En 2010, John Kindervag a introduit le concept de “confiance zéro”, qui est devenu une référence en matière de cyber-résilience et de sécurité persistante. La confiance zéro n’est pas un produit, une architecture ou une technologie de sécurité. Il s’agit d’une stratégie ou d’un ensemble de principes définissant la manière d’aborder la sécurité ; elle définit les hypothèses qui sous-tendent nos actions. Le principe fondamental de la confiance zéro est le suivant : “Ne jamais faire confiance, toujours vérifier !” Quel que soit l’appareil, l’utilisateur, le système ou le lieu, qu’il soit interne ou externe, il ne faut pas faire confiance au périmètre de sécurité de l’organisation.
Une stratégie de confiance zéro implique trois choses :
- Toujours authentifier et autoriser.
- Appliquer le principe du moindre privilège.
- Surveiller et adapter en permanence.
Comme son nom l’indique, il ne faut faire confiance à rien et tout doit être vérifié. Des principes tels que l’accès au dernier privilège, la micro-segmentation des réseaux avec des informations d’identification différentes, le contrôle de l’utilisation des données et la validation continue en temps réel peuvent aider les organisations à limiter les intrusions inévitables dans les réseaux.
COVID-19 a favorisé une culture du travail à distance qui a, à son tour, conduit à l’adoption rapide d’un environnement de travail hybride. Les employés ne sont plus liés aux périmètres traditionnels. L’utilisation du cloud et l’adoption accélérée de scénarios de travail à distance ont élargi le paysage des menaces et ouvert la voie à davantage de vulnérabilités et de complexités dans l’infrastructure. Avec cette évolution, le modèle de sécurité de chaque organisation doit changer. Lorsque quelqu’un demande l’accès à des données, l’entreprise doit décider d’accorder ou de restreindre l’accès en déterminant qui, quand, où, pourquoi et comment. La confiance zéro permet aux entreprises de fonctionner plus efficacement en offrant une meilleure visibilité, un accès granulaire aux utilisateurs, et permet également de révoquer l’accès à toute ressource à tout moment.
Voici cinq lectures intéressantes sur l’architecture de la confiance zéro et pourquoi toutes les organisations devraient envisager de la mettre en œuvre.
La confiance zéro n’est pas un produit ou une plateforme, c’est un cadre de sécurité. Zero Trust eXtended (ZTX) est un écosystème composé d’éléments technologiques et non technologiques qui prend en compte d’autres domaines, tels que la gestion des identités et des accès (IAM) et la gestion des accès privilégiés (PAM), entre autres. La mise en œuvre de la stratégie de sécurité de confiance zéro devrait être un outil pour permettre la transformation numérique et toujours équilibrer la sécurité de l’organisation et l’expérience des employés.
ZTNA est un modèle de sécurité basé sur l’identité qui crée un périmètre d’identité, basé sur le contexte et l’accès logique, éliminant la distinction entre être sur et hors du périmètre de l’entreprise. L’architecture ZTNA part du principe que tous les réseaux intérieurs et extérieurs ne sont pas fiables et que l’accès n’est accordé qu’après vérification de l’intention et de l’identité. Il permet également d’identifier les comportements inhabituels et malveillants en signalant les tentatives d’accès à des ressources restreintes et les tentatives de téléchargement massif de données. Cette étude indique que d’ici 2022, 80% des nouvelles applications professionnelles numériques seront accessibles via le modèle ZTNA et que, d’ici 2023, 60% des entreprises élimineront progressivement la plupart de leurs VPN d’accès à distance, en privilégiant le modèle de confiance zéro.
Cette culture du travail à distance, alimentée par une pandémie, a entraîné une augmentation du nombre de terminaux, y compris les appareils personnels des employés, qui accèdent aux données de l’organisation. Ainsi, la sécurisation des changements dans les opérations pour le maintien de l’activité est devenue plus cruciale que jamais. Une stratégie de sécurité ” confiance zéro ” repose sur la gestion des identités et des accès, la gestion du contrôle des terminaux et une capacité de surveillance efficace de la sécurité. Les organisations se tournent désormais vers l’automatisation de l’orchestration de la sécurité et de la réponse, qui peut réduire efficacement le temps de réponse et alléger la charge des tâches répétitives en automatisant les vulnérabilités identifiées et en mettant en œuvre des flux de travail prédéfinis.
Une organisation qui met en œuvre un modèle de confiance zéro doit d’abord identifier ses utilisateurs et les dispositifs qui se connectent ou tentent de se connecter à votre réseau avec une solution IAM. Toutes les données doivent être classées et par micro-segmentation, les organisations peuvent définir des contrôles d’accès pour les données, les applications et les services. Les réseaux doivent être surveillés en permanence et les organisations doivent évaluer la confiance chaque fois qu’un nouveau dispositif demande l’accès à ses terminaux.
L’essor de la culture du travail à distance s’accompagne de nouveaux défis en matière de cybersécurité, qui se traduisent par un moindre contrôle des ressources de l’entreprise et un risque accru de violation des données. Il est donc plus important que jamais d’aborder la cybersécurité sous l’angle du risque. Le modèle de confiance zéro applique le principe du moindre privilège, qui garantit que personne ne dispose d’un accès aux données et aux ressources supérieur à celui dont il a réellement besoin. Ce modèle ne vérifie pas seulement le dispositif mais aussi l’identité ; l’authentification est adaptative, contextuelle et basée sur le risque.
L’être humain n’est pas le maillon faible ; il est le principal vecteur d’attaque, ce qui est une raison impérieuse pour laquelle l’accès aux données doit être limité autant que possible. La mise en œuvre d’une stratégie de sécurité de type “confiance zéro” demande des mois de travail acharné, avec des heures de surveillance et de gestion, mais elle en vaut la peine car elle sert de modèle pour l’avenir de la cybersécurité.