Concerned about recent PAN-OS and other firewall/VPN CVEs? Take advantage of Zscaler’s special offer today
Read more

Blog Zscaler

Recevez les dernières mises à jour du blog de Zscaler dans votre boîte de réception

S'abonner
Produits et solutions

Les six avantages commerciaux de la segmentation Zero Trust

image
NAGRAJ SESHADRI
août 31, 2021 - 6 Min de lecture
architecture Zero trust

Contenu

  1. Article
  2. Autres blogs

D’un point de vue théorique, la mise en œuvre du Zero Trust est tout à fait logique. Les menaces de cybersécurité peuvent provenir de n’importe où, de l’extérieur ou de l’intérieur du réseau, et même se manifester à un endroit et se déplacer vers un autre. L’adoption d’une stratégie Zero Trust (« Ne jamais faire confiance, toujours vérifier ») peut vous aider à réduire les vulnérabilités liées aux applications et aux services, réduisant ainsi les frictions pour le reste de l’organisation. Mais malgré son utilisation répandue dans les cercles de cybersécurité, le terme « Zero Trust » est encore mal compris, en particulier lorsqu’il est appliqué à la segmentation du réseau ou à la microsegmentation, et il incombe aux équipes de sécurité d’expliquer pourquoi la segmentation Zero Trust est judicieuse pour l’entreprise, en particulier si les responsables des unités opérationnelles concernées sont réticents au changement.

Vous trouverez ci-dessous les principaux avantages commerciaux du passage à un modèle de Zero Trust pour la segmentation. En effet, cette transition peut atténuer les craintes d’impacts négatifs potentiels (c’est-à-dire, si vous êtes sur la défensive mais cherchez un moyen plus sûr de sécuriser les données, les applications, les utilisateurs et les hôtes) et servir à obtenir le soutien de collègues professionnels.
 

1. Diminuer les risques en découvrant les ressources et en améliorant la visibilité

L’une des principales lacunes de nombreuses entreprises est d’ignorer la nature exacte des données qu’elles possèdent, leur emplacement et leur déplacement. Après tout, comment pouvez-vous les sécuriser si vous ignorez leur existence  ? Avec la prolifération des appareils mobiles, l’IoT et le déploiement rapide et continu de nouvelles applications et de nouveaux services, les équipes informatiques et de sécurité peinent à obtenir une visibilité complète (en utilisant les outils et techniques traditionnels basés sur l’adresse) sur chaque paquet de données qui traverse le réseau. Avec la segmentation Zero Trust, en revanche, toute application ou tout service qui tente de communiquer est d’abord identifié, puis considéré comme fondamentalement non fiable ; la communication est automatiquement bloquée à moins que l’empreinte digitale d’identité ne soit vérifiée. Ainsi, les équipes de sécurité, d’informatique et de mise en réseau peuvent exploiter le Zero Trust pour comprendre ce qui se trouve déjà sur le réseau et ce qui tente d’y accéder.

De plus, étant donné que les flux de données sont mappés selon une approche de segmentation basée sur le Zero Trust, les équipes chargées de la sécurité et des opérations bénéficient d’une meilleure visibilité sur l’écosystème distribué et les risques associés. Et quel chef d’entreprise n’aime pas entendre parler de réduction des risques ?
 

2.  Bénéficier d’un meilleur contrôle de votre environnement cloud

La perte de visibilité et le manque de contrôle sont les principales et les plus anciennes craintes des professionnels de la sécurité à l’égard du passage au cloud et de son utilisation. Malgré l’évolution de la diligence raisonnable en matière de sécurité des fournisseurs de services cloud (FSC), la sécurité de la charge de travail reste une responsabilité partagée entre le FSC et l’entreprise qui utilise le cloud.  Cela étant dit, une entreprise ne peut pas tout se permettre dans le cloud de quelqu’un d’autre.

