Sécurité Zero Trust
14 janvier 2022
5 minutes
La sécurité Zero Trust est devenue un sujet de premier plan dans les discussions liées à la cybersécurité. Le Zero Trust met fin à la compromission des identités et des données. Dans l'environnement actuel de travail hybride, les DSI et les responsables de la sécurité doivent comprendre les stratégies et les architectures Zero Trust pour garantir la sécurité des réseaux, des appareils, des applications et des utilisateurs.
Découvrez comment la sécurité Zero Trust transforme la façon dont les applications et les utilisateurs sont protégés contre les menaces internes et externes.
Comment définir la sécurité Zero Trust ?
Dans un grand nombre d’entreprises, quand un collaborateur est au bureau, il peut accéder aux applications en passant simplement au travers d’un firewall tout au plus. Mais quand le collaborateur est à l’extérieur des murs de l’entreprise, il bénéficie d’une authentification forte, il peut passer par un proxy, il peut même traverser un CASB, pour la sécurisation des applications SaaS, voire un firewall hébergé dans le cloud. Le niveau de sécurité est différent selon que le collaborateur est au bureau ou à l’extérieur. C’est ce que l’on appelle la confiance implicite. Partant du fait que le collaborateur a pu entrer dans le bureau avec son badge et accéder au réseau local, une certaine notion de confiance implicite apparaît, lui donnant accès à certaines choses.
Nous prenons l’exemple de l'accès des utilisateurs au réseau, mais cela pourrait aussi être l’accès à une certaine application parce que le collaborateur appartient à un certain groupe. Toute notion de confiance implicite - juste grâce à qui il est, à l'appareil qu’il possède, au groupe auquel il appartient – rend la sécurité faillible.
La sécurité Zero Trust abolit cette notion de confiance implicite. La confiance implicite avait un sens tant que tout le monde travaillait depuis un bureau et accédait à des applications hébergées dans des datacenters privés. Maintenant, les applications sont partout (en datacenter, dans le cloud public en SaaS ...) et les collaborateurs sont partout. Comment s’assurer que les communications sont faites en toute sécurité, pas seulement pour l'utilisateur accédant à une application cloud ou pour l’objet connecté accédant à des données dans un DC privé, mais chaque combinaison de cela ?
Les défis de la sécurité en entreprise et le Zero Trust
Dans une approche Zero Trust, quatre principes clés s’appliquent :
- 1. Qui est l’utilisateur et est-ce vraiment lui ?
2. L’appareil utilisé est-il le bon appareil ?
3. L’accès à l’application (en datacenter ou dans le cloud) est-il sécurisé ?
4. Le contenu et la transaction sont-ils sécurisés ?
Ces quatre principes clés s'appliquent aux utilisateurs et aux applications, car les applications communiquent entre elles. Ces principes s'appliquent aussi aux infrastructures. Si les objets connectés, les routeurs, les commutateurs communiquent avec différentes entités, les 4 principes s’appliquent. C'est ainsi qu’on obtient une véritable entreprise Zero Trust.
Il faut voir le Zero Trust et le Zero Trust Networks Access comme une approche architecturale. Ce n'est pas un produit ou une solution. Cela s’applique à travers tout ce qui est fait pour protéger les utilisateurs, les applications et l'infrastructure. Une approche Zero Trust veut que la notion de confiance implicite pour les utilisateurs, pour les applications et pour l'infrastructure soit supprimée.
Comment une DSI peut créer un environnement Zero Trust ?
Le Zero Trust est une approche architecturale. Dans de nombreux cas, il s’agit d’une véritable transformation.
Il est nécessaire de s’assurer que tous les utilisateurs, toutes les applications et toute l'infrastructure d'une entreprise ont une approche Zero Trust, ce qui signifie :
- savoir qui est l'utilisateur et l'authentifier par n'importe quel mécanisme : mot de passe, authentification à 2 facteurs, etc…
- identifier l’appareil (ou application en cas de communications MtoM) : est-ce bien celui qu’il prétend être ?
- contrôler que l’appareil est sécurisé : un malware est-il installé dessus ?
- vérifier la sécurité du canal de communication
- valider la transaction et inspecter le contenu : l’utilisateur a-t-il le droit d’accéder à ces données ? Les données sont-elles intègres, sont-elles compromises par un malware ?
- …
Tout cela est fait en continu, ce qui signifie que chaque transaction numérique, prise individuellement, est sécurisée. C’est vraiment là qu’il faut arriver pour s’assurer que l’entreprise a une approche Zero Trust de la sécurité, a la bonne posture de sécurité alors que les collaborateurs travaillent depuis n’importe où et que les applications migrent dans le cloud.
Quelques conseils pour une stratégie Zero Trust
Les entreprises qui souhaitent se tourner vers une approche de la sécurité Zero Trust peuvent se poser les questions suivantes : est-ce qu’il a des notions de confiance implicite au sein de l’architecture de sécurité de l’entreprise pour les utilisateurs, les applications et l'ensemble de l'infrastructure ? Les utilisateurs (peu importe où ils se trouvent) sont-ils tous bien identifiés ? Une fois l’utilisateur authentifié, l’accès aux applications (en datacenter privé ou dans le cloud) est ‘il sécurisé ? L’appareil est-il sécurisé ? Le contenu auquel l’utilisateur accède est-il contrôlé ? Ces données contiennent-elles des malwares ? Est-ce le bon URL ? Est-ce la bonne application ? Comme faire la vérification en continu ?
Puis la même chose pour les applications car elles communiquent entre elles. De même pour l’infrastructure, les objets connectés, les nœuds du réseau etc…L’objectif est de s’assurer que tout cela est fait selon un processus réfléchi où les 4 principes clés sont appliqués en permanence : qui est l'utilisateur, l'identité de celui-ci, l'accès, l'accès sécurisé, le contenu. L’entreprise couvre alors de façon sécurisée tous les utilisateurs, toutes les applications et toute l'infrastructure dont elle dispose.
Ce qu'il faut retenir :
L’approche Zero Trust nécessite un changement de culture pour s’assurer de supprimer toute notion de confiance implicite. Historiquement au bureau, un collaborateur bénéficie de privilèges différents qu’à distance. Quand il est à l’extérieur, les exigences sont plus strictes pour accéder aux applications professionnelles, voir l’accès à certaines applications n’est plus autorisé. Or dans le monde actuel, n'importe quel utilisateur, depuis n'importe quel endroit et via n'importe quel appareil (le sien ou celui fournit par l’entreprise) doit pouvoir accéder en toute sécurité à n'importe quelle application et données. Pour cela, il est nécessaire de vérifier chaque interaction numérique que ce soit en tant qu’utilisateur, en tant qu’application ou encore en tant qu’objet connecté.
Cet article fait partie des catégories
Cybersécurité