Concevez votre architecture Zero Trust

Table of contents

Table of contents

Évaluez les limites de votre modèle périmétrique

Félicitations, vous venez de prendre votre poste de RSSI au sein dʼune Entreprise de Taille Intermédiaire (ETI) de 500 collaborateurs. Son système dʼinformation (SI) est aujourdʼhui hybride, à savoir qu’il combine des applications SaaS, des ressources hébergées chez un fournisseur Cloud (IaaS/PaaS) et des serveurs historiques dans une salle serveur sur site. 

Au bout de quelques jours, vous constatez que les mesures de sécurité en place ne sont pas suffisantes, et reposent sur une conception « historique » de la sécurité : un odèle type « château-fort », avec essentiellement des protections périmétriques.

Juste avant votre arrivée, une analyse de risque suivant la méthodologie EBIOS RM a été réalisée par des consultants externes. Cette analyse de risque, dont vous prenez connaissance, dresse un constat préoccupant, et fait ressortir trois risques majeurs menaçant lʼentreprise. Ces risques concernent l'usurpation de l’identité d’un administrateur, l'accès à des SaaS non maîtrisé et la possibilité de mouvement latéral après compromission. 

Ces risques corrélés à votre analyse de la situation mettent en évidence un décalage croissant entre les menaces réelles et les mécanismes de protection en place. Cette conception historique, jusque-là fortement défendue par votre prédécesseur, montre aujourdʼhui ses limites.

Dans ce contexte, le COMEX s’interroge sur le niveau de risque mis en évidence par l’analyse, alors même que des investissements importants ont déjà été réalisés en cybersécurité sous la précédente direction. Exposé à de nombreux discours commerciaux et à une multiplication de termes techniques et de buzzwords autour de la sécurité, il perçoit la nécessité d’agir sans pour autant comprendre clairement les concepts, leurs enjeux réels ou leur pertinence pour l’entreprise.

Vous êtes donc sollicité pour apporter une vision claire et structurée de la situation : expliquer pourquoi le modèle de sécurité actuellement en place est devenu obsolète et ne couvre plus efficacement les risques actuels, distinguer les approches réellement pertinentes des effets de mode — notamment autour de concepts comme le Zero Trust — et démontrer pourquoi une transformation vers un modèle de sécurité aligné avec l’état de l’art est aujourd’hui nécessaire pour mieux protéger l’entreprise. 

Comprenez les scénarios de risques de votre analyse de risques

Pour sécuriser un système, il faut d'abord comprendre comment il peut être attaqué. C’est le but d’une analyse de risques EBIOS RM.

Dans le contexte ci-dessus, vous êtes chanceux : vous avez déjà une analyse de risques à disposition. Si jamais cela n’avait pas été le cas, cela aurait été sûrement l’un de vos chantiers : pas de compréhension de vos menaces sans analyse de risques. C’est une pratique très répandue chez les RSSI au moment de leur prise de poste. Vous allez donc vous approprier l'analyse EBIOS RM existante et le Plan de Traitement des Risques (PTR) associé pour en tirer des orientations sur votre stratégie de Sécurité. 

Comme annoncé, ce document identifie trois risques critiques qui planent sur votre entreprise : 

  • l'usurpation de l'identité d'un administrateur, 

  • l'accès non maîtrisé à vos applications SaaS, 

  • et la possibilité de mouvements latéraux d'un attaquant après une première compromission.

Mais comment traduire ces risques abstraits en failles concrètes sur mon architecture ?

Pour mieux comprendre ces risques, il est plus pertinent de s’appuyer sur les scénarios opérationnels issus de la méthode EBIOS RM et sur la logique de « Kill Chain », qui décrivent concrètement les différentes étapes suivies par un attaquant pour atteindre son objectif. 

Cette approche permet de relier directement vos risques identifiés aux techniques réellement utilisées par les attaquants :

  • Connaître : l’attaquant collecte des informations sur l’entreprise, ses collaborateurs et son exposition numérique (OSINT, réseaux sociaux, reconnaissance externe).

  • Rentrer : il obtient un premier accès via un phishing, une compromission d’un fournisseur, un service exposé ou un équipement mal sécurisé.

  • Trouver : une fois présent dans le SI, il réalise des mouvements latéraux, élève ses privilèges et cherche les données ou systèmes critiques.

  • Exploiter : il exfiltre les données, déploie un rançongiciel ou perturbe les opérations.

Cette lecture met en évidence les limites du modèle de sécurité actuel. Les protections historiques, principalement centrées sur le périmètre réseau, ne suffisent plus face à des attaques qui exploitent les identités, les accès distants, les partenaires de l’écosystème et les mouvements latéraux internes. 

Cette approche permet également de donner du sens à certains concepts actuels comme le Zero Trust. Celui-ci ne constitue pas un simple buzzword, mais une réponse concrète aux mécanismes observés dans les scénarios d’attaque modernes : réduction des privilèges, segmentation du SI, contrôle continu des accès et limitation des déplacements latéraux d’un attaquant une fois qu’il a pénétré le système d’information.

