Mise en œuvre de la confiance zéro

Comment mettre en œuvre la confiance zéro

La mise en œuvre d'un modèle de confiance zéro pose des problèmes. Chaque service informatique voit les avantages d'une sécurité accrue, mais la confiance zéro n'est pas une solution prête à l'emploi ; c'est une approche. La transformation d'une infrastructure de sécurité traditionnelle basée sur le périmètre en une architecture de confiance zéro (ZTA) telle que définie par le NIST 800-207 ne se fera pas du jour au lendemain. Elle doit être mise en œuvre en plusieurs phases distinctes.

La pierre angulaire de la mise en œuvre est d'avoir une idée claire des droits que chaque utilisateur devrait avoir sur les ressources de l'entreprise. Sans cette compréhension initiale, la confiance zéro ne peut être déployée efficacement. Cependant, une fois ce travail de base effectué, le déploiement peut progresser grâce à d'autres activités d'exploration et de définition de politiques avant les essais et un système entièrement opérationnel.

Étapes de la mise en œuvre de la confiance zéro

1. Faire l'inventaire

Commencez par faire l'inventaire de tous vos magasins de données, applications, actifs et services. Ce processus peut être long, mais il peut aussi permettre de découvrir des mécanismes existants qui pourraient faciliter la mise en œuvre de la confiance zéro. Par exemple, il pourrait y avoir des politiques de flux de données utiles et des contrôles d'application en place, tels que des capacités de routage et de pare-feu.

2. Cartographier les flux de transactions

Une fois que vous connaissez votre inventaire, vous devez déterminer comment chaque élément (utilisateurs, données, réseaux et applications) interagit pour protéger ces actifs à l'aide de contrôles correctement appliqués.

3. Définir des politiques de confiance zéro

Une fois les ressources et les flux de transactions bien compris, établissez des politiques concernant les utilisateurs qui peuvent accéder à certaines ressources, l'application qu'ils peuvent utiliser à cette fin, le moment et l'endroit où l'accès est disponible, et les méthodes d'authentification (telles que le 2FA et le MFA).

4. Commencer les essais

Choisissez quelques systèmes à faible risque pour commencer la mise en œuvre en ajoutant des contrôles plus granulaires à l'aide des protocoles de réseau existants. N'autorisez l'accès entre les systèmes que lorsque cela est nécessaire. Les systèmes de contrôle statiques peuvent être utilisés comme des expériences menant à la mise en œuvre d'un système de contrôle d'accès dynamique à confiance zéro.

5. Construire et ajouter

Lorsque les essais se révèlent concluants, l'évaluation des systèmes de confiance zéro gérés de manière centralisée peut commencer. Une fois que le flux de trafic nécessaire au bon fonctionnement de l'entreprise est compris, des systèmes permettant d'appliquer dynamiquement les changements de politique peuvent être conçus et déployés, ce qui conduit à la mise en œuvre complète de la confiance zéro.

Conseils pour la mise en œuvre de la confiance zéro

  • Assurez-vous d'avoir une idée claire des ressources que l'organisation met à la disposition des utilisateurs et de savoir quels utilisateurs devraient avoir accès à quoi, y compris le niveau d'accès dont chaque utilisateur a besoin.
  • Dans le même ordre d'idées, assurez-vous de savoir ce que vous voulez protéger.
  • Introduire la confiance zéro par étapes avec l'objectif final de la mettre en œuvre dans tous les systèmes, faute de quoi la sécurité visée sera compromise.
  • Confirmez que vous disposez d'un solide système de surveillance du réseau pour fournir des informations globales sur l'accès des utilisateurs et des ressources, de manière historique et dynamique, en temps réel.
  • Former correctement les employés aux nouveaux processus d'authentification et à leur valeur. 
  • Mettre en œuvre l'authentification automatisée, comme la biométrie, pour offrir une mise en œuvre conviviale de la confiance zéro .

Exemples de mise en œuvre de la confiance zéro

  • L'authentification multifactorielle (MFA) protège l'accès aux sources de données et aux applications.
  • Le réseau est divisé en micro-segments plus petits afin de maintenir un accès séparé.
  • Les appareils des utilisateurs sont contrôlés pour s'assurer qu'ils ne sont pas compromis, et les derniers correctifs de sécurité sont appliqués, l'accès étant limité en cas d'échec des vérifications.
  • Le comportement de l'utilisateur est surveillé, les écarts par rapport aux activités habituelles se traduisant par des périodes plus courtes avant que la réauthentification ne soit requise.
  • Les politiques d'accès aux données sont étroitement conçues et ajustées dynamiquement pour chaque utilisateur afin d'empêcher tout mouvement latéral de la part d'un intrus dans le réseau.
  • L'activité des utilisateurs et des ressources est constamment surveillée, l'IA et le ML étant appliqués aux informations analytiques pour fournir des indications sur les menaces émergentes.
Chaque équipe de sécurité souhaite une confiance zéro - personne n'obtient ou ne conserve l'accès à quoi que ce soit tant qu'il n'a pas prouvé et ne continue pas à prouver qui il est, que l'accès est autorisé et qu'il n'agit pas de manière malveillante. C'est pourquoi les organisations choisissent BlackBerry® Zero Trust Architecture powered by Cylance® AI pour protéger leur personnel, leurs données et leurs réseaux.