Ce n’est une découverte pour personne : notre environnement professionnel a connu une transformation massive ces dernières décennies. Désormais, nous travaillons à partir de terminaux multiples, en connexion illimitée, et tout cela complexifie la gestion de la sécurité pour l’entreprise.

De plus en plus, les employés accèdent à leurs données, applications et serveurs professionnels dans le cloud, via des réseaux publics ou privés, et souvent depuis leur domicile. Ceci montre à quel point les données professionnelles sensibles, tout comme l’activité professionnelle, ne sont plus confinées au périmètre de l’entreprise.

Cette nouvelle flexibilité est à l’origine de défis sans précédent en ce qui concerne le contrôle et la gestion des accès aux données et aux applications. Les entreprises qui autorisent l’utilisation de terminaux personnels et offrent ainsi une flexibilité au travail sont désormais dans l’obligation de revoir le périmètre de leurs réseaux et leurs politiques de sécurité.

En effet, elles ne peuvent plus se permettre de prévoir que leurs utilisateurs accéderont à leur réseau uniquement de l’intérieur de leurs locaux, protégé par leur pare-feu. À une époque où les salariés travaillent de plus en plus en dehors de l’enceinte sécurisée du réseau de l’entreprise, faire reposer ses pratiques de gestion des accès et de sécurité uniquement sur la base d’un périmètre physique est non seulement obsolète, mais peut aussi se révéler très dangereux.

L’approche Zero Trust

Pour les équipes informatiques, gérer les accès des salariés en fonction de leurs besoins peut être un véritable casse-tête. Les architectes de sécurité doivent donc créer de nouveaux réseaux de confiance basés sur l’identité et l’authentification pour limiter les risques.

C’est ainsi qu’a émergé l’approche « Zero Trust », en réaction aux nouveaux comportements numériques. Une composante centrale du Zero Trust repose sur le fait que toute personne et que tout appareil qui accède aux données ou qui les traite est considéré, par défaut, comme non fiable. L’accès aux ressources de l’entreprise est donc restreint jusqu’à ce que l’utilisateur ait prouvé qu’il est bien celui qu’il prétend être. Cette identification peut être basée sur différents facteurs, un mot de passe tout comme une clé physique YubiKey, ou encore une authentification contextuelle, reposant par exemple sur des habitudes de connexion. L’authentification contextuelle et continue est également recommandée pour assurer une surveillance des modifications de ces informations.

Trois étapes sont nécessaires pour réussir la mise en place d’une stratégie « Zero Trust » :

  1. Unifier les identités

La première étape, et la plus importante, consiste à consolider les identités des utilisateurs et l’ensemble des dispositifs dans le cloud grâce à une plateforme de gestion des identités et des accès (IAM). Cela passe par la mise en place de l’authentification unique (SSO) pour l’ensemble des utilisateurs, qu’il s’agisse de clients ou de l’entreprise étendue (collaborateurs, prestataires, partenaires, etc). L’utilisation d’un deuxième facteur en plus de l’authentification unique ajoutera une couche de protection supplémentaire pour maîtriser les attaques ciblant les identifiants.

  1. Accorder les accès en fonction du contexte

La deuxième étape de la mise en œuvre de l’approche Zero Trust est l’application de politiques d’accès contextuelles. Cela implique d’analyser le contexte de l’utilisateur, de l’application, du périphérique, ainsi que la géolocalisation et le réseau, et de mettre en œuvre des stratégies tenant compte de ces informations.

Dans un monde mobile où le cloud est omniprésent, et où les gens accèdent aux ressources et aux données à partir de différents appareils, à des moments et depuis des lieux différents, cette étape est essentielle pour gérer l’accès en fonction du contexte. Par exemple, si un utilisateur connu tente de s’authentifier depuis son ordinateur portable professionnel habituel, mais depuis l’étranger et sur un réseau Wi-Fi public, la politique Zero Trust pourra élever automatiquement le niveau d’authentification requis (par exemple en exigeant à la fois un mot de passe et un deuxième facteur).

Cette approche contextuelle s’avère très utile lorsque l’on fait face à des appareils perdus ou volés, par exemple. Ainsi, grâce à des processus d’authentification basés sur une multitude de facteurs, les organisations peuvent limiter le risque que des données sensibles tombent entre les mains de personnes non autorisées via des smartphones perdus ou volés.

  1. Authentifier en continu

Lors de l’étape finale de la mise en œuvre d’une politique Zero Trust, l’identité est continuellement vérifiée, au moyen d’évaluations adaptatives basées sur les risques, afin d’identifier les menaces potentielles tout au long de l’activité de l’utilisateur. Cela implique l’application de mécanismes intelligents pour créer un score de risque et une mesure de tolérance qui s’appuient sur l’information contextuelle reçue. Avec cette approche, la confiance n’est plus absolue : elle est évaluée en permanence par rapport à l’ensemble des variables.

La mise en œuvre d’une stratégie Zero Trust, qui établit l’identité comme nouveau périmètre, permet non seulement de sécuriser les ressources de l’entreprise en s’assurant que seuls les utilisateurs vérifiés sont autorisés à y accéder, mais aussi d’aider les entreprises à conserver la mobilité et la flexibilité que les travailleurs d’aujourd’hui attendent. Avec les bons protocoles d’authentification implémentés, les employés pourront travailler sur n’importe quel appareil, depuis le lieu de leur choix, facilement et en toute sécurité.

_____________
Nicolas Petroussenko est Regional VP Sales SEMEA, Okta