Sécurité zéro confiance

Qu'est-ce que la sécurité zéro confiance ?

La sécurité zéro confiance est un cadre de cybersécurité qui exige des utilisateurs qu'ils prouvent leur identité, que leur accès est autorisé et qu'ils n'agissent pas de manière malveillante avant de pouvoir accéder aux ressources numériques et au réseau d'une organisation.

L'environnement de travail hybride moderne ayant rendu obsolètes les modèles de sécurité traditionnels basés sur un réseau sur site, la sécurité zéro confiance a pris de l'importance en tant que moyen de protéger les données et les personnes d'une organisation, en particulier lorsque le travail à distance et les services basés sur l'informatique dématérialisée deviennent la norme.

Selon Forrester, la sécurité zéro confiance refuse par défaut l'accès des utilisateurs aux applications et aux données. Elle part du principe qu'il n'existe plus de bordure de réseau traditionnelle et adopte une approche beaucoup plus stricte, continue et dynamique de l'authentification des utilisateurs. Le défi consiste donc à s'assurer que la sécurité zéro confiance est suffisamment transparente pour ne pas avoir d'impact sur l'expérience de l'utilisateur.

Sécurité zéro confiance

Avantages de la confiance zéro

Les solutions de cybersécurité basées sur la confiance zéro offrent un niveau de sécurité bien plus élevé que les systèmes traditionnels, ce qui présente de nombreux avantages.

Réduction des risques pour les entreprises

Zero Trust empêche la communication entre les applications et les services jusqu'à ce qu'ils soient entièrement vérifiés, un processus qui met également en évidence ce qui est utilisé et où. Cela permet de mieux contrôler l'utilisation des ressources de l'entreprise et de réduire le risque d'abus malveillants.

Contrôle d'accès unifié

Le fait d'intégrer les environnements de cloud et de conteneurs dans un cadre uniforme de sécurité zéro confiance, parallèlement aux ressources traditionnelles, signifie que l'authentification est liée aux charges de travail et aux actifs qui ont besoin d'être protégés. La sécurité reste donc au même niveau élevé, quel que soit l'endroit où se trouvent les utilisateurs et les ressources de l'entreprise.

Réduction des infractions

Chaque entité est supposée hostile jusqu'à ce qu'elle soit authentifiée, ce qui empêche un attaquant qui obtient un accès à l'intérieur du réseau d'accéder aux données et de les compromettre.

Appui à la conformité

La confiance zéro protège les utilisateurs et les charges de travail de l'Internet. Cette absence d'exposition facilite la démonstration de la conformité aux normes et réglementations en matière de protection de la vie privée. Il est également possible de créer une protection supplémentaire pour séparer les données réglementées de celles qui ne le sont pas.
Une architecture de confiance zéro (ZTA) s'appuie sur les principes de la sécurité de confiance zéro, en utilisant une série de composants conçus pour rendre l'authentification continue robuste et aussi transparente que possible pour l'utilisateur final. Les utilisateurs sont fortement authentifiés de manière continue mais discrète. Parallèlement, les appareils qu'ils utilisent sont constamment surveillés afin de détecter toute compromission. L'accès à l'infrastructure est contrôlé par l'authentification de l'utilisateur et la vérification de l'appareil. L'accès aux applications est granulaire, basé sur les besoins de l'utilisateur, et protégé par de multiples facteurs. Le système est surveillé de manière globale à l'aide d'analyses de sécurité qui s'appuient sur une IA de cybersécurité avancée pour détecter les menaces en temps réel. L'adaptation automatisée des politiques maximise la rentabilité de l'approche. La conformité à la norme NIST 800-207 montre que l'architecture de confiance zéro respecte les principes centraux de la méthodologie de confiance zéro.

Comment fonctionne la confiance zéro

La différence essentielle entre la confiance zéro et les systèmes de sécurité traditionnels est que l'authentification n'est jamais supposée mais refusée par défaut. Avec la sécurité traditionnelle, une fois que l'accès a été accordé à l'intérieur du périmètre du réseau, il persiste généralement de manière permanente ou pour une période prolongée sans qu'il soit nécessaire de le rafraîchir. En revanche, la confiance zéro surveille en permanence le comportement des utilisateurs et vérifie que ces derniers et leurs appareils disposent des privilèges et attributs appropriés. Le risque associé à l'utilisateur, à son appareil et au contexte est pris en compte sur la base d'une visibilité en temps réel de l'activité de l'utilisateur et de l'application.

