.
• Mise en œuvre de politiques de vérification systématique : De telles politiques sont cruciales, puisqu'elles garantissent une sécurité adéquate sur l'ensemble du réseau et dans les flux de trafic, mais demandent des efforts considérables. Pour commencer, posez-vous les questions clés suivantes : Qui sont les utilisateurs et utilisatrices? À quoi doivent-ils accéder? À partir d'où;?
• Création d'un « moteur de confiance » : Un moteur de confiance évalue la confiance en fonction de divers facteurs comme la sécurité des appareils, les modèles de comportement et la sécurité globale du réseau. Il autorise ou refuse ensuite l'accès de façon dynamique, en intégrant les données de sécurité provenant de tous les niveaux de l'architecture.
• Connaissance des actifs : Créez un inventaire d'accès de votre réseau avec vos données, vos utilisateurs et utilisatrices, vos appareils et vos applications. Comprendre la valeur de vos ressources et les risques qui y sont associés est essentiel à la mise en place d'un MVS.
• Recours à l'authentification multifactorielle (AMF) : L'AMF requiert au moins deux formes d'authentification, comme un mot de passe et un jeton physique, afin de réduire le risque de compromission des justificatifs d'identité. L'AMF adaptative, quant à elle, va plus loin en utilisant des données contextuelles pour évaluer le risque et appliquer d'autres facteurs si nécessaire. Il est essentiel d'y recourir dans un MVS.
• Application du principe de droit d'accès minimal au moyen du contrôle d'accès basé sur les rôles (RBAC) et du contrôle d'accès basés sur les privilèges (ABAC) : Utilisez le RBAC pour définir les droits d'accès en fonction des rôles et l'ABAC pour accorder l'accès en fonction des caractéristiques de l'utilisatrice ou utilisateur et des données, en appliquant le principe de droit d'accès minimal.
• Chiffrement de tout le trafic : Chiffrez l'ensemble du trafic pour empêcher l'accès non autorisé aux données sensibles. Ainsi, seuls les utilisatrices et utilisateurs authentifiées pourront déchiffrer les informations et y accéder.
• Mise en place d'un accès basé sur les politiques : Utilisez des politiques basées sur les risques pour contrôler l'accès de façon dynamique. Appliquez le principe de droit d'accès minimal pour que l'accès aux ressources soit limité en fonction de l'identité plutôt que de l'emplacement réseau.
• Utilisation d'une gestion des accès privilégiés (PAM) et de postes de travail administratifs sécurisés (SAW) : La gestion des accès privilégiés sécurise les comptes d'administrateur par un accès temporaire accordé selon le principe d'accès « juste-à-temps », accompagné d'approbations et d'une journalisation aux fins de supervision. Les postes de travail administratifs sécurisés, dotés d'une couche de protection supplémentaire, servent de machines consacrées aux tâches administratives de nature sensible.
• Surveillance et journalisation des activités : Surveillez en continu les appareils et les accès aux services afin de repérer toute activité suspecte. Les systèmes de gestion des informations et des événements de sécurité facilitent la tâche en analysant les connexions à la recherche de comportements inhabituels.
• Gestion des appareils : Attribuez des identificateurs uniques aux appareils, assurez-vous de respecter les normes de sécurité et gérez l'accès au moyen de politiques. Le MVS s'applique à tous les appareils. Les modules de plateforme de confiance renforcent la sécurité des appareils.
• Sécurité accrue pour les appareils PAP (prenez vos appareils personnels) : Un MVS permet un contrôle précis des environnements PAP, en exigeant que chaque appareil s'authentifie avant d'accéder aux ressources de l'entreprise.
• Utilisation d'une segmentation du réseau : Segmentez les réseaux pour limiter les mouvements horizontaux. La microsegmentation offre un contrôle encore plus important, en isolant les charges de travail individuelles pour protéger les données sensibles.
• Mise à profit des périmètres définis par le logiciel (SDP) : Les SDP prennent en charge les principes d'un MVS, en offrant un contrôle d'accès et un chiffrement précis pour les utilisatrices et utilisateurs à distance. Ils fournissent un accès sécurisé aux applications sans exposer le réseau, réduisant ainsi la surface d'attaque.