Analysez les actions proposées dans le Plan de Traitement des Risques (PTR) 

Si le PTR recommande de « renforcer l’authentification multi-facteurs (MFA) sur les accès SaaS », cette mesure ne doit pas être vue comme une action technique isolée, mais comme une composante d’une stratégie de défense en profondeur. À chaque risque identifié doit répondre un ensemble cohérent de mesures complémentaires, mêlant dimensions techniques, organisationnelles et de gouvernance.

Ainsi, la mise en place du MFA au niveau du fournisseur d’identité pour l’accès  aux applications SaaS n’a de sens que l’ensemble des applications SaaS sont raccordables au fournisseur d’identité. Et donc cette mesure doit s’accompagner également de règles d’achat imposant la compatibilité avec le fournisseur d’identité, et plus largement des capacités de sécurité minimales chez les fournisseurs, d’une gestion rigoureuse des identités et des habilitations, de processus de supervision des accès et de sensibilisation des utilisateurs. Les réponses aux risques peuvent donc couvrir des domaines très variés : architecture technique, gestion des accès, gouvernance des fournisseurs, procédures RH, gestion des actifs ou encore continuité d’activité.

Cette approche illustre une évolution fondamentale de la cybersécurité moderne : la sécurité ne se limite plus à des dispositifs techniques, ni à la seule protection du réseau interne, mais englobe des sujets organisationnels, de processus, etc. 

Le modèle historique du « château fort », reposant sur une frontière réseau supposée de confiance, est aujourd’hui insuffisant face à des usages distribués, au Cloud et aux attaques exploitant les identités et l’écosystème de partenaires.

Déconstruisez le mythe historique qu’une protection périmétrique est suffisante pour assurer la sécurité

Pendant des décennies, la sécurité informatique a été vue comme un sujet purement réseau, avec pour conséquence le déploiement d’un modèle de sécurité qu’on qualifie de « château-fort ». 

Mais pourquoi “Château-fort” ?

Le principe était simple : on construit des murs épais (les pare-feux) et des douves (les zones démilitarisées ou DMZ) pour séparer l'extérieur, considéré comme hostile (Internet), de l'intérieur, considéré comme sûr et digne de confiance (le réseau d'entreprise).

Dans ce contexte, vous devez démontrer à votre COMEX pourquoi ce postulat d'un réseau interne "sûr par défaut" est devenu totalement caduc, tout en restant simple et sans rentrer dans des considérations techniques. 

Un premier axe est de rappeler qu’aujourd'hui, avec la transformation numérique, la notion même de réseau interne a volé en éclats. Vos 500 collaborateurs travaillent depuis chez eux, se connectent sur des réseaux Wi-Fi non maîtrisés, travaillent avec leur smartphone (potentiellement personnel), et accèdent à des applications SaaS hébergées à l'autre bout du monde. L'Agence nationale de la sécurité des systèmes d'information (ANSSI), dans ses travaux sur l’externalisation, l’usage du Cloud ou encore le nomadisme numérique, souligne la généralisation de ces usages, l’obsolescence d’une notion de réseau “interne” et l’augmentation drastique de la surface d’attaques des SI actuels par rapport aux SI traditionnels.

Face à cette réalité, un pare-feu placé à l'entrée du siège social de l'entreprise ne protège plus rien, car les données et les utilisateurs n'y sont plus.

De plus, le modèle du château fort possède un énorme défaut : la confiance implicite. Si un attaquant parvient à franchir le mur d'enceinte (par exemple via un e-mail de phishing), il se retrouve dans la place forte où tout le monde se fait confiance. Il peut alors se déplacer latéralement sans aucune entrave, rebondissant de serveur en serveur jusqu'à trouver les données les plus critiques.

Intégrez pleinement le principe dʼ« assume breach »

Puisque le périmètre n'existe plus et que les barrières finissent toujours par céder, vous devez changer de paradigme et adopter le principe d'« Assume Breach » (supposer la brèche).

Le passage d'un modèle périmétrique obsolète à la philosophie
Modèle Château-fort vs Zero Trust

Vous devez partir du postulat qu'un attaquant a déjà compromis une partie de votre système d'information, ou qu'il y parviendra très prochainement.

Mais si je dis au COMEX que nous allons forcément être compromis, ne vont-ils pas penser que la cybersécurité ne sert à rien et couper mes budgets ?

C'est une excellente question.

Affirmer qu'une compromission est inévitable ne relève pas du pessimisme ou de la défaite, c'est au contraire une preuve de maturité et de réalisme face aux menaces actuelles.

Ce changement de posture irrigue l'ensemble de votre démarche de sécurité, par exemple :

  • Au niveau stratégique : Vous ne promettez plus une étanchéité absolue, mais vous développez des capacités pour anticiper l'incident, le détecter rapidement et gérer la crise.

