Live Global Events: Secure, Simplify, and Transform Your Business.

See Agenda and Locations

Qu’est-ce que le Zero Trust ?

Zero Trust est un cadre destiné à sécuriser les entreprises dans un monde mobile et cloud, qui stipule qu’aucun utilisateur ou application ne doit être considéré comme fiable par défaut. Suivant un principe fondamental de Zero Trust, l’accès basé sur le moindre privilège, la confiance est établie sur la base du contexte (par exemple, l’identité et l’emplacement de l’utilisateur, la posture de sécurité du terminal, l’application ou le service demandé) avec des contrôles de politique à chaque étape.

7 éléments de l’architecture Zero trust
Regarder

Présentation de l’architecture Zero Trust

Zero Trust est une stratégie de cybersécurité dans le cadre de laquelle la politique de sécurité est appliquée en fonction du contexte établi par des contrôles des accès basés sur le moindre privilège et une authentification stricte de l’utilisateur, et non sur la base d’une confiance implicite. Une architecture Zero Trust bien ajustée permet de simplifier l’infrastructure réseau, d’améliorer l’expérience des utilisateurs et de renforcer la défense contre les cybermenaces.

Une architecture Zero Trust obéit à la maxime « ne jamais faire confiance, toujours vérifier ». Ce principe directeur est en vigueur depuis que John Kindervag, qui travaillait à cette époque chez Forrester Research, a inventé ce terme. Une architecture Zero Trust applique des politiques d’accès basées sur le contexte, notamment le rôle et l’emplacement de l’utilisateur, son appareil et les données qu’il demande, afin de bloquer tout accès inapproprié et tout déplacement latéral au sein d’un environnement.

La mise en place d’une architecture Zero Trust exige une bonne visibilité et un contrôle des utilisateurs de l’environnement et du trafic, y compris celui qui est chiffré, la surveillance et la vérification du trafic entre les différentes parties de l’environnement, ainsi que des méthodes d’authentification multifacteur (MFA) robustes, plus puissantes que les simples mots de passe, telles que la biométrie ou les codes à usage unique.

Dans une architecture Zero Trust, l’emplacement du réseau d’une ressource ne constitue plus le principal facteur de sécurité. Au lieu d’une segmentation rigide du réseau, vos données, flux de travail, services et autres sont protégés par une microsegmentation définie par logiciel, ce qui vous permet de les sécuriser en tout lieu, que ce soit dans votre data center ou dans des environnements hybrides et multicloud distribués.

Comment mettre en œuvre le Zero Trust

La mise en œuvre du Zero trust consiste à mettre en place une transformation sécurisée.De nombreuses entreprises savent désormais pourquoi elles doivent adopter une architecture Zero trust, mais beaucoup ne savent toujours pas par où commencer, et chaque fournisseur de sécurité semble avoir sa propre définition de la sécurité Zero trust.Un véritable modèle Zero trust ne se concrétise pas en un instant.Il s’agit d’un cheminement qui commence par la responsabilisation et la sécurisation de votre personnel.

Pour en savoir plus, consultez notre article dédié : Comment mettre en œuvre le Zero trust ?

Supprimer l’emplacement du réseau comme position privilégiée élimine la confiance implicite excessive, pour la remplacer par une confiance explicite basée sur l’identité.

Gartner, Guide du marché pour Zero Trust Network Access, juin 2020

Comment fonctionne la sécurité Zero Trust ?

En tant que concept de base, le Zero Trust suppose que chaque composant ou connexion est hostile par défaut, s’écartant des modèles antérieurs basés sur des périmètres de réseau sécurisés. Ce manque de confiance est défini d’un point technologique par les éléments suivants :

  • Architecture sous-jacente : les modèles traditionnels utilisaient des adresses IP, des ports et des protocoles approuvés pour les contrôles d’accès, ainsi qu’un VPN d’accès à distance pour la validation de la confiance.
  • Approche inline : tout le trafic est considéré comme potentiellement hostile, même à l’intérieur du périmètre du réseau. Le trafic est bloqué jusqu’à ce qu’il soit validé par des attributs spécifiques tels qu’une empreinte digitale ou une identité.
  • Politiques contextuelles : cette approche de sécurité renforcée s’applique à la charge de travail, quel que soit l’endroit où elle communique : qu’il s’agisse d’un cloud public, d’un environnement hybride, d’un conteneur ou d’une architecture réseau sur site.
  • Authentification multifacteur : la validation est basée sur l’utilisateur, l’identité, l’appareil et l’emplacement.
  • Sécurité indépendante de l’environnement : la protection s’applique quel que soit l’environnement de communication, favorisant les communications inter-réseaux sécurisées sans nécessiter de modifications architecturales ou de mises à jour de politiques.
  • Connectivité orientée entreprise : un modèle Zero Trust utilise des politiques d’entreprise pour connecter les utilisateurs, les appareils et les applications en toute sécurité sur n’importe quel réseau, facilitant ainsi une transformation digitale sécurisée.

