Que vous soyez nouveau dans l’univers de la cybersécurité et que vous essayiez de comprendre les dernières tendances ou que vous ayez une longue expérience dans ce domaine, vous avez certainement rencontré le terme « Zero Trust », mais vous êtes peut-être dérouté par l’usage intensif de ce terme, semblable à d’autres mots à la mode en matière de sécurité, tels que ransomware, spoofing et autres, qui sont couramment utilisés depuis des années.
Zero Trust est le dernier mot à la mode dans l’industrie de la sécurité, et chaque entreprise spécialiste du secteur semble revendiquer la solution Zero Trust la plus complète. Au milieu de tout ce battage, il peut être difficile de distinguer la réalité de la fiction. Qu’est-ce que Zero Trust, pourquoi est-ce important et comment le mettre en œuvre ? Un article de Gartner, publié au début de l’année, décrit les projets pratiques que les entreprises devraient privilégier pour mettre en œuvre une véritable architecture Zero Trust. Je souhaite dans ce blog apporter une meilleure compréhension de la notion de Zero Trust et de la manière de la déployer dans une entreprise conformément aux recommandations de Gartner.
Une grande confusion règne à propos de ce qu’est réellement Zero Trust : la plupart y voient un produit, une solution ou une plateforme, mais ce n’est rien de tout cela. Zero Trust est un état d’esprit en matière de sécurité, basé sur le principe « ne jamais faire confiance, toujours vérifier » et l’accès sur la base du moindre privilège, qui suppose qu’aucun utilisateur ou application ne devrait être intrinsèquement considéré comme fiable. La sécurité Zero Trust part du principe que les risques de sécurité sont présents tant à l’intérieur qu’à l’extérieur du réseau. Rien à l’intérieur du réseau n’est digne de confiance par défaut, d’où le nom de « Zero Trust » (zéro confiance).
Zero Trust constitue une évolution par rapport aux architectures de sécurité réseau traditionnelles qui s’appuyaient sur des pare-feu et des VPN et reposaient sur le principe de sécurité « vérifier, puis faire confiance », qui fait confiance par défaut aux utilisateurs vérifiés à l’intérieur du réseau. Zero Trust établit la confiance uniquement sur la base de l’identité de l’utilisateur et du contexte, comme l’emplacement de l’utilisateur, la position de sécurité de l’appareil et l’application ou le service demandé, la politique agissant comme un gardien à chaque étape du processus.
Par analogie, imaginez Zero Trust comme une bonne condition physique. Une bonne condition physique est un objectif conceptuel assorti de certains repères. Elle varie selon les individus et les objectifs personnels, et peut être acquise par des activités telles que la marche, la course à pied, le cyclisme, l’haltérophilie, la danse, et autres, le but final étant d’être en bonne forme physique. De la même manière, Zero Trust est également un principe conceptuel global de sécurité qui peut être atteint en combinant des solutions telles que ZTNA, la segmentation de la charge de travail, la protection des données, l’isolation du navigateur, etc. avec pour objectif final de totalement sécuriser les utilisateurs et les applications.
Selon Gartner, la plupart des entreprises en sont encore à la phase de planification ou de stratégie de la mise en œuvre de Zero Trust. L'entreprise de conseil suggère que les entreprises doivent mettre en place deux actions essentielles pour mettre en œuvre leur stratégie Zero Trust :
- Un accès réseau front-end axé sur la segmentation utilisateur vers application, également appelé Zero Trust Network Access ou ZTNA.
- Un accès réseau back-end axé sur la segmentation charge de travail à charge de travail.
ZTNA pour la segmentation utilisateur vers application
ZTNA prend en charge une architecture Zero Trust grâce à un modèle de confiance adaptatif, selon lequel la confiance n’est jamais implicite et l’accès est accordé selon le principe du « besoin de savoir », sur la base du moindre privilège défini par des politiques granulaires. ZTNA connecte en toute sécurité les utilisateurs à des applications privées sans jamais les placer sur le réseau ni les exposer à l’internet. Cette dissociation protège votre réseau des risques tels que les attaques provenant d’appareils infectés, et ne permet qu’aux utilisateurs autorisés d’accéder aux applications. Gartner suggère aux entreprises de commencer par un produit ZTNA pilote et de tester les applications avec celui-ci pour s’assurer que tous les éléments — utilisateurs, appareils (gérés et non gérés) et applications (nouvelles et traditionnelles) — fonctionnent comme souhaité.
Segmentation basée sur l’identité
Gartner affirme que la segmentation de charge de travail à charge de travail réduit la confiance implicite excessive en permettant aux entreprises de faire passer les charges de travail individuelles à un modèle par défaut de refus de communication, plutôt qu’à un modèle d’autorisation implicite. Pour définir une stratégie basée sur l’identité, Gartner recommande d’aborder les charges de travail hétérogènes dans des environnements sur site, hybrides, virtuels et en conteneurs.
Une fois que les entreprises ont mis en œuvre le ZTNA et la segmentation basée sur l’identité, elles peuvent passer à d’autres actions de sécurité pour étendre la solution Zero Trust à l’ensemble de leur infrastructure technologique.
Simplifier et accélérer votre parcours Zero Trust
Zscaler Zero Trust Exchange, conçu sur le plus grand cloud sécurisé de la planète, fournit l’architecture Zero Trust permettant d’accélérer en toute sécurité la transformation des entreprises. Grâce à ses 150 data centers répartis à travers le monde, ZTE garantit à vos utilisateurs un service de proximité, situé au même endroit que les fournisseurs de cloud et que les applications auxquelles ils accèdent. Pour prolonger l’analogie entre Zero Trust et la forme physique, Zero Trust Exchange serait la salle de sport la plus sophistiquée, dotée de tous les équipements nécessaires pour atteindre une forme physique optimale, ou Zero Trust selon notre métaphore. Zero Trust Exchange fournit un accès distant assorti d’une protection contre les cybermenaces, d’une protection des données, d’un accès Internet sécurisé, d’un accès aux applications B2B, d’une segmentation du réseau, de scores de performance et de nombreuses autres fonctionnalités essentielles à la mise en œuvre de Zero Trust.
Lire l’article : What Are Practical Projects for Implementing Zero Trust? (Quels sont les projets pratiques pour la mise en œuvre du Zero trust ?)