  • Au niveau opérationnel : Vous mettez en place des équipes de détection et de réaction (Blue Team) et vous organisez des exercices offensifs (Red Team) pour tester concrètement la résilience de vos défenses.

  • Dans la gouvernance : L'objectif n'est plus seulement d'empêcher l'intrusion à tout prix, mais de contenir l'attaquant pour limiter l'impact de la compromission.

Adopter le principe d'« Assume Breach », c'est opérer une transition fondamentale : vous passez d'une logique de prévention pure, vouée à l'échec, à une logique de résilience opérationnelle et de maîtrise totale des impacts sur le métier. Vous acceptez que le poste d'un stagiaire soit infecté par un malware, mais vous construisez une architecture qui garantit que ce malware ne pourra jamais se propager vers vos serveurs de base de données critiques.

Comprenez et appliquez les piliers fondamentaux du Zero Trust

Vous avez maintenant compris que le modèle périmétrique était voué à l’échec, et pris conscience que l’attaquant était peut-être déjà chez vous (“assume breach”). Quelle stratégie de Sécurité mettre en œuvre dans ce contexte, et que vous pourriez présenter à votre COMEX ?

C’est ici qu’entre en jeu l’Architecture Zero Trust (ZTA - Zero Trust Architecture).

Selon les standards du NIST (SP 800-207), la philosophie Zero Trust  repose sur 3 piliers fondamentaux :

La philosophie Zero Trust repose sur trois piliers fondamentaux.
Les 3 piliers du Zero Trust

  1. Le premier pilier consiste à remplacer la confiance implicite par une vérification explicite et systématique. Le lieu de connexion (le fait d'être physiquement dans les locaux de l'entreprise) n'accorde plus aucun droit. Chaque demande d'accès à une ressource (qu'il s'agisse d'un fichier, d'une application ou d'un serveur) doit être évaluée de manière dynamique et authentifiée par session, quel que soit l'endroit d'où provient la demande.

  2. Le deuxième pilier est l'application stricte du principe du moindre privilège. Les accès doivent être accordés de manière chirurgicale : uniquement aux personnes ou machines qui en ont besoin, juste pour le temps nécessaire à l'accomplissement de leur tâche, et avec les droits minimaux requis.

  3. Enfin, le troisième et dernier pilier considère que le système doit être conçu autour du principe d'”Assume Breach” abordé précédemment. Pour ce faire, vous devez surveiller et mesurer en continu l'intégrité et la posture de sécurité de tous les actifs de l'entreprise. Un appareil dont l'antivirus n'est pas à jour ou qui présente un comportement anormal verra son niveau de confiance dégradé, pouvant limiter voir bloquer les accès (ce qui limite la propagation de l’attaquant dans le cas d’une compromission avérée).

À vous de jouer !

Contexte

L'heure de vérité a sonné. À la suite de votre présentation, votre DSI vous interpelle :

Je comprends la théorie, mais concrètement, pourquoi le pare-feu de nouvelle génération que nous avons acheté l'an dernier à prix d'or ne suffit-il pas à contrer les trois risques critiques identifiés par notre EBIOS RM (l'usurpation d'identité de nos administrateurs, les fuites liées à nos applications SaaS, et les mouvements latéraux) ?

Consigne

Pour lui répondre de manière pragmatique, associez chaque risque de votre Analyse de Risques à la limite spécifique du modèle périmétrique traditionnel qui permet à ce risque d'exister. Ensuite, identifiez le principe architectural Zero Trust qui permet d'y répondre et d’adresser ce risque. Construisez votre réponse sous la forme d'un tableau analytique.

En résumé

  • Le modèle périmétrique "château fort" est obsolète car l’évolution numérique a amené des transformations des Systèmes d’informations (le Cloud, généralisation du nomadisme, etc.) et a fait disparaître la notion de réseau interne maîtrisé.

  • L'analyse de risques permet de cibler précisément les failles critiques de votre infrastructure actuelle.

  • Intégrer le principe d'« Assume Breach » est indispensable : vous devez concevoir vos défenses en acceptant qu'une compromission aura inévitablement lieu.

  • L'approche Zero Trust annule la confiance implicite liée au réseau pour imposer une vérification explicite du contexte (utilisateur, appareil) à chaque requête. “Never Trust, Always Verify"

  • La sécurité s'articule désormais autour du contrôle d'accès granulaire via le couple PDP (moteur de décision) et PEP (application des décisions), limitant ainsi les mouvements latéraux.

Maintenant que vous comprenez l'obsolescence du modèle périmétrique classique et êtes capable de justifier l'approche Zero Trust, votre prochaine étape consistera à bâtir une nouvelle ligne de défense. C’est ce que nous allons voir dans le chapitre suivant !

Any feedback to share with us?
Ever considered an OpenClassrooms diploma?
  • Up to 100% of your training program funded
  • Flexible start date
  • Career-focused projects
  • Individual mentoring
Find the training program and funding option that suits you best
Guide meCompare training types