Zero Trust s'appuie sur une variété d'attributs d'identité pour maintenir des niveaux optimaux de sécurité lors de l'accès aux actifs de l'entreprise ou du cloud, notamment :

  • Type de justificatif permettant de vérifier l'identité de l'utilisateur.
  • Privilèges associés aux informations d'identification.
  • Le contexte, y compris l'emplacement de l'appareil (dans les locaux de l'entreprise ou dans un espace public) et le comportement de l'utilisateur.
  • Authentification continue, incluant éventuellement la biométrie multifactorielle et la biométrie d'arrière-plan.
  • L'état de l'appareil, y compris les versions du système d'exploitation, les niveaux de correctifs et les mises à jour du micrologiciel.
  • Applications installées sur les terminaux, en évaluant celles qui pourraient constituer une menace.
  • Détection des activités suspectes à partir de l'utilisateur, de l'appareil et du contexte.

Zero Trust Security surveille constamment et dynamiquement ces attributs, en appliquant l'analytique et l'IA/ML pour fournir une réponse politique proactive. La plupart des cyberattaques visent les informations d'identification et les magasins d'identité, de sorte que cette surveillance dynamique des menaces garantit une plus grande intégrité du système.

La sécurité zéro confiance n'est pas un produit ou un service unique, mais une méthodologie soutenue par un écosystème. C'est pourquoi elle n'implique pas nécessairement un remplacement complet de l'infrastructure de sécurité existante. Une organisation peut déjà avoir mis en place certains composants qui seront utiles pour le voyage vers la confiance zéro. Étant donné que vous devrez également accompagner vos utilisateurs dans cette démarche, le maintien de processus et de pratiques familiers facilitera la transition.

L'évaluation de l'état de préparation d'une organisation et les étapes nécessaires à la mise en œuvre de la confiance zéro dépendent de la manière dont l'identité est articulée dans l'organisation, qui peut se trouver à l'un de ces quatre stades :

1. Identité fragmentée

À ce stade, une organisation s'appuiera probablement sur Microsoft Active Directory pour gérer les autorisations dans un système de sécurité du périmètre du réseau. Cependant, les employés ont tendance à utiliser des mots de passe faibles qui sont les mêmes pour plusieurs comptes, ce qui signifie que la compromission d'un système permet d'accéder à un autre. Avec l'utilisation accrue des ressources externes (le nuage, les appareils mobiles, etc.), cette étape est plus que jamais exposée à des risques.

2. Gestion unifiée des identités et des accès

Un système unifié de gestion des identités et des accès (IAM) peut constituer la base de la sécurité zéro confiance. Ce système regroupe tous les utilisateurs dans un répertoire central qui permet de savoir à quelles ressources de l'entreprise ils ont accès. Le Single Sign-On (SSO) élimine la nécessité d'avoir des logins différents pour un portefeuille d'applications basées sur le cloud. Le SSO donne accès à toutes les ressources que l'utilisateur a le droit d'utiliser, ce qui est également plus facile pour lui. L'IAM facilite également le déploiement de l'authentification multifactorielle (MFA) pour renforcer encore la sécurité.

3. Accès contextuel avec provisionnement automatisé

Au-delà de l'IAM unifié, il existe des systèmes dans lesquels les politiques suivent le comportement, comme la connexion d'un utilisateur à partir d'un lieu différent de celui où il se trouve habituellement, ce qui déclencherait alors l'AMF. De même, un appareil laissé inutilisé dans un lieu public au-delà d'un délai normal pourrait également déclencher l'AMF. Ce système permet également un provisionnement et un déprovisionnement automatisés, ce qui permet aux administrateurs système d'ajouter ou de restreindre des privilèges, par exemple lorsqu'un employé quitte son emploi ou change de service.

4. Une main-d'œuvre adaptative

La confiance zéro n'est pas une mise en œuvre statique, mais une méthodologie dynamique. À mesure que de nouvelles technologies arrivent, comme l'authentification biométrique sans mot de passe, elles peuvent être ajoutées pour améliorer la sécurité et l'efficacité. L'IA et le ML peuvent être appliqués pour faire évoluer les politiques à mesure que de nouvelles menaces émergent et sont détectées.

Une fois que l'équipe informatique ou de sécurité d'une organisation a évalué la phase à laquelle se trouvent ses systèmes d'identité et leur état de préparation à la confiance zéro, elle peut commencer à mettre en œuvre la méthodologie.

La mise en œuvre comporte trois grandes étapes :

1. La visualisation

Une organisation aura probablement une bonne idée des ressources qu'elle met à disposition à l'intérieur du périmètre traditionnel du réseau. Mais la confiance zéro exige de comprendre toutes les ressources, leurs points d'accès et les risques associés. Un inventaire des ressources disponibles devrait inclure tous les services utilisés par les employés, à la fois dans les locaux de l'entreprise et en dehors.

2. Atténuation

Une fois que l'ensemble des ressources utilisées a été cartographié, l'étape suivante consiste à détecter et à arrêter les menaces associées, ou à atténuer l'impact d'une violation, pour chacune d'entre elles. L'atténuation implique la mise en place de politiques globales.