La segmentation Zero Trust, en revanche, a été conçue pour tout type de réseau, y compris les clouds publics ou hybrides. Zero Trust restreint la communication en autorisant uniquement les charges de travail vérifiées par leur empreinte d’identité. La segmentation Zero Trust étant centrée sur la charge de travail de l’application (plutôt que sur le périmètre ou les terminaux), les équipes de sécurité disposent d’un plus grand contrôle sur la charge de travail de l’application elle-même. Chaque fois qu’une charge de travail ne répond pas aux critères de reconnaissance des attributs, elle n’est plus autorisée à communiquer, ce qui signifie que les hackers ont beaucoup plus de mal à réaliser des déplacements est-ouest/latéraux… le genre de déplacement qui est si difficile à détecter dans les environnements de réseau traditionnels.
 

3. Réduire le potentiel de violation

Au regard des points évoqués ci-dessus, la segmentation Zero Trust étant axée sur la charge de travail, les équipes de sécurité peuvent plus facilement identifier et stopper les activités malveillantes basées sur les données. Un modèle Zero Trust inspecte en permanence les charges de travail à la recherche de différences par rapport à l’état prévu et empêche celles qui ne sont pas vérifiées de communiquer où que ce soit sur le système : vers et depuis le système de commande et de contrôle, et entre les hôtes, les utilisateurs ou les applications (et toute combinaison de ceux-ci). Toute modification d’une application ou d’un service, qu’elle résulte d’une activité malveillante, d’une mauvaise utilisation ou d’un accident, est automatiquement rejetée jusqu’à ce qu’elle puisse être vérifiée à nouveau par le biais d’un ensemble de politiques et de contrôles (qui peuvent être automatisés ou manuels, en fonction des outils utilisés). En outre, même lorsqu’elle est vérifiée et approuvée, la communication est limitée au « besoin de savoir », en d’autres termes, l’accès est verrouillé et réservé aux seuls utilisateurs, hôtes ou services qui ont fondamentalement besoin d’y accéder.

Cette méfiance inhérente entraîne une diminution du potentiel de violation et donc une diminution du risque, sans parler de la diminution des coûts de nettoyage et de correction (puisqu’il y a moins de violations à gérer).
  

4. Faciliter les initiatives d’audit de conformité

Tous les professionnels de la sécurité savent que conformité et sécurité ne vont pas de pair, mais cela n’élimine pas le fardeau de la conformité. Les auditeurs sont en mesure d’influencer les équipes dirigeantes, ne serait-ce que parce que des audits ratés peuvent engendrer des perturbations et avoir un impact financier. Les équipes de sécurité doivent donc se plier aux impératifs de l’audit.

Les audits, pour leur part, n’ont pas vocation à être une bête noire ; toutefois ceux-ci, et les audits informatiques en particulier, ont pour objectif de mettre en évidence les faiblesses de la technologie. Cela signifie que tout problème lié à l’accès aux données ou aux systèmes qui les gèrent fait l’objet d’un examen minutieux. Tout ce que les équipes de sécurité peuvent faire pour remédier aux faiblesses avant qu’un audit n’ait lieu permet non seulement de faciliter le processus d’audit, mais également de renforcer la protection.

La segmentation Zero Trust apporte aux auditeurs (et aux autres membres de l’entreprise) une vision plus claire des flux de données au sein de l’entreprise qui peuvent ainsi voir comment les charges de travail communiquent (en toute sécurité) à travers le réseau. La segmentation Zero Trust réduit le nombre d’emplacements et de méthodes pouvant être exploités par les communications réseau, ce qui diminue les conclusions négatives des audits et les mesures correctives que devra appliquer l’équipe chargée de la sécurité
 

5. Augmenter la vitesse et l’agilité de l’entreprise

Les entreprises aspirent à fonctionner à une vitesse fulgurante, et les contrôles de sécurité basés sur les adresses et les ports peuvent aller à l’encontre de ces initiatives. Un exemple : chaque fois qu’un port est bloqué ou qu’un hôte est exclu en raison d’une éventuelle intrusion, les employés ne peuvent pas accéder aux données ou aux services nécessaires à l’accomplissement de leur travail. Lorsqu’une violation se produit, elle s’accompagne de multiples perturbations. Si l’équipe de développement décide de déployer une application et que la sécurité dit : « Non, arrêtez. Ce n’est pas sûr », le lancement est interrompu (et les frustrations grandissent).

