Zscaler Cloud Platform

Tout remettre en question, ne rien croire

Ce que les conseils d’administration doivent savoir sur Zero Trust

Security

Les modèles de sécurité traditionnels des entreprises reposent sur la confiance. Si un utilisateur est jugé fiable, il a accès au réseau de l’entreprise et à tout ce qui s’y rattache. Dans ce modèle de cloisonnement, la sécurité matérielle protège l’intégralité du réseau autonome de l’entreprise, dont l’accès est géré par des passerelles matérielles. 

Mais le modèle de sécurité cloisonnée a été conçu il y a un demi-siècle pour sécuriser le travail effectué sur site, à l’intérieur d’un immeuble de bureaux sécurisé. Aujourd’hui, les employés travaillent en dehors des bureaux de l’entreprise, sur Internet ou dans le cloud, et même à domicile. En outre, les défis en matière de sécurité sont plus nombreux que jamais, ce qui signifie que des piles de matériel plus coûteuses sont logées à portée des utilisateurs. 

Les récentes cyberattaques, comme celle dont a été victime la société de transformation de viande JBS, mettent en évidence les failles du modèle de cloisonnement : la sécurité est aussi forte que son point le plus faible (par exemple, la vulnérabilité des employés aux e-mails de hameçonnage), et une fois que la sécurité du réseau est violée, chaque système connecté au réseau est mis en danger. La plus grande limite de ce modèle est peut-être son manque de sensibilisation à la sécurité. Les responsables des technologies de l’information (TI) qui s’appuient sur les modèles de sécurité traditionnels n’ont souvent aucun moyen de mesurer le niveau de sécurité de leurs environnements. En réalité, la plupart d’entre eux ne savent pas que leur société a été piratée avant d’en prendre conscience (comme des données rançonnées) à la suite d’une attaque. 

Zero trust constitue une solution plus efficace pour préserver la cybersécurité des entreprises. Le concept de zero trust est un cadre permettant de protéger les données de l’entreprise, d’appliquer des contrôles d’accès au moindre privilège et de dissocier efficacement la sécurité du réseau de l’entreprise. 

Zero Trust en théorie 

En 2010, les analystes de sécurité de Forrester ont présenté une nouvelle approche de la cybersécurité, qui sortait du domaine des contrôles du périmètre du réseau pour l’appliquer à toutes les données en mouvement. Zero trust postule que tout trafic de données provenant de n’importe qui, vers n’importe quel endroit, par n’importe quelle route, est potentiellement hostile et remet en question la légitimité des données à chaque étape du parcours. 

Zero trust se caractérise en outre par quatre principes clés : 

  1. Chaque niveau d’authentification exige un accès basé sur le principe du moindre privilège pour tout le monde et pour tout, partout : aucune confiance implicite n’est jamais accordée aux utilisateurs, aux dispositifs ou aux charges de travail. 
  2. Qu’il s’agisse de relier un utilisateur à une application, une application à une autre ou une charge de travail à une autre, la connectivité est directe et éphémère, reposant sur une micro-segmentation au niveau de l’application sans segmentation du réseau. 
  3. Les applications, les utilisateurs et les systèmes d’entreprise demeurent cachés de l’Internet ouvert. 
  4. Internet est le nouveau réseau d'entreprise. 

Zero trust est une proposition attrayante en matière de sécurité. Si les hackers exploitent la confiance, de leur côté les responsables de la sécurité minimisent cette dernière pour réduire le risque de cyberattaque. Mais quand le concept de zero trust a été introduit en 2010, il s’est révélé trop avant-gardiste et son adoption commerciale a été laborieuse. Les architectures de sécurité traditionnelles ne pouvaient pas facilement évoluer—ou être remaniées—pour s’adapter à un modèle de sécurité dynamique qui suit les données. 

Zero Trust dans le monde réel 

Dix ans après son introduction, zero trust est de plus en plus utilisé et préconisé comme un moyen de sécuriser le nouveau mode de travail basé sur le cloud, indépendant des dispositifs et accessible à distance. L’utilisation de zero trust dans un environnement d’entreprise oblige les dirigeants à repenser les connexions réseau. 

Avec zero trust, les connexions individuelles sont isolées, éphémères et directes, supplantant la notion traditionnelle d’un réseau d’entreprise "toujours actif, toujours ouvert". La sécurité est appliquée via un proxy et adaptée spécifiquement à chaque instance de connectivité. Le proxy — un système basé sur le cloud, répliqué idéalement près de l’emplacement de chaque utilisateur — inspecte, évalue et sécurise chaque paquet de données utilisateur entrant ou sortant, protégeant ainsi efficacement l’utilisateur final des attaques et empêchant son exposition aux acteurs de la menace. 

