Le Zero Trust, modèle de sécurité qui consiste à réduire la confiance placée dans les utilisateurs, est le sujet de prédilection du moment. Selon Gartner, d’ici 2023, 60 % des entreprises mettront en place une stratégie Zero Trust réseaux privés virtuels (VPN).
Toutefois, ce modèle de cybersécurité cache une grande confusion sur le marché quant à sa nature exacte. Il est en effet important de le comprendre parfaitement afin de pouvoir l’appliquer dans les entreprises et d’en tirer les bénéfices.
Le Zero Trust, une stratégie de protection
Les fournisseurs de solutions de sécurité ne peuvent pas vendre un outil ou un service Zero Trust. Il s’agit en effet d’un principe qui guide les politiques et les architectures de sécurité. Lorsque ce concept de cybersécurité est mis en place dans une entreprise, le Secure Access Service Edge (SASE) est l’architecture idéale à intégrer, et le Security Service Edge (SSE), un ensemble de solutions de sécurité qui fournit les capacités nécessaires au SASE.
Afin de mettre en place ce modèle Zero Trust, la prise de décisions en matière d’accès aux données doit être menée avec l’hypothèse d’une confiance nulle. Ainsi, l’accès est accordé sur la base de décisions continues, adaptatives et tenant compte du contexte.
Cette approche était au départ fondée sur des champs d’application très simples, à savoir identité/appareil et identifiants d’une application privée, ainsi que sur des options de politique binaires « autoriser/refuser ». Cependant, au fur et à mesure, elle s’est développée grâce à l’amélioration des informations granulaires qu’il est possible de tirer des systèmes de sécurité. Par défaut, elle doit désormais utiliser des informations sur plus de domaines, tels que le comportement des utilisateurs, l’identité, le risque lié aux applications, les données, les dispositifs et les menaces.
L’accès au réseau Zero Trust (ZTNA) n’est qu’un point de départ
Si le ZTNA est un excellent début, et un élément important sur la voie d’une architecture sécurisée de type Zero Trust, il ne doit pas devenir une finalité. Il n’est en effet que la première phase d’une stratégie de cybersécurité pour l’organisation, qui nécessite encore plusieurs étapes pour être fonctionnelle, efficace et avantageuse.
Dans un deuxième temps, les équipes en charge de la sécurité doivent adapter l’accès à chaque application, et à chaque utilisateur. Cette phase signifie de passer à un accès adaptatif qui permet aux employés d’accéder à des applications spécifiques et nécessaires pour mener à bien leurs missions. En outre, il convient de mettre en place des contrôles de confiance explicites aux destinations à risque, en utilisant, par exemple, des technologies d’isolement à la demande. Ces vérifications ont pour but d’instaurer le principe du moindre privilège sur l’ensemble du réseau. Alors, chaque identité accédera, au moyen d’autorisations, aux applications et services requis pour accomplir leurs activités, et uniquement à celles-ci. Enfin, l’organisation renforce sa sécurité et sa confiance en affinant les politiques en circuit fermé. Pour ce faire, les analyses en temps réel sont ici indispensables.
In fine, l’accès au réseau n’est que le point de départ de l’approche, mais les avantages sont bien plus nombreux lorsque le principe est étendu et axé sur les données, plutôt que sur les modèles de sécurité périmétrique traditionnels. Avec ces différentes étapes, si un cybercriminel accède à l’identité d’un utilisateur, il pourra être reconnu grâce aux contrôles avant même de commettre ses méfaits. De surcroît, avec le moindre privilège, les mouvements latéraux seront limités et l’ensemble de l’infrastructure pourra être protégée.
Une question de sécurité ?
Bien que son principal objectif soit l’amélioration de la posture de sécurité d’une organisation, le Zero Trust ne se limite pas à l’équipe de sécurité. S’il est désormais connu que la sécurité est un facteur qui favorise l’agilité et les objectifs de l’entreprise, l’ensemble des effectifs d’une organisation est concerné. Concrètement, si ces initiatives sont conçues et mises en œuvre correctement, elles aident les DSI à consolider les fournisseurs, à améliorer la transparence en matière d’intégration des services et à réaliser des gains d’efficacité opérationnelle. Alors, comme ces initiatives englobent les équipes chargées de la sécurité, du cloud et des réseaux, elles peuvent servir de catalyseurs pour stimuler la collaboration interdisciplinaire.
Une posture de sécurité solide, fondée sur les principes du Zero Trust, conduit à des possibilités essentielles aux organisations modernes. En premier lieu, comme l’emplacement de l’utilisateur et des données n’est plus un facteur limitatif, les entreprises peuvent procéder à des ajustements géographiques en toute souplesse. Aussi, les équipes commerciales ont la possibilité de recruter de nouveaux partenaires, de changer de site et d’explorer de nouveaux modèles commerciaux sans que leurs actions n’exposent l’organisation à un risque accru. Enfin, les entreprises peuvent mettre à l’essai de nouvelles solutions numériques et réaliser des gains de productivité sans avoir à passer par des autorisations de sécurité fastidieuses, lesquelles prennent parfois des mois avant de permettre l’utilisation d’une application.
Ainsi, bien que le concept de Zero Trust soit au centre des discussions, il ne s’agit pas simplement d’un phénomène de mode. En effet, cette stratégie est bénéfique à l’entreprise dans son ensemble et non pas uniquement en matière de cybersécurité. Dès lors que la posture de sécurité est améliorée, l’organisation gagne en flexibilité. Avec un paysage de la menace en constante mutation, cet avantage n’est pas négligeable.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));