Le terme Zero Trust est utilisé à tort comme un terme de marketing. Les fournisseurs galvaudent le terme « Zero Trust » pour promouvoir tout ce qui à trait à la sécurité, ce qui crée une confusion marketing importante.

Gartner, 2019

Principes fondamentaux du modèle Zero Trust

Zero Trust ne se résume pas à l’identité de l’utilisateur, la segmentation ou l’accès sécurisé. Il s’agit d’une stratégie sur laquelle est fondé un écosystème de cybersécurité. Elle repose sur trois principes fondamentaux :

  1. Interrompre toute connexion : les technologies, telles que les pare-feu, utilisent une approche « passthrough » qui inspecte les fichiers au fur et à mesure qu’ils sont transmis. Si un fichier malveillant est détecté, les alertes arrivent souvent trop tard. Une solution Zero Trust efficace met fin à chaque connexion pour permettre à une architecture proxy inline d’inspecter tout le trafic, y compris le trafic chiffré, en temps réel et avant qu’il n’atteigne sa destination, afin de prévenir les ransomwares, les malwares, et autres.
  2. Protéger les données à l’aide de politiques contextuelles granulaires : les politiques Zero Trust vérifient les demandes et les droits d’accès en fonction du contexte, notamment l’identité de l’utilisateur, l’appareil, l’emplacement, le type de contenu et l’application demandée. Les politiques sont adaptatives, de sorte que les privilèges d’accès des utilisateurs sont continuellement réévalués à mesure que le contexte change.
  3. Réduire les risques en éliminant la surface d’attaque : avec une approche Zero Trust, les utilisateurs se connectent directement aux applications et aux ressources dont ils ont besoin, jamais aux réseaux (voir ZTNA). Les connexions directes d’utilisateur à application et d’application à application éliminent le risque de déplacement latéral et empêchent les appareils compromis d’infecter d’autres ressources. De plus, les utilisateurs et les applications sont invisibles sur Internet ; ils ne peuvent donc pas être découverts ni attaqués.

Avantages du choix d’une architecture Zero Trust

Les environnements cloud modernes constituent des cibles attrayantes pour les cybercriminels qui cherchent à dérober, détruire ou demander une rançon pour les données critiques et sensibles des entreprises, telles que les données à caractère personnel, la propriété intellectuelle (PI) et les données financières. 

Bien qu’aucune stratégie de sécurité ne soit parfaite, le Zero trust figure parmi les stratégies les plus efficaces à l’heure actuelle, car elle :

  • Réduit la surface d’attaque et le risque de violation de données
  • Fournit un contrôle d’accès granulaire sur les environnements cloud et de conteneurs
  • Atténue l’impact et la gravité des attaques, en réduisant le temps et le coût de la remise en état
  • Soutient les initiatives de conformité

Un modèle de sécurité Zero trust constitue le moyen le plus efficace au monde d’assurer la sécurité du cloud.Compte tenu de la prolifération des clouds, des terminaux et des données dans les environnements informatiques modernes, il est essentiel de ne faire confiance à aucune connexion sans procéder à une vérification appropriée.De plus, l’augmentation de la visibilité facilitera grandement la vie des services informatiques et de sécurité, de l’administrateur au RSSI.

Zones de défense Zero trust

Appliqué à l’ensemble de votre écosystème informatique, le Zero trust peut garantir une protection granulaire de vos :

  • Applications
  • Données
  • Terminaux
  • Identités
  • Infrastructure
  • Réseau

Cas d’utilisation de Zero Trust

1. Réduire les risques économiques et organisationnels

Les solutions Zero Trust empêchent toutes les applications et tous les services de communiquer jusqu’à ce qu’ils soient vérifiés en fonction de leurs attributs d’identité, des propriétés immuables qui répondent à des principes de confiance prédéfinis, tels que les exigences d’authentification et d’autorisation.

Le modèle Zero Trust réduit donc les risques car il permet de savoir ce qui se trouve sur le réseau et comment communiquent ces ressources. Une fois les bases établies, une stratégie Zero Trust réduit encore les risques en éliminant les logiciels et services surdimensionnés et en vérifiant en permanence les informations d’identification de chaque ressource qui communique.

