Wallix Live 2020 : Zero Trust, la liberté n’exclut pas le contrôle
L’événement virtuel organisé par Wallix fut l’occasion de faire le point sur la diffusion du modèle Zero Trust dans les entreprises, et sur les différents moyens de faire évoluer la sécurité en place pour aller vers ce nouveau modèle.
À l’occasion du Webinar Wallix Live 2020, Jean-Noël de Galzain, PDG de Wallix, a réuni autour de lui le philosophe Raphaël Enthoven, Zeina Zakhour, Global CTO Cybersécurité d’Atos et, à distance, Cédric Cantillon, DPO et conseiller en sécurisation et gestion des risques à la RTBF.
Le thème de cet événement virtuel était d’évoquer les enjeux du modèle de sécurité Zero Trust, un thème très en vogue dans le milieu cyber alors que 37 % des spectateurs du Webinar considèrent encore le Zero Trust (« sans confiance ») comme un simple concept marketing.
Pourtant, la généralisation du télétravail apparaît comme un sérieux aiguillon pour les entreprises de revoir leurs moyens d’accès aux données, par des collaborateurs de moins en moins présents dans les murs de l’entreprise. « Notre mission est de redonner aux utilisateurs le pouvoir sur leurs accès, quel que soit l’endroit où ils veulent accéder à leur informatique, que ce soit dans une usine, sur le réseau de l’entreprise, à la maison lorsque tout le monde est en télétravail ou dans les transports », a rappelé Jean-Noël de Galzain.
« Cette liberté n’exclut pas le contrôle, elle s’appuie sur des outils, des plateformes, des bases de données, toute une pile de technologies avec lesquelles on va faire en sorte que cette liberté soit maîtrisée, et de savoir qui accède à quoi en permanence ».
L’aspect humain, indissociable d’une approche Zero Trust
Pour le fondateur de Wallix, le concept de Zero Trust est devenu le nouveau standard d’architecture de sécurité. L’éditeur veut s’inscrire dans la mouvance Zero Trust, avec son offre de bastion et un PAM qui peut jouer le rôle de pivot du Zero Trust – un modèle de sécurité où aucune confiance n’est accordée par défaut à un utilisateur, mais dans lequel celui-ci se voit accorder des droits de manière dynamique, suivant divers critères définis au préalable.
Cédric CantillonDPO et conseiller en sécurisation et gestion des risques, RTBF
Cédric Cantillon, DPO et conseiller en sécurisation et gestion des risques à la RTBF a déployé le PAM Wallix, depuis 7 ans maintenant, afin de sécuriser les accès de nombreux utilisateurs externes, parfois étrangers, qui interviennent sur le système d’information de la Radio-Télévision belge en dehors des heures d’antenne, bien souvent la nuit.
« Notre système d’information se compose d’énormément de boîtes noires dont le fonctionnement est géré par des experts qui sont en dehors de l’entreprise. Nous devions au moins comprendre ce que faisaient nos prestataires, non pas ne pas leur faire confiance puisqu’on leur donne les clés de notre système d’information, mais savoir ce qui s’est passé en cas d’incident constaté le matin, quand nos équipes arrivent ».
Avec le bastion de Wallix, Cédric Cantillon disposait d’une solution pouvant enregistrer tout ce que faisaient ses prestataires, mais celui-ci n’avait pas le pouvoir d’imposer une telle solution à tous les administrateurs. Ce sont donc les nouveaux arrivants qui voient leurs accès gérés par l’outil de PAM (Privileged Access Management, ou gestion des accès à privilèges). « La diffusion du PAM ne fait que progresser et son acceptation est de plus en plus facile. On ne se pose plus la question pour les nouveaux prestataires, c’est automatique alors que c’était auparavant un combat. C’est maintenant naturel ».
Une nécessaire transparence vis-à-vis des collaborateurs
Lors du Webinar, Jean-Noël de Galzain a pointé les différences culturelles sur la diffusion de tels outils dans différentes régions du globe, avec des systèmes de sécurité qui sont acceptés sans que cela pose de problèmes aux collaborateurs aux États-Unis ou plus encore dans les pays asiatiques – par opposition aux Européens, beaucoup plus sensibles à la protection des libertés individuelles dans les entreprises.
« En Allemagne, à chaque projet de mise en place d’un bastion, les syndicats réclament leur propre accès au système avant que celui-ci soit déployé dans toute l’organisation. Ils veulent être certains que le système ne sera pas intrusif dans la vie privée des collaborateurs et se limitera à ce qui est prévu dans le cadre de la loi ».
