En Février 2005, le rapport PITAC remis au président des Etats-Unis, Georges W. Bush, expliquait que les concepts de cybersécurité basés sur des stratégies de défense périmétriques étaient voués à l’échec (un peu sur le modèle de la ligne Maginot dont on connait le succès foudroyant au début de la seconde guerre mondiale pour protéger la France). Chez ISLEAN, grâce aux travaux que nous menions avec J.P. Figer, nous avions été très tôt séduits par ce que proposait le rapport PITAC pour renverser les concepts de défense périmétrique. Sans être des praticiens de la cybersécurité, nous nous étonnions cependant de ne rien voir bouger chez nos clients, et d’être confrontés à des DSI, des RSSI ou de la littérature sur le sujet qui ne cessaient d’aborder le sujet sous le seul angle de la défense périmétrique. Ce n’est que cette année que nous avons commencé à voir dans des articles, le concept de « Zéro trust » qui nous semble être exactement ce que recommandait le rapport PITAC en 2005. Pourquoi a t-il fallu attendre 15 ans pour voir enfin émerger une réalité derrière un principe qui semblait évident dès 2005 ?

Ce que dit le rapport PITAC (2005)

La page 12 du rapport PITAC

Page 12 du rapport PITAC, au chapitre « Fundamentally New Security Models, Methods Needed » on trouve la citation « The weakness of the perimeter defense strategy has become painfully clear ». Le rapport explique alors que l’immense majorité des travaux en cybersécurité ont, jusqu’à présent (rappel : nous sommes en 2005), été basés sur le concept de défense périmétrique. Dans ce modèle, on distingue l’intérieur de l’entreprise, de l’extérieur. Tout est fait pour protéger l’intérieur du SI ou du réseau, d’un attaquant qui viendrait de l’extérieur et chercherait à pénétrer ou à contrôler des ressources situées à l’intérieur. Pour ceux ayant travaillé avec des administrateurs réseau, ou des responsables sécurité, vous les avez, par exemple, certainement entendu parler de DMZ. Et bien la DMZ (DeMilitariZed Area en anglais) c’est typiquement un périmètre isolé et protégé du reste du réseau par des éléments censés assurer la sécurité (des firewalls par exemple). Cependant, et quelle que soit la difficulté de la tâche, dès que l’attaquant a réussi à compromettre le moindre système et pénétrer à l’intérieur, il dispose ensuite d’un effet de levier phénoménal et d’une tranquillité à toute épreuve pour faire ce qu’il veut. Bref on est proche de l’effet Ligne Maginot où une fois contournée la ligne, celle ci ne sert plus à rien.
Par ailleurs la distinction entre un « extérieur » et un « intérieur » explose en vol avec la prolifération des équipements et des réseaux interconnectés –> la contremesure de la défense périmétrique consistant alors à définir de multiples sous-ensembles chacun défendu par une ligne de défense, voire à rajouter des lignes de défense sur des union de sous-ensemble eux-mêmes protégés par une ligne de défense, bref on en arrive à mettre des murs partout : ça revient très cher et on rajoute aussi des failles de sécurité à chaque fois. Je ne suis pas loin de penser que les failles de sécurité augmentent exponentiellement, ne serait-ce qu’à cause de la multiplication des matériels réseaux et sécurité qu’il faut patcher incessamment (maintien en conditions de sécurité) et de la complexité qui augmente et qui nécessite des compétences de plus en plus élevées et une supervision elle même de plus en plus complexe.
Le rapport PITAC esquisse un modèle plus réaliste, plus efficace et à mon avis moins couteux à terme : ce qu’il appelle le principe de suspicion mutuelle. Chaque composant d’un système ou d’un réseau est toujours méfiant de tous les autres composants quels qu’ils soient, (qu’ils soient à l' »intérieur » ou à « l’extérieur » n’est plus la question) et l’accès à des ressources doit toujours être réinterrogé et réautorisé.
Ce qui signifie que chaque fois qu’il y a une demande d’accès à une ressource on doit valider au moins 3 éléments clés de la sécurité :
  • l’authentification du demandeur
  • l’intégrité des données transmises par le demandeur ou par la ressource demandée
  • la confidentialité : vérifier si le demandeur est habilité à accéder à cette ressource

2005 – 2020 : Waterloo, morne plaine

Bien que ces principes semblent évidents, je n’en ai quasiment jamais entendu parler pendant les 15 dernières années. Ou pour être plus précis, ils étaient utilisés mais pour traiter de sujets d’habilitation des utilisateurs pour des accès applicatifs ou des sujets de signature électronique. Pendant ce temps les administrateurs réseaux continuaient dans leur coin à cloisonner, filtrer, rajouter des DMZ en veux tu en voilà, et des VPN pour accéder aux ressources du SI de l’extérieur…
J’ai bien tenté d’en parler avec mes clients, quand d’aventure mes missions m’amenaient à flirter avec ces sujets. Mais c’est peu dire que je ne rencontrais pas beaucoup d’écho (ou alors que je ne rencontrais que de l’écho justement).
J’ai essayé de retrouver ces concepts dans la littérature et je considère ne pas avoir trouvé grand chose. Par exemple sur le site de l’ANSSI j’ai trouvé les documents de Cyberedu qui est une association visant à « introduire les notions de cybersécurité dans l’ensemble des formations en informatique de France » (source : Wikipedia). Le module 3 « Réseau et applicatifs », par exemple, parle de sécurité périmétrique des réseaux, et aborde les notions d’authentification, intégrité et confidentialité avec des exemples de techniques d’usurpation d’identité pour des applications web, mais nulle part ne sont abordés ces principes généraux de suspicion mutuelle.

2020 : La lumière au bout du tunnel ?

C’est seulement cette année grâce à un article de synthèse de Microsoft « sur les assises de la sécurité 2020, et par un bel article de Louis Naugès que je m’aperçois que ce principe me semble couvert par ce qu’on appelle désormais le « Zéro Trust ».
La question que je me pose est pourquoi a t-il fallu 15 ans pour passer du rapport PITAC et son principe de suspicion mutuelle au « Zero Trust » dont j’entends parler en 2021 ? Je compte bien sur vos commentaires en réaction à cet article pour comprendre. Je ne voudrais pas avoir la faiblesse de penser que ce n’est qu’une question de marketing ; c’est vrai que « Zero Trust » ça claque !