Cet article est le quatrième d’une série examinant la manière dont Zscaler soutient la transition vers le Zero Trust tel que défini par la CISA.
Le cadre Maturity Model Zero Trust de la Cybersecurity and Infrastructure Security Agency (CISA) du ministère de la Sécurité intérieure (DHS) définit un appareil comme « tout actif matériel pouvant se connecter à un réseau, y compris les dispositifs de l’Internet des objets (IoT), les téléphones mobiles, les ordinateurs portables, les serveurs, etc. ». Dans un environnement de sécurité traditionnel, l’appareil n’est pas toujours pris en compte lors de l’octroi de l’accès, l’identité étant le principal déterminant des ressources auxquelles un utilisateur peut accéder. Lorsqu’un appareil est concerné, il s’agit généralement d’un blocage général : aucun dispositif n’appartenant pas à l’agence n’est autorisé à accéder à quoi que ce soit. Cette configuration complique la capacité des utilisateurs à apporter leur propre appareil (BYOD) et exige des vérifications rigoureuses des appareils personnels avant qu’ils ne puissent être utilisés dans le cadre du travail de l’agence. Elle alourdit également la charge du service informatique qui doit inventorier et sécuriser tous ces appareils, qu’ils appartiennent ou non à l’agence.
Une architecture Zero Trust fait passer l’accès aux données d’un modèle qui ne tient pas compte de l’appareil accédant aux données à l’utilisation d’analyses de risques en temps réel pour accorder l’accès à chaque demande de connexion. La sécurisation de chaque appareil et terminal constitue un élément fondamental du Zero Trust, mais cela demande d’examiner le concept de « sécurisation » sous un angle légèrement différent. Dans un modèle Zero Trust, la sécurisation d’un appareil ne consiste pas en une vérification ponctuelle et le téléchargement de logiciels. Il s’agit plutôt d’un examen constant de l’appareil et de son activité.
Même si l’appareil est associé à un utilisateur de confiance, il pourrait contenir du code malveillant, à l’insu de cet utilisateur, et provoquer un incident. L’utilisateur et l’appareil doivent être surveillés en permanence afin de déceler tout comportement anormal, notamment l’établissement de connexions qui n’ont jamais été établies auparavant, l’ouverture ou la fermeture de certaines applications. Pour ce faire, les agences doivent établir et appliquer une base de protection de sécurité des appareils et disposer d’une visibilité sur les appareils eux-mêmes pour garantir leur conformité. En se concentrant sur le terminal, la conformité et l’intégrité de l’appareil deviennent le moteur des décisions de contrôle d’accès.
Zscaler effectue aujourd’hui plusieurs contrôles de validation des appareils et s’intègre de manière homogène aux solutions de détection et de réponse aux menaces sur les terminaux (EDR) et aux plateformes de gestion des appareils pour évaluer les risques liés aux appareils.
Créer une empreinte de l’appareil
Afin qu’un appareil puisse obtenir un accès via Zscaler, nous collectons une « empreinte » de cet appareil lors de l’inscription. Il peut s’agir d’informations matérielles telles que le numéro de série d’une batterie ou d’un disque dur. Cette étape permet de s’assurer qu’un appareil n’a pas pu être cloné. Cette empreinte est un élément essentiel de l’étape d’authentification de l’appareil dans le modèle CISA, qui va au-delà des certificats et confirme l’appareil lui-même.
Criticité du cloud
Pour exploiter la granularité requise par Zero Trust, une solution basée sur le cloud est la seule méthode réaliste de sécurisation des appareils. Les appareils peuvent être amenés à voyager partout dans le monde et une solution sur site ne peut pas les suivre pour effectuer les contrôles continus nécessaires pour s’assurer de la cohérence de la base de référence. Le paysage des menaces étant en constante évolution, les mises à jour logicielles doivent être transmises rapidement aux appareils qui doivent faire l’objet d’une surveillance constante. Lorsqu’un utilisateur de Zscaler se connecte, nous validons non seulement l’appareil, mais aussi le logiciel Zscaler utilisé pour nous assurer qu’il utilise bien la version la plus récente. Les mises à jour sont immédiatement envoyées et appliquées avant que l’utilisateur puisse se connecter.
Conformité permanente
L’une des principales différences entre la sécurité traditionnelle et Zero Trust est la surveillance continue. Dans un environnement Zero Trust, l’agence surveille et valide en permanence la sécurité et la posture de l’appareil. Cela inclut le comportement des utilisateurs. En s’appuyant sur des partenaires tels que Crowdstrike et Forescout, Zscaler surveille le comportement des utilisateurs et des appareils afin de garantir une conformité permanente avec les lignes de base et la politique de l’agence. Les informations que collecte Zscaler sont continuellement transmises aux solutions EDR, SIEM et SOAR pour toute action nécessaire visant à verrouiller les appareils et bloquer les utilisateurs dont le comportement n’est pas conforme à la politique ou à la ligne de base.
Lier l’accès à l’appareil et à l’utilisateur crée une confiance beaucoup plus forte dans le fait que la bonne personne a accès à la bonne information de la manière appropriée. La solution de Zscaler garantit que les appareils peuvent être continuellement contrôlés à chaque connexion et rester sous surveillance tout en accédant aux données, ce qui permet à un ZTA d’appliquer des scores de risque à la manière dont l’accès est accordé, et au moment où il l’est, sur la base de données en temps réel relatives aux menaces et à la situation.
