Comment atteindre la sécurité Zero trust

La notion de sécurité Zero trust a été introduite par Forrester en 2010. Mais elle n'est pas aussi largement adoptée que l'auraient espéré les acteurs du secteur de la sécurité. Ceci dit, cela pourrait changer. La menace des cyber-escrocs augmentant chaque année parallèlement aux coûts des violations pour les entreprises, de plus en plus d'organisations cherchent à implémenter un modèle Zero trust. Voici les informations de base que vous devez mettre en œuvre dans votre entreprise.

Les quatre principes

L'adoption de Zero trust implique un changement de mentalité, plus que pour n'importe quelle technologie. Une fois que vous avez intégré ce changement, vous pouvez évaluer des solutions techniques pour implémenter Zero trust. Voici quatre principes que votre entreprise, notamment votre organisation informatique, doit adopter:

Les menaces viennent de l'intérieur comme de l'extérieur

C'est probablement le premier point à changer dans la façon de penser. L'informatique s'est toujours concentrée sur le périmètre de l'organisation en vue d'empêcher toute intrusion. On considère que les personnes au sein de l'organisation sont sûres, en règle générale. Donc on consacre moins d'efforts à la vérification et à la détection de problèmes à l'intérieur du pare-feu. La sécurité est souvent comparée aux douves d'un château.

Il est temps de changer les mentalités. Dans un environnement Zero trust, vous estimez que les menaces viennent autant de l'intérieur que de l'extérieur. Soit parce que des escrocs ont déjà infiltré votre organisation, soit parce qu'un mauvais élément figure parmi les employés. Quoi qu'il en soit, il est aussi important de se concentrer sur ce qu'il se passe à l'intérieur de l'organisation et de se protéger des attaques venant de l'intérieur comme de l'extérieur.

Recours à la micro-segmentation

Cela nous amène au principe numéro deux : utiliser la micro-segmentation. Cette approche permet de séparer ou de segmenter des zones même à l'intérieur du pare-feu de l'organisation. Par exemple, les employés du service marketing ont accès aux outils et données qu'ils utilisent : informations client, applications telles que Salesforce, etc. Mais ils n'ont pas accès aux données ou outils financiers du service de comptabilité, ni à la propriété intellectuelle des produits et aux logiciels avec lesquels travaille le service de développement.

Privilège d'accès minimal

L'idée de privilège d'accès minimal est liée à la notion de micro-segmentation. Il s'agit de limiter les utilisateurs, même au sein d'un service, au minimum d'informations et d'accès dont ils ont besoin. Si une personne travaille dans le service financier, cela ne signifie pas qu'elle doit avoir accès à toutes les données financières des clients et de l'entreprise. En fonction du rôle de l'utilisateur, celui-ci peut avoir besoin d'accéder à un ensemble de données client spécifique uniquement, ou ne pas avoir besoin du tout d'accéder aux données financières des clients.

En restreignant l'accès uniquement à ce qui est nécessaire, vous garantissez que même si un pirate parvient à usurper l'identité d'un utilisateur, l'étendue du dommage reste limitée.

Ne jamais faire confiance, toujours vérifier

Pour appliquer tous ces principes, une organisation doit renverser le modèle et adopter une approche Zero trust. Ne faites jamais confiance à un utilisateur quand il décline son identité. Vous devez toujours vérifier son identité et son niveau d'accès. Ne jamais faire confiance, toujours vérifier, cela augmente les chances d'arrêter un escroc ou programme qui a infiltré votre organisation avant qu'il parvienne à accéder aux informations sensibles ou à faire des dégâts.

Outils de sécurité Zero trust

Si vous portez un regard critique sur les quatre principes de Zero trust, vous constaterez que l'implémentation réelle n'est pas si simple. Par exemple, même si la sécurité requiert une approche consistant à ne jamais faire confiance et toujours vérifier, ce processus doit garder un impact relativement léger pour les utilisateurs. Pour en revenir à notre image du château, la présence de portes qui exigent une clé pour être ouvertes peut vraiment avoir un impact sur la productivité des individus au quotidien.

De même, nous savons que les rôles ne sont pas complètement définis, certains utilisateurs auront besoin d'avoir accès à des applications ou données qui ne sont pas affectées à leur rôle par défaut. Vous devez donc avoir un moyen rapide de créer et de supprimer les comptes des utilisateurs pour les applications en fonction des besoins.

Nous vous proposons quatre outils essentiels à la sécurité Zero trust:

• L'authentification unique (SSO, Single Sign-On) permet aux utilisateurs de s'authentifier une seule fois avec leurs identifiants, dont un seul mot de passe, et d'avoir accès à toutes leurs applications Web. Associée aux bons outils, la solution SSO peut également fournir un accès par authentification unique à des applications sur site existantes. L'authentification unique augmente la sécurité en éliminant les mots de passe tout en améliorant également la convivialité et la satisfaction de l'employé.
• L'authentification à plusieurs facteurs (MFA, Multi-factor Authentication) est un outil essentiel que toutes les organisations devraient utiliser. Elle requiert des facteurs supplémentaires lorsque les utilisateurs essayent de se connecter. Par exemple, il peut s'agir de saisir un code PIN ou de s'authentifier à l'aide d'une application mobile en plus de saisir leur nom d'utilisateur et mot de passe.
  Les mots de passe à eux seuls ne suffisent pas à garantir la sécurité. Vous avez besoin d'une authentification à plusieurs facteurs. Mais celle-ci doit être combinée à l'authentification unique, car sinon, cela rajoute des étapes pour la connexion des utilisateurs mais exige également qu'ils s'authentifient plusieurs fois par jour.
• Systèmes à activation rapide : pour passer à l'approche Zero trust, vous avez besoin d'un système qui vous permette de créer et de supprimer rapidement les comptes des utilisateurs pour les applications. Comme vous devrez définir des privilèges d'accès minimaux, attendez-vous à devoir faire des exceptions régulièrement. Si votre système actuel de création de comptes est chronophage, l'adoption de Zero trust ne fera qu'empirer les choses.
• Protection de l'appareil : l'appareil avec lequel l'utilisateur s'authentifie est la première ligne de défense et le point d'attaque principal : le point de terminaison. Procurez-vous des outils qui protègent et surveillent les appareils afin d'éloigner le danger à la source.

Voilà. C'étaient les quatre principes et quatre outils qu'il convient d'envisager pour passer à l'approche Zero trust.