2. Bénéficier d’un contrôle d’accès aux environnements cloud et de conteneurs

La gestion des accès et la perte de visibilité sont les plus grandes craintes des professionnels de la sécurité vis-à-vis du passage au cloud. Malgré les améliorations de la sécurité des fournisseurs de services cloud (FSC), la sécurité des charges de travail reste une responsabilité partagée entre votre entreprise et le FSC. Cela étant dit, vous ne pouvez pas tout vous permettre dans le cloud des FSC.

Avec une architecture de sécurité Zero Trust, les politiques de sécurité sont appliquées en fonction de l’identité des charges de travail communicantes et sont directement liées aux charges de travail elles-mêmes. Ainsi, la sécurité reste aussi proche que possible des ressources à protéger sans être affectée par les structures de réseau telles que les adresses IP, les ports et les protocoles. La protection se déplace avec la charge de travail et reste constante même si l’environnement change.

3. Réduire le risque de violation des données

Selon le principe du moindre privilège, chaque entité est supposée être hostile. Chaque demande est inspectée, les utilisateurs et les appareils sont authentifiés et les autorisations sont évaluées avant que la « confiance » ne soit accordée. Cette « confiance » est ensuite continuellement réévaluée lorsque le contexte change, comme l’emplacement de l’utilisateur ou les données auxquelles il accède.

Même si un appareil compromis ou une quelconque autre vulnérabilité ouvre l’accès à un réseau ou à une instance cloud, un hacker non autorisé ne peut pas accéder à des données ni les voler.En outre, le modèle Zero trust crée un « segment sécurisé unique » sans aucun moyen de déplacement latéral, de sorte que les hackers ne peuvent aller nulle part.

4. Soutenir les initiatives de conformité

Zero Trust protège toutes les connexions des utilisateurs et des charges de travail d’Internet, de sorte qu’elles ne peuvent être ni exposées ni exploitées. Cette invisibilité simplifie la démonstration de la conformité aux normes de confidentialité et autres réglementations (par exemple, PCI DSS, NIST 800-207), et réduit le nombre de constats lors des audits.

La microsegmentation Zero Trust vous permet de créer des périmètres autour de certains types de données sensibles (par exemple, les données des cartes de paiement, les sauvegardes de données) en utilisant des contrôles précis pour séparer les données réglementées et non réglementées. Lors des audits ou en cas de violation des données, la microsegmentation confère une meilleure visibilité et un meilleur contrôle que les accès trop privilégiés de nombreuses architectures de réseau plat.

un diagramme montrant l’architecture Zero Trust

Comment démarrer avec Zero Trust

Lors de la conception d’une architecture Zero Trust, vos équipes chargées de la sécurité et de l’informatique doivent avant tout s’attacher à répondre à deux questions :

  1. Qu’essayez-vous de protéger ?
  2. De qui essayez-vous de le protéger ?

Cette stratégie guidera la manière dont vous concevrez votre architecture. Après quoi, l’approche la plus efficace consiste à superposer les technologies et les processus à votre stratégie, et non l’inverse.

Dans son cadre Zero Trust Network Access (ZTNA), Gartner recommande de s’appuyer sur Zero Trust fourni en tant que service. Vous pouvez également adopter une approche progressive, en commençant soit par vos ressources les plus critiques soit par un test sur des ressources non critiques, avant de mettre Zero Trust en œuvre à plus grande échelle. Quel que soit votre point de départ, une solution Zero Trust optimale vous apportera des avantages immédiats en termes de réduction des risques et de contrôle de la sécurité.

Pourquoi choisir Zscaler en tant que solution Zero Trust ?

Zscaler est le seul fournisseur de cybersécurité à proposer une plateforme Zero Trust née dans le cloud et conçue pour les entreprises cloud. Qui plus est, Zscaler est régulièrement désigné comme leader dans les rapports et classements des analystes les plus prestigieux du secteur, et le soutien de nos partenaires et clients innovants en est la preuve.

Tout ceci est possible grâce à notre plateforme phare : Zscaler Zero Trust Exchange.

un diagramme montrant l’architecture Zero Trust

Zscaler Zero Trust Exchange

Zscaler Zero Trust Exchange™ est une plateforme cloud native bâtie sur une politique Zero Trust. Basée sur le principe du moindre privilège, elle établit la confiance en fonction du contexte, comme l’emplacement d’un utilisateur, la posture de sécurité de son appareil, le contenu échangé et l’application demandée. Une fois la confiance établie, vos employés bénéficient de connexions rapides et fiables, où qu’ils soient, sans jamais être placés directement sur votre réseau.

