Une introduction à l'architecture Zero Trust

Grâce à la publication récente du rapport Network Infrastructure Security Guidance de la National Security Agency (NSA), l'élimination des faiblesses et des vulnérabilités courantes du réseau est devenue une priorité pour de nombreux décideurs d'entreprise.

Après tout, les retombées financières moyennes d'une violation de données ont atteint 4,24 millions de dollars , un sommet en 17 ans. Les organisations d'aujourd'hui doivent donner la priorité à la sécurité des données et aux avantages d'une architecture Zero Trust (ZTA), mais avant d'aller plus loin, examinons de plus près ce qu'est ZTA et d'où vient ce concept.

Qu'est-ce que le Zéro Confiance ?

Aussi connu sous le nom de sécurité sans périmètre, Zero Trust est un modèle de sécurité basé sur un cadre de principes pour la conception et la mise en œuvre de systèmes informatiques pour faire face aux cybermenaces dans des environnements de plus en plus décentralisés. Les utilisateurs doivent être authentifiés, autorisés et validés en permanence avant de se voir accorder l'accès aux systèmes et aux données. En bref, Zero Trust ne fait intrinsèquement confiance à personne.

Le point d'entrée des pirates n'est souvent pas leur emplacement cible au sein d'un réseau. Au lieu de cela, ils identifient une vulnérabilité dans une zone et se déplacent latéralement jusqu'à atteindre leur cible. ZTA empêche que cela ne se produise en forçant les utilisateurs à s'identifier à plusieurs endroits, ce qui limite essentiellement les dommages qu'un mauvais acteur peut causer.

Zero Trust n'est pas un nouveau concept. Il a été présenté pour la première fois en 2009 par John Kindervag , ancien analyste principal chez Forrester Research. Cependant, sa popularité a explosé au cours des deux dernières années. En fait, un rapport Microsoft de 2021 a révélé que 90 % des décideurs en matière de sécurité connaissaient le concept, contre seulement 20 % il y a à peine un an. Cette tendance a sans aucun doute été catalysée par la croissance du travail à distance et l'adoption accrue du cloud. Sans parler de la montée en flèche du nombre de cyberattaques – qui semblent encore augmenter sur la base des récents avertissements de la Maison Blanche concernant les cyberattaques russes entrantes sur les entreprises américaines.

"OK, mais comment puis-je mettre en œuvre Zero Trust dans la pratique ?"

Il n'y a pas de modèle unique pour la mise en œuvre de ZTA. Cependant, les organisations doivent généralement prendre en compte les éléments suivants :

• Gouvernance des identités : assurez-vous de gérer et de sécuriser toutes les identités des utilisateurs grâce à des politiques et des droits d'accès robustes. Les contrôles d'accès basés sur les rôles peuvent vous aider à appliquer ces politiques en tirant parti des rôles d'utilisateur pour accorder l'accès aux systèmes et aux applications dont ils ont besoin pour faire leur travail, et rien de plus.
• Gestion des accès privilégiés : les comptes privilégiés sont ceux qui ont le niveau d'accès le plus élevé et présentent un risque de sécurité plus important que l'utilisateur moyen compte tenu du degré d'informations sensibles qui pourraient être exposées. Adhérez au principe du moindre privilège en fournissant juste assez d'accès aux tiers ou aux administrateurs pour effectuer une tâche grâce à un contrôle granulaire des politiques au niveau du système.
• Authentification multifacteur (MFA) : l'un des vecteurs d'attaque initiale les plus courants est la compromission des informations d'identification de l'utilisateur, ce que la MFA vise à empêcher. Cette couche de sécurité nécessite deux méthodes d'authentification avant d'accorder l'accès à un système ou à une application : quelque chose que vous connaissez (mot de passe ou code PIN), quelque chose que vous possédez (smartphone ou jeton) et quelque chose que vous êtes (données biométriques).
• Authentification unique (SSO) : la sécurité dépend de ceux qui l'utilisent, et lorsque la sécurité est remarquée par les utilisateurs, elle est souvent ignorée. En fait, 57 % admettent écrire des mots de passe sur des notes autocollantes tandis que de nombreux autres utilisateurs partagent des informations d'identification avec des collègues. L'authentification unique permet aux organisations de mettre en œuvre une sécurité renforcée en éliminant le besoin de mémoriser et de saisir à plusieurs reprises les noms d'utilisateur et les mots de passe pour accéder aux systèmes.
• Moteur de politique de confiance zéro : comme le décrivent les documents du National Institute of Standards and Technology (NIST), il s'agit du « cerveau » de votre ZTA. Chaque fois qu'une identité numérique, qu'il s'agisse d'une personne ou d'une machine, tente d'accéder à une ressource d'entreprise, le moteur de politique ZTA est invité à indiquer s'il doit y accéder. Bien sûr, vous définissez les paramètres de votre moteur de politique. En effet, si la gestion de votre identité numérique est stricte, vous pouvez également utiliser le moteur de politique ZTA pour supprimer certaines exigences de nom d'utilisateur ou de mot de passe, ainsi que les exigences MFA. Essentiellement, vous pouvez améliorer la sécurité tout en facilitant l'accès. Cela ne vous semble-t-il pas familier ?

Gestion des identités et des accès - il est temps de mettre de l'ordre dans votre maison

La gestion et la sécurisation efficaces des identités numériques sont sans doute le composant le plus important de ZTA. En termes simples, sans stratégie de gestion des identités et des accès (IAM) en place, vous pouvez oublier Zero Trust. Ou, du moins, oubliez les avantages qui en découlent.

Il existe une vaste gamme d'outils que les organisations peuvent utiliser lors de la mise en œuvre de leur stratégie IAM, mais la mise en place des solutions ci-dessus n'est qu'une pièce du puzzle. Grâce à un éventail de systèmes hérités que la plupart des organisations possèdent encore, il est courant de voir un outil pour le provisionnement et le déprovisionnement, un autre pour MFA, un troisième pour SSO, etc. Sans en avoir l'intention, les organisations ayant ce type d'approche fragmentée introduisent souvent les risques mêmes qu'elles essaient d'éviter.

Au lieu de cela, les organisations avant-gardistes devraient chercher à consolider ces outils avec une stratégie unifiée qui élimine les lacunes et permet un point de contrôle unique.

Dans l'ensemble, il est difficile d'exagérer le nombre de défis liés à la cybersécurité auxquels les organisations sont actuellement confrontées. Certes, pour beaucoup, il s'agit de trouver comment sécuriser les systèmes, les données et les utilisateurs dans l'immédiat. Mais une fois qu'ils ont fini de combattre les incendies, la mise en œuvre de ZTA - fondée sur une stratégie efficace de gestion des identités et des accès - est une évidence.