Sur la voie du Zero Trust
Ivan Rogissart, Zscaler

• Print
• Twitter
• Linkedin

L’approche Zero Trust s’impose peu à peu. Bien adaptée au profil très réparti des SI modernes et à l’hybride work, elle invite les entreprises à se rappeler que la cybersécurité n’est pas une destination mais un voyage et que la route est aujourd’hui un peu plus difficile et chaotique. Voici quelques conseils pour progresser sur la voie du Zero Trust.

La transformation numérique est un véritable parcours. Or comme toute aventure, un peu de préparation contribue à la réussite du projet. Pour ce faire, il convient de déterminer l’objectif à atteindre ainsi que le meilleur chemin pour y parvenir, tout en sachant vers qui se tourner pour se procurer l’équipement, les services et les fournitures nécessaires pour vous accompagner tout au long du chemin.

Une transformation informatique commence généralement par l’étape consistant à déplacer les applications du centre de données vers le cloud. La transformation du réseau vers une architecture réseau en étoile devient alors nécessaire pour permettre aux utilisateurs d’accéder aux applications, qui sont désormais dispersées. Les entreprises passant d’une approche de sécurité cloisonnée à une architecture Zero Trust, cela entraîne ainsi un besoin de transformer la sécurité. Toutefois, bien que l’ordre mentionné soit assez classique, il n’est certainement pas unique. Il est possible de débuter le parcours Zero Trust par l’étape par laquelle vous vous sentez le plus à l’aise ou le mieux préparé. Si commencer par transformer la sécurité avant les applications est plus logique pour votre entreprise, n’hésitez pas à procéder ainsi.

Évaluer l’équipement

Les architectures cloisonnées, qui s’appuyaient sur des pares-feux, des VPN et des piles centralisées d’appareils de sécurité, fonctionnaient parfaitement bien lorsque les applications étaient hébergées au sein du data center et que les utilisateurs travaillaient depuis les bureaux de l’entreprise. Désormais, alors que les employés travaillent à la fois depuis leur domicile – voire également lorsqu’ils sont en déplacement – et au bureau, les applications ont quitté le data center pour se retrouver dans des clouds publics, des SaaS et sur Internet. Or ces pares-feux, VPN et piles matérielles de sécurité traditionnelles n’ont pas été conçus pour répondre aux besoins des entreprises décentralisées d’aujourd’hui.

Pour accéder aux applications, les VPN et les pares-feux doivent connecter les utilisateurs au réseau, étendant principalement le réseau à tous les utilisateurs, appareils et sites distants. Cela expose alors l’entreprise à un risque accru en offrant aux attaquants davantage de possibilités de compromettre les utilisateurs, les appareils et les workloads, et de se déplacer latéralement pour atteindre des actifs de grande valeur, extraire des données sensibles et porter atteinte à l’entreprise. Aujourd’hui, une nouvelle approche est donc nécessaire pour protéger les utilisateurs, les données et les applications.

Tracer le meilleur itinéraire

Lorsqu’il s’agit de transformer la sécurité, les leaders les plus innovants se tournent vers le Zero Trust. Contrairement aux approches de sécurité périmétriques, qui s’appuient sur les pares-feux et la confiance implicite et fournit un large accès une fois la confiance établie, le Zero Trust est une approche globale basée sur le principe du moindre privilège et sur l’idée qu’aucun utilisateur, dispositif ou charge de travail ne doit être considéré comme fiable. Ce système part du principe que tout est hostile, et n’accorde l’accès qu’après avoir vérifié l’identité et le contexte, et appliqué des contrôles d’accès.

Or il ne suffit pas de déplacer les pares-feux vers le cloud pour parvenir à une vraie approche Zero Trust. Cela exige une nouvelle architecture, née dans le cloud et fournie nativement par le cloud, pour connecter en toute sécurité les utilisateurs, les appareils et les workloads aux applications, sans pour autant les connecter au réseau.

Vérifier l’identité et le contexte

L’aventure commence lors de la demande de connexion. L’architecture Zero trust commence par interrompre la connexion et vérifier l’identité et le contexte. Elle examine qui demande la connexion, dans quel contexte et la destination de la connexion demandée.

1- Qui est en train de se connecter ? – Le premier élément essentiel consiste à vérifier l’identité de l’utilisateur/appareil, de l’appareil IoT/OT ou du workload. Le processus passe par l’intégration avec des fournisseurs d’identité tiers (IdP) utilisant un outil de gestion des identités et accès (IAM).

2- Quel est le contexte de l’accès ? – La solution doit ensuite valider le contexte de l’initiateur de la demande de connexion en examinant des détails tels que le rôle, la responsabilité, l’heure de la journée, le lieu, le type d’appareil et les circonstances de la demande.

3- Où va la connexion ? – Une fois le contexte validé, la solution confirme que le titulaire de l’identité détient les droits et répond au contexte requis pour accéder à l’application ou à la ressource en fonction des règles de segmentation entité-ressource – c’est la pierre angulaire du Zero Trust.

Contrôler le contenu et l’accès

Après avoir vérifié l’identité et le contexte, l’architecture Zero Trust évalue le risque associé à la connexion demandée et inspecte le trafic pour prévenir les cybermenaces et la perte de données sensibles.

4- Évaluer le risque – Des facteurs tels que la posture de l’appareil, les menaces, la destination, le comportement et la politique sont évalués en permanence – par une IA – tout au long de la durée de la connexion pour calculer et garantir que le score de risque reste à jour.

5- Empêcher les compromissions – Pour identifier et bloquer le contenu malveillant et empêcher les compromissions, l’approche Zero Trust décrypte le trafic inline et procède à une inspection approfondie du contenu du trafic entité-ressource à grande échelle.

6- Prévenir la perte de données – Le trafic sortant est décrypté et inspecté pour identifier les données sensibles et empêcher leur exfiltration à l’aide de contrôles inline ou en isolant l’accès dans un environnement contrôlé.

Appliquer la politique

Avant d’arriver à la fin du parcours et d’établir finalement une connexion avec l’application interne ou externe demandée, il faut passer par une dernière étape : l’application de la politique.

7- Appliquer la politique – Sur la base des résultats des éléments précédents, cette étape détermine les mesures à prendre concernant la connexion demandée. Le but final n’est pas une simple décision de type « réussite/échec ». Au contraire, le Zero Trust applique constamment et uniformément la politique pour chaque session, indépendamment de l’emplacement ou du point d’application, pour fournir des contrôles granulaires qui conduisent finalement à une décision de permission conditionnelle ou de blocage conditionnel. Une fois la décision d’autorisation prise, une connexion sécurisée à Internet, à l’application SaaS ou à l’application interne est établie.

Atteindre la destination en toute sécurité

Naviguer vers le Zero trust peut s’avérer une tâche périlleuse. Il s’agit cependant de la seule stratégie capable d’éliminer la surface d’attaque, d’empêcher le déplacement latéral des menaces et de prévenir les cybermenaces et la perte de données, tout en connectant en toute sécurité et tout à la fois : les utilisateurs, les appareils et les charges de travail aux applications, quel que soit le réseau ou le lieu. Il est donc urgent pour toutes les entreprises de se pencher sérieusement sur la question. Vous avez désormais toutes les cartes en mains pour préparer ce voyage !
___________________

Par Ivan Rogissart, directeur avant ventes chez Zscaler