3. L'optimisation

La dernière étape de la mise en œuvre étend la protection à tous les aspects de l'infrastructure informatique et à toutes les ressources, quel que soit leur emplacement ou celui de l'utilisateur qui y accède. Cette étape consiste à améliorer l'expérience des utilisateurs finaux et des équipes administratives afin de rendre la sécurité zéro confiance aussi transparente que possible et aussi proche que possible de l'idéal zéro contact.

La mise en œuvre d'un modèle de contrôle d'accès de type "Zero Trust" n'est pas nécessairement une tâche simple à entreprendre.

Les organisations qui comprennent les avantages considérables qu'elles peuvent en retirer et qui sont déterminées à mettre en œuvre une architecture de confiance zéro peuvent s'attendre à rencontrer plusieurs difficultés en cours de route, dont les suivantes :

Silos technologiques

Systèmes d'exploitation et applications existants, outils et plates-formes de développement, applications et services de tiers, applications "maison" et bien d'autres encore.

Manque d'intégration des technologies

Des obstacles peuvent surgir avec les plates-formes appartenant à l'entreprise et les plates-formes tierces - tout problème lié à ces intégrations peut facilement faire dérailler la mise en œuvre de la confiance zéro.

Évolution rapide de la surface et du paysage des menaces

Cela peut entraîner des difficultés avec les technologies dont les modalités de déploiement sont limitées.

FAQ

Qu'est-ce que la sécurité zéro confiance ?

La sécurité zéro confiance est un système de cybersécurité dont le mode par défaut consiste à ne pas faire confiance à des entités telles que les utilisateurs et leurs appareils. Une réauthentification régulière garantit un niveau d'intégrité plus élevé pour l'accès à l'infrastructure et aux applications, offrant ainsi une meilleure protection contre les cybermenaces dans un environnement de travail hybride.

Pourquoi la sécurité zéro confiance est-elle importante ?

Avec l'essor du travail à distance et hybride et la prolifération des appareils mobiles utilisés à la fois sur site et hors site, la façon dont nous accédons aux applications, aux données et aux services a changé. Les applications professionnelles vont des logiciels traditionnels sur site à la conteneurisation et au cloud. Zero Trust Security offre une solution à ce scénario d'accès varié.

Qu'est-ce qu'une évaluation de confiance zéro ?

L'évaluation de la confiance zéro permet à une organisation de mesurer le degré de maturité de ses processus existants pour la mise en œuvre d'une sécurité de confiance zéro. Cette évaluation se concentre sur la manière dont l'organisation gère l'identité, qui peut se trouver à l'un des quatre stades :

  1. Identité fragmentée, où des identifiants différents sont utilisés pour chaque service
  2. Gestion unifiée de l'accès à l'identité permettant une ouverture de session unique et une authentification multifactorielle pour toutes les ressources.
  3. Accès contextuel avec mise à disposition automatisée qui ajoute un ajustement dynamique de la politique en fonction du contexte
  4. Une force de travail adaptative dans laquelle l'organisation est prête à intégrer les nouvelles technologies de sécurité au fur et à mesure de leur arrivée.

Qu'est-ce qu'un écosystème Zero Trust eXtended (ZTX) ?

Zero Trust eXtended (ZTX) est un développement de Forrester qui étend la sécurité Zero Trust à l'ensemble de l'écosystème numérique d'une entreprise, au-delà de la simple segmentation du réseau et en mettant l'accent sur l'identité et les données. Un écosystème ZTX comprend l'ensemble des services et des plateformes dont une organisation a besoin pour une mise en œuvre réussie de la sécurité zéro confiance.

Quelles sont les trois étapes du modèle de sécurité "zéro confiance" ?

La mise en œuvre du modèle de sécurité zéro confiance se fait en trois étapes :

  1. La visualisation révèle les ressources de l'entreprise, les points d'accès et les risques associés. 
  2. L'atténuation détecte et prévient les menaces potentielles. 
  3. L'optimisation étend la protection à tous les aspects de l'infrastructure informatique, quel que soit l'endroit où elle se trouve, sur place ou hors site, tout en offrant la meilleure expérience possible aux utilisateurs.

Qu'est-ce que l'architecture de confiance zéro ?

L'architecture de confiance zéro s'appuie sur les principes de la sécurité de confiance zéro, en utilisant une série de composants conçus pour rendre l'authentification continue robuste et aussi transparente que possible pour l'utilisateur final. Les utilisateurs sont fortement authentifiés de manière continue mais discrète. En parallèle, les appareils qu'ils utilisent sont constamment surveillés afin de détecter toute compromission.

La sécurité zéro confiance devrait être l'objectif de toute équipe de sécurité. La méthodologie est prête à répondre à la flexibilité et aux défis du travail hybride moderne. L'évaluation et la mise en œuvre de la confiance zéro impliquent un partenaire technologique expert, c'est pourquoi les organisations choisissent BlackBerry® Zero Trust Architecture powered by Cylance® AI pour protéger leurs personnes, leurs données et leurs réseaux.