Zero Trust Exchange fonctionne dans 150 data centers à travers le monde, garantissant à vos utilisateurs un service de proximité, au même endroit que les fournisseurs de cloud et les applications auxquelles ils accèdent. Il garantit le chemin le plus court entre vos utilisateurs et leurs destinations, offrant une sécurité complète et une expérience utilisateur exceptionnelle.

Ressources complémentaires

  • Guide du marché Gartner pour le Zero Trust Network Access

    Lire le rapport
  • Guide de l'architecte réseau pour l'adoption de ZTNA

    Lire le guide
  • Sécuriser la transformation cloud avec une approche Zero Trust

    Lire le livre blanc
  • « Zero Trust » est un terme mal choisi

    Lire le blog
  • Sécurité Zero Trust : 5 raisons pour lesquelles ce n’est pas une question de pare-feu et de mots de passe

    Lire le blog
  • Les technologies ZTNA : ce qu’elles sont, pourquoi maintenant et comment choisir

    Lire le blog

FAQs

Pourquoi utiliser le Zero trust ?

Vous avez tout intérêt à adopter le Zero trust pour la simple raison que les modèles de sécurité traditionnels, qui supposent que tout ce qui se trouve à l’intérieur du réseau est par défaut digne de confiance, ne fonctionnent pas à l’ère du cloud et de la mobilité.Le Zero trust exige une vérification de toutes les entités, quel que soit leur appareil ou leur emplacement, avant de leur accorder l’accès.Une telle approche proactive minimise l’impact potentiel des violations en limitant les déplacements latéraux au sein du réseau, en réduisant le risque de menaces internes et en améliorant la posture de sécurité globale.

Pourquoi la sécurité Zero trust est-elle importante ?

La sécurité Zero trust est particulièrement importante parce qu’elle apporte une solution aux lacunes de la sécurité traditionnelle basée sur le périmètre dans notre monde numérique hyperconnecté.Partant du principe que les menaces peuvent provenir de n’importe où — de l’extérieur d’un réseau comme de l’intérieur — le Zero trust applique des contrôles d’accès sur la base du moindre privilège et une vérification continue afin de prévenir les brèches, de réduire le rayon d’action des attaques qui aboutissent et de maintenir une posture de sécurité solide pour faire face à des menaces sophistiquées en constante évolution.

What Are the Goals of Zero Trust?

The goals of zero trust are to enhance security, protect sensitive data, and mitigate cyber risk. To accomplish this, zero trust architectures verify and validate every entity accessing the network, implement strict access controls based on user identity and context, continuously monitor network activity for potential security risks, and encrypt sensitive data to prevent unauthorized access.

Le Zero trust remplace-t-il le VPN ?

L’accès réseau Zero trust (ZTNA), une extension du principe de Zero trust, constitue l’alternative idéale au VPN.De nos jours, l’accès aux applications privées délaisse les approches centrées sur le réseau au profit d’une approche centrée sur l’utilisateur et l’application, ce qui renforce la popularité du Zero trust et l’adoption des services ZTNA.ZTNA permet un accès sécurisé aux applications privées en établissant une connectivité de l’utilisateur à l’application sur la base d’une identité dynamique et en tenant compte du contexte, ce qui réduit la complexité, renforce la sécurité et améliore l’expérience utilisateur par rapport au VPN.

Zero trust et SASE

Le Zero trust et le cadre du Secure Access Service Edge (SASE) se complètent : le Zero trust maintient des contrôles d’accès stricts et une vérification continue, tandis que le SASE unifie la sécurité du réseau et le réseau étendu dans un service basé sur le cloud, offrant la gestion de l’identité, l’accès basé sur les rôles, le chiffrement, la prévention des menaces et une expérience cohérente pour l’utilisateur.Concrètement, le Zero trust fournit le cadre d’accès, tandis que le SASE apporte l’infrastructure et les fournisseurs de services nécessaires à sa mise en œuvre.

Zero Trust par rapport au VPN

Avec un VPN traditionnel, les utilisateurs sont authentifiés une seule fois et sont ensuite introduits sur le réseau, ce qui leur donne accès à toutes les ressources. Pour aggraver les choses, les VPN exigent le backhauling du trafic des utilisateurs via un data center d’entreprise, ce qui ralentit les performances Internet. Le Zero Trust, en revanche, connecte les utilisateurs directement aux applications privées, améliorant ainsi à la fois la sécurité et l’expérience.