Avantages de l'utilisation d'un cadre de sécurité MVS

1. Améliore la protection des données : Traditionnellement, quand une personne malveillante réussit à franchir votre périmètre réseau (comme à partir d'un coupe-feu), elle peut progresser de façon horizontale dans le réseau pour potentiellement trouver et voler de l'information sensible. Un MVS réduit ce risque en sécurisant les ressources individuelles au lieu de s'appuyer uniquement sur la défense de périmètre. Il impose une authentification stricte et applique le principe de droit d'accès minimal, en n'accordant aux utilisateurs et utilisatrices que l'accès nécessaire.
2. Offre une meilleure visibilité et surveillance : L'approche à vérification systématique exige que les organisations consignent tous les appareils et les soumettent à un processus d'authentification rigoureux pour accéder aux ressources. Cela désinvisibilise les personnes qui accèdent aux ressources (et à quelle fin) et facilite la détermination des mesures de sécurité devant être appliquées à chaque ressource. Le MVS impose également une surveillance continue de toutes les activités et communications, ce qui permet de mieux détecter les menaces potentielles et d'assurer une réponse rapide à celles-ci.
3. Améliore la détection des incidents et la réponse à ceux-ci : Un MVS améliore la réponse aux incidents en fournissant des informations détaillées sur les demandes d'accès suspectes, notamment sur l'utilisateur ou l'utilisatrice, l'appareil, les données et l'application en question. Lorsqu'un incident se produit, un MVS permet de remonter avec précision jusqu'à des entités et des ressources précises.
4. Améliore le contrôle de l'accès au nuage : Bien que les fournisseurs de services infonuagiques offrent des solutions de sécurité natives robustes, la protection des actifs de l'organisation est une responsabilité partagée. Un MVS veille à ce que tous les actifs en nuage soient classifiés et que les contrôles d'accès soient personnalisés. Cette approche permet de vérifier que seules des entités légitimes se connectent à votre infrastructure nuagique.
5. Favorise une conformité continue et facilite les activités de vérification : Une architecture fondée sur un MVS favorise aussi la conformité continue des normes et des réglementations ayant trait à la confidentialité en évaluant et en journalisant chaque demande d'accès. Ainsi, le suivi de l'identité de l'utilisateur ou utilisatrice et de l'application, avec des données temporelles et de localisation au moment de la demande, permettent d'établir une piste de vérification complète. Un effort minimal est donc nécessaire pour répondre aux exigences de vérification et assurer la gouvernance.
6. Assure la sécurité des effectifs à distance : Le passage rapide au travail à distance a déclassé les modèles de défense de périmètre traditionnels, comme les pare-feu. Le personnel en télétravail et en mode hybride élargit la surface d'attaque, ce qui crée de nouvelles possibilités d'entrée pour les personnes malveillantes. Un MVS résout ce problème en segmentant le réseau et en créant des micropérimètres avec des politiques d'identification et de validation rigoureuses, tout en contrôlant l'accès aux zones sécurisées.

Défis à relever par les organisations qui passent au modèle à vérification systématique

Le passage à un MVS peut représenter un défi de taille, car il nécessite un contrôle précis de l'accès, de l'authentification et de la surveillance : certaines capacités souvent déficientes dans les systèmes plus anciens. Pour réussir la transition, il faut avoir une compréhension approfondie des besoins opérationnels. Les organisations doivent ainsi commencer par :

• déterminer les données, les actifs et les applications les plus importants;
• comprendre qui sont les utilisateurs et utilisatrices, à quoi ils et elles accèdent et comment ils et elles se connectent.

Cela permet d'établir des priorités et de protéger les ressources clés lors de la mise en œuvre d'un MVS. Bien que les mécanismes de sécurité traditionnels restent nécessaires pendant la transition, les organisations doivent intégrer des solutions de sécurité plus sophistiquées dans toutes les couches technologiques.

Principaux défis à relever

• Complexité de la gestion des utilisateurs et utilisatrices : Les administrateurs doivent définir des privilèges d'accès détaillés pour chaque utilisateur et utilisatrice et chaque ressource en vue d'étayer les décisions de confiance et d'accès.
• Irritants pour l'utilisateur ou l'utilisatrice : L'authentification multifactorielle et le besoin d'une authentification plus fréquente peuvent irriter les utilisateurs et utilisatrices.
• Besoins en matériel : Il se peut que les appareils nécessitent des jetons d'authentification matériels, et un déploiement dans toute l'organisation peut s'avérer long et coûteux.
• Technologie désuète : Les anciens pare-feu et systèmes pourraient ne pas disposer des capacités dynamiques nécessaires à un MVS. Des mises à niveau progressives de l'équipement pourraient donc être requises.
• Manque de ressources : Les ressources techniques qualifiées pour la mise en œuvre d'un MVS peuvent être limitées, ce qui complique encore la tâche.

Migrer vers un MVS peut être compliqué, en particulier lorsque certains systèmes ne sont pas compatibles avec le MVS. Le modèle de maturité de l'approche à vérification systématique de la CISA (PDF en anglais seulement) propose une feuille de route qui permet aux organisations d'effectuer une transition graduelle et d'améliorer progressivement leur posture de sécurité.

Pour passer complètement à un MVS, il faut changer durablement d'état d'esprit. La direction, les administrateurs, les parties prenantes et les utilisateurs et utilisatrices doivent tous soutenir l'effort pour une transition réussie. Un MVS se traduit par des années d'efforts, des mises à jour constantes, des investissements financiers et une maintenance proactive.

Prochaines étapes en matière de vérification systématique

Un MVS n'est pas une solution qu'il suffit de configurer une fois pour ne plus jamais y penser ensuite. Votre cadre MVS doit suivre l'évolution de votre organisation. Par exemple, des mises à jour régulières des contrôles d'accès sont nécessaires pour s'assurer que les données confidentielles demeurent réservées aux personnes autorisées. Il est essentiel de faire preuve de vigilance pour empêcher tout accès non autorisé.

Ressources

Cours

• Découvrez la cybersécurité (DDN235)
• Introduction à la gestion de la sécurité des technologies de l'information (DDN106)
• La cybersécurité dans le GC et la visibilité en ligne (DDN233)
• La cybersécurité dans le GC pour la maison et le télétravail (DDN232)

Publications

• Approche à vérification systématique pour l'architecture de sécurité
• Zero Trust Concept Paper (PDF en anglais seulement)

En savoir plus

• Plus d'articles

Restez branchés

• Abonnez-vous à l'infolettre de l'Académie du numérique de l'EFPC
• Suivez l'Académie du numérique de l'EFPC sur X
• Découvrez les ressources de l'Académie du numérique de l'EFPC sur GCÉchange
• Contactez l'Académie du numérique de l'EFPC par courriel