La sécurité Zero Trust est devenue un sujet de premier plan dans les discussions liées à la cybersécurité. Le Zero Trust met fin à la compromission des identités et des données. Dans l'environnement actuel de travail hybride, les DSI et les responsables de la sécurité doivent comprendre les stratégies et les architectures Zero Trust pour garantir la sécurité des réseaux, des appareils, des applications et des utilisateurs.
Découvrez comment la sécurité Zero Trust transforme la façon dont les applications et les utilisateurs sont protégés contre les menaces internes et externes.
Dans un grand nombre d’entreprises, quand un collaborateur est au bureau, il peut accéder aux applications en passant simplement au travers d’un firewall tout au plus. Mais quand le collaborateur est à l’extérieur des murs de l’entreprise, il bénéficie d’une authentification forte, il peut passer par un proxy, il peut même traverser un CASB, pour la sécurisation des applications SaaS, voire un firewall hébergé dans le cloud. Le niveau de sécurité est différent selon que le collaborateur est au bureau ou à l’extérieur. C’est ce que l’on appelle la confiance implicite. Partant du fait que le collaborateur a pu entrer dans le bureau avec son badge et accéder au réseau local, une certaine notion de confiance implicite apparaît, lui donnant accès à certaines choses.
Nous prenons l’exemple de l'accès des utilisateurs au réseau, mais cela pourrait aussi être l’accès à une certaine application parce que le collaborateur appartient à un certain groupe. Toute notion de confiance implicite - juste grâce à qui il est, à l'appareil qu’il possède, au groupe auquel il appartient – rend la sécurité faillible.
Dans une approche Zero Trust, quatre principes clés s’appliquent :
Ces quatre principes clés s'appliquent aux utilisateurs et aux applications, car les applications communiquent entre elles. Ces principes s'appliquent aussi aux infrastructures. Si les objets connectés, les routeurs, les commutateurs communiquent avec différentes entités, les 4 principes s’appliquent. C'est ainsi qu’on obtient une véritable entreprise Zero Trust.
Il faut voir le Zero Trust et le Zero Trust Networks Access comme une approche architecturale. Ce n'est pas un produit ou une solution. Cela s’applique à travers tout ce qui est fait pour protéger les utilisateurs, les applications et l'infrastructure. Une approche Zero Trust veut que la notion de confiance implicite pour les utilisateurs, pour les applications et pour l'infrastructure soit supprimée.
Le Zero Trust est une approche architecturale. Dans de nombreux cas, il s’agit d’une véritable transformation.
Il est nécessaire de s’assurer que tous les utilisateurs, toutes les applications et toute l'infrastructure d'une entreprise ont une approche Zero Trust, ce qui signifie :
Tout cela est fait en continu, ce qui signifie que chaque transaction numérique, prise individuellement, est sécurisée. C’est vraiment là qu’il faut arriver pour s’assurer que l’entreprise a une approche Zero Trust de la sécurité, a la bonne posture de sécurité alors que les collaborateurs travaillent depuis n’importe où et que les applications migrent dans le cloud.
Puis la même chose pour les applications car elles communiquent entre elles. De même pour l’infrastructure, les objets connectés, les nœuds du réseau etc…L’objectif est de s’assurer que tout cela est fait selon un processus réfléchi où les 4 principes clés sont appliqués en permanence : qui est l'utilisateur, l'identité de celui-ci, l'accès, l'accès sécurisé, le contenu. L’entreprise couvre alors de façon sécurisée tous les utilisateurs, toutes les applications et toute l'infrastructure dont elle dispose.
L’approche Zero Trust nécessite un changement de culture pour s’assurer de supprimer toute notion de confiance implicite. Historiquement au bureau, un collaborateur bénéficie de privilèges différents qu’à distance. Quand il est à l’extérieur, les exigences sont plus strictes pour accéder aux applications professionnelles, voir l’accès à certaines applications n’est plus autorisé. Or dans le monde actuel, n'importe quel utilisateur, depuis n'importe quel endroit et via n'importe quel appareil (le sien ou celui fournit par l’entreprise) doit pouvoir accéder en toute sécurité à n'importe quelle application et données. Pour cela, il est nécessaire de vérifier chaque interaction numérique que ce soit en tant qu’utilisateur, en tant qu’application ou encore en tant qu’objet connecté.