Alors que les sonnettes d’alarme sonnent dans le monde entier à propos de la menace croissante d’acteurs malveillants, dont beaucoup découlent de la guerre en Ukraine, l’adoption d’une posture de sécurité de confiance zéro est devenue une nouvelle urgence.
Le modèle Zero Trust est conçu pour réduire les risques en éliminant les accès et les autorisations inutiles aux systèmes informatiques critiques, créant ainsi une infrastructure plus « fermée ».
La politique Zero Trust repose sur l’application de l’accès au moindre privilège, garantissant que les utilisateurs n’ont pas plus de privilèges que ceux requis pour faire leur travail.
Pour réussir la mise en œuvre de la confiance zéro, les responsables de la sécurité informatique doivent comprendre quelles sont les ressources critiques de leur environnement (des applications et des réseaux au stockage et aux périphériques) et qui y a accès.
Application de la confiance zéro
Un contrôle d’accès efficace devient un aspect important de l’application du Zero Trust.
Timur Kovalev, directeur de la technologie chez Untangle, un fournisseur de sécurité réseau pour les PME, explique que le travail hybride et le nombre croissant de risques de cybersécurité poussaient les entreprises à adopter des stratégies de confiance zéro avant même la guerre en Ukraine.
« Avec la possibilité d’un plus grand nombre de cyberattaques russes, la confiance zéro est désormais logique pour les entreprises qui cherchent à protéger leurs environnements numériques », a-t-il déclaré. « Le principe clé est qu’au lieu de d’abord rendre les services disponibles, puis de bloquer l’accès à ces services, aucun accès n’est accordé à moins qu’il ne soit explicitement et intentionnellement accordé. »
À la base, Zero Trust utilise la micro-segmentation pour diviser les périmètres de sécurité en petites zones afin de créer des points d’accès distincts pour des parties distinctes du réseau.
Alors que l’accès à une zone peut être accordé, l’accès à d’autres zones nécessite une autorisation distincte. Les stratégies sont souvent définies pour accorder aux utilisateurs le moins d’accès requis pour effectuer une tâche.
Selon Richard Bird, directeur des produits de SecZetta, la première étape pour les responsables de la sécurité informatique consiste simplement à être intellectuellement honnête.
« Les entreprises et les organisations doivent faire face honnêtement au fait que leurs stratégies de sécurité actuelles ne fonctionnent pas », dit-il. « Ils ont un grand nombre d’inconnues dans leurs systèmes – des activités inconnues, des identités inconnues, des accès inconnus. »
Éliminez les inconnues
La prochaine étape que chaque responsable de la sécurité doit franchir dans son parcours Zero Trust consiste à éliminer les inconnues de ses systèmes et processus.
« Les responsables informatiques doivent vraiment diriger à un moment comme celui-ci en remettant vigoureusement en question l’efficacité de leur cadre et de leur architecture de sécurité actuels », déclare Bird.
Zero Trust utilise d’autres mesures de sécurité telles que l’ajout d’une authentification à deux facteurs, la gestion des identités et des accès (IAM) et d’autres méthodes de vérification, ou l’utilisation d’un fournisseur d’identité afin que toutes les authentifications et autorisations soient gérées de manière centralisée.
Kovalev affirme que les responsables de la sécurité informatique doivent comprendre que la confiance zéro n’est pas une plate-forme ou un appareil, mais une initiative de protection des environnements numériques basée sur le principe clé du blocage de l’accès.
« Les dirigeants de toute organisation cherchant à déployer une solution Zero Trust doivent se rendre compte que Zero Trust ne nécessite pas un type d’infrastructure entièrement nouveau avec une toute nouvelle solution coûteuse », a-t-il déclaré. « Il est possible de s’appuyer sur les investissements que les entreprises ont déjà réalisés. »
Bird ajoute que les responsables informatiques peuvent exprimer les avantages de la confiance zéro en étant ouverts avec leurs pairs et les membres de leur conseil d’administration, affirmant que le maintien du statu quo en matière de sécurité est une stratégie d’espoir et de bonheur et qu’il est temps d’essayer quelque chose de différent.
« Tout le reste ne nécessite pas de dépenser des tonnes d’argent dans de nouvelles technologies », dit-il. « La confiance zéro exige simplement que vous repensiez la façon dont vous appliquez les contrôles de sécurité de manière à éliminer la confiance omniprésente et durable que l’accès au système crée. »
Les effets du travail à distance
Outre l’augmentation des niveaux de menace, les tendances du travail à distance ont élargi de manière exponentielle les voies d’accès aux systèmes et processus d’entreprise.
Kevin Dunne, président de Pathlock, un fournisseur d’orchestration d’accès unifié, souligne que les travailleurs à distance exigent que les utilisateurs puissent accéder aux applications derrière un pare-feu depuis n’importe où dans le monde.
« De nombreuses entreprises ont déplacé leurs applications vers le cloud pour faciliter l’accès des télétravailleurs », explique-t-il. « Ce nouveau paradigme nécessite une réflexion plus approfondie sur la manière dont les utilisateurs peuvent obtenir un accès et sur la manière dont les équipes de sécurité peuvent surveiller ce que font les utilisateurs avec l’accès qui leur est accordé. »
Selon Dunne, lorsque les responsables informatiques expliquent les avantages d’un modèle de confiance zéro, ils doivent clairement décrire les coûts des violations potentielles.
De plus, pour les systèmes informatiques essentiels aux opérations commerciales, même une heure d’indisponibilité peut coûter des millions de dollars aux grandes entreprises.
« Les responsables informatiques devraient mettre l’accent sur les avantages d’un modèle de confiance zéro pour prévenir les pannes d’applications en réduisant la possibilité pour les internes et les externes de prendre des mesures qui nuisent aux systèmes informatiques critiques », a déclaré Dunne.
Kovalev ajoute que les avantages de la confiance zéro devraient faire partie de la formation continue à la cybersécurité, qui couvre également les ransomwares, le phishing et les deepfakes.
De son point de vue, il est crucial de prendre des mesures préventives contre les cyberattaques et de ne pas créer un environnement anti-salarié.
« Pour que Zero Trust ait l’approbation des employés, il doit être facile à utiliser et non perturbateur », dit-il. « Les employés doivent être informés que la politique protège non seulement l’organisation, mais également l’individu et son réseau domestique et ses appareils. »
Passe au cloud
Dunne dit qu’il s’attend à ce que de plus en plus d’applications migrent vers le cloud, ainsi qu’à davantage d’attaquants ciblant les systèmes informatiques critiques des grandes organisations.
« À mesure que la complexité augmente, la confiance zéro devient un pilier essentiel pour protéger l’organisation et assurer la continuité des activités », déclare-t-il.
Du point de vue de Bird, la confiance et l’identité zéro n’ont pas d’importance quelle que soit la prochaine technologie que vous devez acheter.
« Il s’agit d’être discipliné et de supprimer les rationalisations que vous avancez pour expliquer pourquoi vous refusez d’appliquer des contrôles de grande valeur – comme une authentification forte – sur l’ensemble de votre parc numérique », dit-il.
Que lire ensuite :
L’agression du Kremlin divise les écosystèmes numériques le long des divisions technologiques
Coffre de guerre numérique : crypto et invasion de l’Ukraine par la Russie
Les ressources numériques peuvent-elles aider après l’interdiction russe de l’énergie ?
Qu’est-ce que la gestion des identités et des accès client (CIAM) ?