Fournir aux employés et aux tiers un accès sécurisé aux applications depuis n’importe où constitue depuis longtemps déjà un véritable défi pour les entreprises. La sécurité figure toujours parmi les priorités principales, qu’il s’agisse de la mise en place d’environnements multi-Cloud pour héberger des applications, de la numérisation des processus de production ou de la sécurisation d’environnements de travail hybrides pour fournir un accès à distance aux applications. Face aux risques Cyber de l’hybrid work, l’accès réseau Zero Trust, aussi nommé ZTNA, permet de minimiser les risques.
Les solutions traditionnelles d’accès à distance ont montré leurs limites pendant la pandémie. Les connexions VPN étaient vulnérables aux attaques et ne pouvaient pas être rapidement étendues pour répondre à l’accroissement de la demande sans sacrifier les performances. Les utilisateurs qui tentaient d’accéder à distance à des applications hébergées dans des datacenters ou dans des environnements Cloud privés ont subi une baisse de la qualité de leur expérience. Dans le même temps, en partie du fait de la pandémie, le processus de numérisation s’est fortement accéléré, ouvrant aux cybercriminels de nouvelles portes d’accès pour attaquer les entreprises par le biais de matériel et de services soudainement exposés dans l’environnement en ligne.
Dans ce scénario, les organisations sont désormais confrontées à une toute nouvelle série de défis en matière de sécurité. Au début de la pandémie, l’accès réseau Zero Trust (ZTNA) a démontré que les employés pouvaient bénéficier d’un accès sécurisé et performant aux applications dont ils avaient besoin à condition d’accorder les droits sur la base du modèle du moindre privilège. Dans ce modèle, un employé accédant à une application n’a plus automatiquement accès à l’ensemble du réseau ; pour accéder à l’application dont il a besoin, il doit d’abord avoir obtenu une autorisation pour cette application spécifique.
L’accès réseau Zero Trust basé sur le Cloud confère un avantage aux organisations
Toutes les entreprises et organisations sont responsables de leurs données et des droits d’accès accordés aux tiers. C’est pourquoi leur stratégie devrait toujours inclure une évaluation des risques à ce sujet. Les entreprises comptent sur Internet pour permettre d’accéder à leurs propres applications, mais ce n’est pas le cas pour les autres applications. Les applications externes ne peuvent pas être consultées ou même localisées en ligne par des utilisateurs non autorisés.
L’accès par des tiers, ou l’accès à distance à des fins de maintenance dans des environnements de production, est limité à un strict minimum. Dans les deux scénarios, les entreprises n’ont pas besoin de donner accès à l’ensemble de leur réseau. Dans le cas du Zero Trust, une connexion par tunnel à l’application requise permet d’accéder aux processus de maintenance ou de gestion de la chaîne d’approvisionnement tout en gardant le reste du réseau invisible.
Dans une plate-forme de sécurité basée sur le Cloud, un certain nombre de fonctions permettent de minimiser l’exposition des applications :
1/ Segmentation utilisateur-application
L’accès réseau Zero Trust (ZTNA) permet une segmentation granulaire au niveau des applications individuelles, qui sert de base à un écosystème de sécurité amélioré. Les utilisateurs autorisés peuvent uniquement accéder aux applications autorisées en fonction des droits d’accès prédéfinis. Dans la mesure où ils n’accèdent pas au réseau, les utilisateurs ne peuvent pas le parcourir. Une plate-forme de sécurité sur le Cloud agit comme un système de courtage, utilisant des directives pour déterminer si les utilisateurs peuvent accéder à une application en fonction de leur identité et d’autres critères contextuels.
2/ Segmentation application-application
Lorsque les charges de travail sont transférées dans le Cloud, il est nécessaire de pouvoir y accéder de différentes manières. Dans les scénarios multi-Cloud, qui prévalent aujourd’hui dans les entreprises, ce fait est au cœur du débat sur la sécurité. Le service informatique doit pouvoir accéder à la charge de travail de l’application et aux données qui y sont liées, tandis que les employés doivent être en mesure de communiquer avec d’autres applications via Internet et être connectés au datacenter. Si les droits d’accès requis dans ces directions ne sont pas configurés correctement, cela peut accroître la vulnérabilité de l’entreprise face aux attaques et exposer son infrastructure à des niveaux de risque plus élevés. Dans ce type de scénario, des droits d’accès définis pour une communication autorisée et encapsulée entre les charges de travail sur le Cloud peuvent renforcer la sécurité.
3/ Isolation grâce à un accès par navigateur
L’accès par navigateur peut également être utilisé pour minimiser encore davantage les risques. Même si l’utilisateur possède les droits d’accès nécessaires, le système n’établit pas de connexion directe avec l’application ; l’utilisateur peut uniquement se connecter via un protocole RDP (Remote Desktop Protocol) ou SSH, qui affiche effectivement une image de l’application réelle sans y connecter complètement le client. Cette approche protège l’application contre tout contenu potentiellement nuisible provenant de l’utilisateur ou de son appareil, comme une tentative d’intégrer du code malveillant dans une application interne.
4/ Sécurité accrue dans les environnements OT grâce à un accès à distance privilégié
À mesure que la numérisation progresse dans les environnements de production, les entreprises doivent également réfléchir à qui doit accéder aux systèmes de commande de leurs machines à des fins de maintenance. Dans ce cas, les mondes de l’IT et de l’OT, auparavant séparés, doivent converger afin qu’une seule personne autorisée puisse y accéder. Jusqu’à présent, le défi consistait à déterminer comment accorder des droits d’accès à cette partie externe alors que le dispositif utilisé à cette fin n’est pas géré par l’entreprise. Un portail web peut être utilisé pour fournir un accès privilégié si l’accès RDP ou SSH ne peut être configuré pour le périphérique.
5/ Utiliser les honeypots comme mécanisme de défense
Enfin, les entreprises qui optent pour le ZTNA doivent également tenir compte des risques potentiels posés par les utilisateurs ou leurs appareils compromis. Les cybercriminels qui utilisent des logiciels malveillants peuvent exploiter des identités volées pour accéder aux applications que l’employé en question est autorisé à utiliser. Mais si un cybercriminel utilisant une identité volée est amené à accéder à un honeypot, l’attaque est immédiatement exposée et les données critiques peuvent être protégées.
La fonctionnalité étendue offerte par l’usage du ZTNA permet aux entreprises d’intégrer des mécanismes de protection supplémentaires dans leur stratégie de défense en utilisant la segmentation, l’isolation et la technique de déception du réseau, en fonction du niveau de risque qu’elles acceptent. Grâce aux nouvelles fonctions ZTNA, les entreprises peuvent mettre en œuvre les mécanismes de défense qui sont essentiels à de nombreux cas d’utilisation modernes (notamment l’accès à distance pour les employés, les tiers et la maintenance des machines) à un niveau nettement plus granulaire.
___________________
Par Nathan Howe, vice-président en charge des technologies émergentes chez Zscaler
À lire également :
Le Security Service Edge (SSE) laisse le monde des réseaux derrière lui.
Zero Trust : sécuriser la communication entre les workloads dans le cloud
Cybersécurité : 10 prévisions pour 2022
Un an de télétravail : plaidoyer en faveur de la segmentation réseau dans les bureaux à domicile
Pourquoi il est urgent d’adapter son infrastructure IT à un modèle de travail hybride ?