Cédric CantillonRTBF
Le PDG de Wallix évoque l’exemple estonien, l’État sans doute le plus numérisé au monde qui a pu déployer son modèle 100 % connecté auprès de sa population, grâce d’une part aux bénéfices pour chaque citoyen d’une administration ultra-connectée, mais grâce aussi à une transparence totale de l’État sur l’utilisation de ces données. Une double priorité, bénéfice utilisateur/transparence, qui, selon Jean-Noël de Galzain, doit être reprise par les entreprises dans leurs démarches Zero Trust.
Cédric Cantillon a lui aussi souligné la nécessité de transparence vis-à-vis des collaborateurs sur la mise en place de tels systèmes : « le collaborateur doit être dans un environnement où il sait sur quoi il est contrôlé, c’est important. La transparence, la confiance et la loyauté sont très importantes pour amener les utilisateurs qui ont des accès à privilèges à accepter ce changement ».
La gestion des identités au cœur de la stratégie Zero Trust
Si, pour Jean-Noël de Galzain comme pour Zeina Zakhour, la simplicité de l’expérience utilisateur, mais aussi le bénéfice que va en tirer ce dernier dans son quotidien sont des conditions clés de la réussite d’un projet Zero Trust, la CTO Cybersécurité d’Atos souligne l’importance de la gestion d’identité dans de tels projets : « la gestion des identités doit être aujourd’hui une priorité. Il faut une bonne gestion des identités des utilisateurs à privilège, des utilisateurs humains, mais aussi des objets ».
La migration des infrastructures IT des entreprises vers le cloud ou plutôt le multicloud est clairement, pour l’experte en cybersécurité, un déclencheur afin de se diriger vers le sans-confiance : « avec le cloud public et l’externalisation, les infrastructures n’appartiennent plus à 100 % à l’entreprise. Celles-ci doivent donc s’assurer de sécuriser ces infrastructures au moyen d’une microsegmentation des services, de SASE (Secure Access Service Edge), etc. »
Outre ces deux leviers, l’experte souligne l’importance de travailler sur le chiffrement des données : « on a l’habitude de dire que le chiffrement, c’est le dernier bastion quand toutes les mesures de sécurité ont été tenues en échec. Si on a bien sécurisé la donnée, les attaquants ne pourront rien en faire. Les entreprises doivent maintenant s’intéresser à des innovations telles que le chiffrement homomorphe, sur le Privacy Preserving Encryption : la donnée est chiffrée en permanence, tout au long de son existence même lorsqu’on travaille dessus ».
Marier IA et éthique, un nouveau défi pour le RSSI
Parmi les nouvelles technologies à se mettre au service du RSSI, l’intelligence artificielle est de plus en plus omniprésente dans les outils à sa disposition. Zeina Zakhour évoque le Machine Learning pour la détection de signaux faibles ou encore l’analyse comportementale. Des applications du Machine Learning sont déjà en place sur la solution de Wallix, mais Jean-Noël de Galzain compte désormais aller plus loin : « nous allons initier en début d’année 2021 un partenariat avec un laboratoire du CNRS, afin d’intégrer des algorithmes d’intelligence artificielle. Notre objectif est d’améliorer les capacités d’anticipation de notre bastion. Celui-ci voit passer tous les flux d’identités et les flux d’accès dans l’organisation, et nos clients auront la possibilité d’analyser les données qui viennent de l’intérieur et de l’extérieur du système d’information afin d’améliorer la qualité et l’agilité de l’organisation ».
Zeina ZakhourGlobal CTO Cybersécurité, Atos
L’IA poursuit sa montée en puissance dans les solutions de cybersécurité, y compris sur les solutions de gestion des accès, mais Zeina Zakhour souligne la nécessité d’adopter une démarche éthique qui préserve les données personnelles de chacun : « l’IA est d’une grande aide dans la cybersécurité, notamment avec le comportemental, la détection des signaux faibles et donc l’anticipation de la menace. Il est important d’adopter un framework éthique assorti d'un volet Privacy. Si le grand public partage sans doute trop d’information sur les réseaux sociaux, une entreprise doit garder la maîtrise des données qu’elle partage. Des frameworks liés à la Privacy et à l’éthique vont nous permettre d’adopter ces technologies dans une approche Zero Trust by design ».
Jean-Noël de Galzain, a conclu cette édition 2020 de l’événement Wallix Live, en soulignant qu’au-delà du « concept marketing du Zero Trust, il y a l’évolution naturelle des systèmes d’information à être proprement organisés et gérés ». À l’issue du Webinar, 44 % des répondants au sondage mené lors de l’événement déclaraient être engagés dans une démarche sans-confiance.