La capacité à avancer continuellement et à faire preuve de souplesse est un objectif commercial très convoité, et la segmentation Zero Trust le permet parce qu’elle fonctionne de manière transparente en arrière-plan. La protection accompagne la charge de travail plutôt que le « point de contrôle » de la sécurité (c’est-à-dire le périmètre), ce qui signifie que toute communication bloquée ou interdite est isolée et que les interruptions de la vitesse et de l’agilité sont limitées. Avec la segmentation Zero Trust, la sécurité n’est pas limitée par des constructions de réseau statiques qui la ralentissent.
 

6. Atténuer les frictions au sein de l’entreprise

Les logiciels et les applications dominent les affaires, et la création du DevOps a ouvert la voie au développement rapide actuel. L’avènement des conteneurs et d’autres environnements de développement et de préproduction dynamiques et distribués a permis aux équipes DevOps de travailler encore plus efficacement, mais a introduit un plus grand nombre de vulnérabilités que les équipes de sécurité sont quasiment incapables de gérer avec les contrôles traditionnels.

Dans le passé, la sécurité essayait de s’introduire dans le processus DevOps ou de greffer des protections sur des logiciels déjà déployés, mais sans grand succès. Le problème des deux approches est de traduire le « langage » de l’application en « langage » du réseau ; trop d’interventions manuelles sont nécessaires et ralentissent ce qui est censé être un processus accéléré.

La segmentation Zero Trust élimine ces problèmes en enveloppant efficacement les applications dans une protection. Au fur et à mesure de leur déploiement, les applications se voient attribuer une empreinte d’identité. Si cette empreinte reste identique ou correspond à celle d’une application déjà vérifiée, elle est autorisée à communiquer librement. Les modifications ou les mises à jour de l’application ne changent pas nécessairement l’empreinte, de la même manière que de nouveaux vêtements ou la visite d’une nouvelle ville ne modifient pas l’identité d’une personne, ce qui signifie que les DevOps peuvent poursuivre leurs activités comme à l’accoutumée sans avoir à s’inquiéter d’être perturbés par la sécurité. Dans la mesure où les logiciels et les services créent des opportunités commerciales, toute approche de sécurité (telle que le Zero Trust) qui apaise les tensions et s’aligne sur les priorités de l’entreprise, tout en introduisant une meilleure protection, est une victoire.

Ressources supplémentaires:

Blog : Différence entre la microsegmentation et la segmentation du réseau

Fiche technique (PDF) : Zscaler Cloud Protection en un clin d’œil

form submtited
Merci d'avoir lu l'article

Cet article a-t-il été utile ?

vote yes
Oui, très utile !
vote no
Pas vraiment

Découvrez d'autres blogs Zscaler

Une expérience client exceptionnelle commence à domicile
Une expérience client exceptionnelle commence à domicile
Lire le blog
The Power of Zscaler Intelligence: Generative AI and Holistic View of Risk
The Power of Zscaler Intelligence: Generative AI and Holistic View of Risk
Lire le blog
Take Cloud Native Security to the Next Level with Integrated DLP and Threat Intel
Take Cloud Native Security to the Next Level with Integrated DLP and Threat Intel
Lire le blog
Cloud Compliance
The Impact of Public Cloud Across Your Organization
Lire le blog
01 / 02
dots pattern

Recevez les dernières mises à jour du blog de Zscaler dans votre boîte de réception

En envoyant le formulaire, vous acceptez notre politique de confidentialité.