En août 2020, après une consultation prolongée d’un consortium d’experts du secteur de la cybersécurité, le National Institute of Standards and Technology (NIST) des États-Unis a publié ses lignes directrices pour une architecture zero trust (ZTA). La norme du NIST met l’accent sur deux exigences pour une ZTA moderne : la sécurité doit être basée sur une politique et la sécurité doit être assurée via un proxy. 

À titre d’exemple, un utilisateur se connecte à distance et se rend directement sur un proxy proche basé sur le cloud qui authentifie l’utilisateur sur la base de la politique commerciale définie par la direction de l’entreprise. De là, l’utilisateur se connecte directement aux ressources autorisées — et uniquement aux ressources autorisées. 

Dans le modèle ZTA défini par le NIST, aucune confiance n’est associée à cette procédure car, techniquement, aucun accès au réseau n’est accordé : les utilisateurs se connectent uniquement à des ressources de destination spécifiques et individuelles, telles qu’un site web ou une application d’entreprise. Les données entrant chez l’utilisateur individuel sont également mises à l’épreuve, avec une sécurité évolutive fournie à ce service edge cloud basé sur un proxy. Rien de mauvais n’entre et rien de mauvais ne sort. 

 

Exposition réduite, rayon de diffusion limité et surveillance complète 

Dans un environnement ZTA, Internet agit comme l’équivalent d’un réseau de base. Les données, protégées par une politique de sécurité basée sur un proxy, sont acheminées directement vers leur destination, y compris les data centers d’entreprise ou les ressources privées hébergées dans le cloud, via des échanges Internet, ce qui évite à l’entreprise la contrainte de posséder et de gérer une infrastructure réseau physique. 

Les acteurs d’une menace s’en prennent à ce qu’ils peuvent voir. Un modèle ZTA masque chaque dispositif, système, utilisateur, application et charge de travail derrière cette sécurité évolutive, en bordure de cloud, fournie par un proxy. Et cela a de quoi décourager les hackers. 

En outre, le réseau étant supplanté de manière efficace, les dommages potentiels sont minimisés. Si un hacker franchit d’une manière ou d’une autre la protection zero trust, cet acteur de la menace (ou le programme malveillant 'malware' de l’acteur) ne peut pas se déplacer latéralement vers d’autres systèmes au sein d’une entreprise. Comparez cela aux récentes attaques par ransomware, dans lesquelles les cybercriminels qui franchissent un périmètre peuvent se déplacer d’un système à l’autre au sein du réseau d’entreprise et faire main basse sur les données en toute impunité. 

L’avantage le plus convaincant de zero trust en matière de sécurité réside peut-être dans le contrôle qu’il procure, notamment en matière de surveillance. Dans un environnement ZTA, les ressources peuvent être invisibles pour le monde extérieur, mais le trafic de données est entièrement visible pour la direction. Cela permet aux responsables informatiques d’auditer l’accès au cloud et à Internet et de gérer les activités informatiques traditionnellement malveillantes, telles que le développement non autorisé par des tiers ou le travail non contrôlé en dehors du périmètre. 

 

Ce que les conseils d’administration peuvent demander à la direction 

Le risque cybernétique constitue un risque commercial, et la gestion de la cybersécurité est un impératif pour les dirigeants. Les membres du conseil d’administration ont la possibilité de guider leurs entreprises vers un présent et un avenir cyber-sécurisés, en commençant par aborder les questions suivantes avec la direction : 

  • Qui, dans l’entreprise, est responsable de la cybersécurité, y compris de sa quantification, de son fonctionnement et de sa planification ? 
  • Quelle est l’exposition de l’entreprise aux risques ? 
  • Comment l’entreprise mesure-t-elle la posture de menace ? 
  • Où en est l’entreprise dans son évolution vers une ZTA conforme au NIST ? 

Compte tenu de l’augmentation de la fréquence, du risque et de la gravité potentielle des cybermenaces mondiales, l’adoption de zero trust ne peut plus être une question de quand, mais plutôt de "Pourquoi pas encore ?" 

Kavitha Mariappan est vice-présidente exécutive chargée de l’expérience client et de la transformation chez Zscaler, une société de cybersécurité basée sur le cloud. 

 

NACD : outils et ressources pour vous guider dans une époque imprévisible. 

 

 

Restez au courant des dernières astuces et informations concernant la transformation digitale.

En envoyant le formulaire, vous acceptez notre politique de confidentialité.