Achetez mon Zero Trust, il est beau mon Zero Trust !

Inondant les plaquettes publicitaires et faisant le buzz sur les salons ces dernières années, le Zero Trust est-il encore une mode farfelue ou apporte-t-il vraiment quelque chose ?

L’approche Zero Trust, imaginée par John Kindervag [1] il y a plus de dix ans déjà ! Peut-être que sans le savoir, vous faites déjà du Zero Trust depuis plusieurs années. Bon, si votre SIH se « limite » à un réseau interne avec vos serveurs, postes clients, dispositifs médicaux et GTC, une DMZ pour vos machines exposées sur Internet et un pare-feu entre les deux, on peut dire que votre approche a une bonne trentaine d’années de retard ! Vous avez mis en place des VLANs routés par vos cœurs de réseau ? Vous ne savez pas ce que sont des ACL ? Vous avez toujours vos trente ans de retard… Rien d’incurable, mais votre SI de santé risque d’être très malade si un attaquant déboule sur le réseau.

Zero Trust est le digne héritier du principe de « Dé-périmétrisation » [2] initié par Jon Measham et le Jericho Forum [3]. Il se résume assez simplement :

- je ne fais pas confiance à mes réseaux internes

- je ne fais pas confiance à mes terminaux

- je ne fais pas confiance à mes utilisateurs

Par conséquent, je dois appliquer les mêmes règles de sécurité à mes réseaux internes, que j’applique à mes machines exposées sur Internet.

Autant dire que quand un éditeur bien connu arrive avec sa procédure d’installation pour une application médicale vendue en 2021 en vous disant, pour une connexion sur un réseau interne, pas besoin de chiffrer les flux : connexion HTTP à l’application, interconnexion LDAP avec votre annuaire, échange de fichiers via FTP et envoi de messages via SMTP, il est à l’opposé du Zero Trust… du coup, adoptez la démarche Zero Trust et adaptez-là à la vraie vie ! Ne lui faites pas confiance !

Quand on pense qu’on impose des certifications HAS à nos établissements de santé et qu’on laisse des éditeurs leur vendre à prix d’or de telles cochonneries… Comment avoir confiance dans ce « Kaa » ? Voilà pourquoi nous sommes, allons ou devons tous devenir, des aficionados du Zero Trust.

Micro-segmentation, filtrage, chiffrement et supervision des flux, limitation au strict nécessaire des droits et accès, bastions d’administration, authentification multi facteurs, sandboxing, sont des exemples d’actions qui pourront grandement nous aider dans cette démarche. Bien sûr, l’achat de solutions matérielles et logicielles seront nécessaires dans certains cas, mais sortir le carnet de chèques ne vous permettra pas forcément de sécuriser votre SI. Si vous n’avez jamais appris à conduire, même en achetant une formule 1, vous ne deviendrez pas pilote de course...

[1] 

[2] 

[3]