La notion de sécurité Zero trust a été introduite par Forrester en 2010. Mais elle n'est pas aussi largement adoptée que l'auraient espéré les acteurs du secteur de la sécurité. Ceci dit, cela pourrait changer. La menace des cyber-escrocs augmentant chaque année parallèlement aux coûts des violations pour les entreprises, de plus en plus d'organisations cherchent à implémenter un modèle Zero trust. Voici les informations de base que vous devez mettre en œuvre dans votre entreprise.
L'adoption de Zero trust implique un changement de mentalité, plus que pour n'importe quelle technologie. Une fois que vous avez intégré ce changement, vous pouvez évaluer des solutions techniques pour implémenter Zero trust. Voici quatre principes que votre entreprise, notamment votre organisation informatique, doit adopter:
C'est probablement le premier point à changer dans la façon de penser. L'informatique s'est toujours concentrée sur le périmètre de l'organisation en vue d'empêcher toute intrusion. On considère que les personnes au sein de l'organisation sont sûres, en règle générale. Donc on consacre moins d'efforts à la vérification et à la détection de problèmes à l'intérieur du pare-feu. La sécurité est souvent comparée aux douves d'un château.
Il est temps de changer les mentalités. Dans un environnement Zero trust, vous estimez que les menaces viennent autant de l'intérieur que de l'extérieur. Soit parce que des escrocs ont déjà infiltré votre organisation, soit parce qu'un mauvais élément figure parmi les employés. Quoi qu'il en soit, il est aussi important de se concentrer sur ce qu'il se passe à l'intérieur de l'organisation et de se protéger des attaques venant de l'intérieur comme de l'extérieur.
Cela nous amène au principe numéro deux : utiliser la micro-segmentation. Cette approche permet de séparer ou de segmenter des zones même à l'intérieur du pare-feu de l'organisation. Par exemple, les employés du service marketing ont accès aux outils et données qu'ils utilisent : informations client, applications telles que Salesforce, etc. Mais ils n'ont pas accès aux données ou outils financiers du service de comptabilité, ni à la propriété intellectuelle des produits et aux logiciels avec lesquels travaille le service de développement.
L'idée de privilège d'accès minimal est liée à la notion de micro-segmentation. Il s'agit de limiter les utilisateurs, même au sein d'un service, au minimum d'informations et d'accès dont ils ont besoin. Si une personne travaille dans le service financier, cela ne signifie pas qu'elle doit avoir accès à toutes les données financières des clients et de l'entreprise. En fonction du rôle de l'utilisateur, celui-ci peut avoir besoin d'accéder à un ensemble de données client spécifique uniquement, ou ne pas avoir besoin du tout d'accéder aux données financières des clients.
En restreignant l'accès uniquement à ce qui est nécessaire, vous garantissez que même si un pirate parvient à usurper l'identité d'un utilisateur, l'étendue du dommage reste limitée.
Pour appliquer tous ces principes, une organisation doit renverser le modèle et adopter une approche Zero trust. Ne faites jamais confiance à un utilisateur quand il décline son identité. Vous devez toujours vérifier son identité et son niveau d'accès. Ne jamais faire confiance, toujours vérifier, cela augmente les chances d'arrêter un escroc ou programme qui a infiltré votre organisation avant qu'il parvienne à accéder aux informations sensibles ou à faire des dégâts.
Si vous portez un regard critique sur les quatre principes de Zero trust, vous constaterez que l'implémentation réelle n'est pas si simple. Par exemple, même si la sécurité requiert une approche consistant à ne jamais faire confiance et toujours vérifier, ce processus doit garder un impact relativement léger pour les utilisateurs. Pour en revenir à notre image du château, la présence de portes qui exigent une clé pour être ouvertes peut vraiment avoir un impact sur la productivité des individus au quotidien.
De même, nous savons que les rôles ne sont pas complètement définis, certains utilisateurs auront besoin d'avoir accès à des applications ou données qui ne sont pas affectées à leur rôle par défaut. Vous devez donc avoir un moyen rapide de créer et de supprimer les comptes des utilisateurs pour les applications en fonction des besoins.
Nous vous proposons quatre outils essentiels à la sécurité Zero trust:
Voilà. C'étaient les quatre principes et quatre outils qu'il convient d'envisager pour passer à l'approche Zero trust.
Pouvez-vous nommer les cyberattaques les plus répandues ? Faites le quiz et évaluez vos connaissances en matière de cyber sécurité.
Faire le quizChaque solution est différente. La vôtre est-elle à la hauteur?
En savoir plus