Qu’est-ce que le Zero Trust ?

Présentation de l’architecture Zero Trust

Zero Trust est une stratégie de cybersécurité dans le cadre de laquelle la politique de sécurité est appliquée en fonction du contexte établi par des contrôles des accès basés sur le moindre privilège et une authentification stricte de l’utilisateur, et non sur la base d’une confiance implicite. Une architecture Zero Trust bien ajustée permet de simplifier l’infrastructure réseau, d’améliorer l’expérience des utilisateurs et de renforcer la défense contre les cybermenaces.

Une architecture Zero Trust obéit à la maxime « ne jamais faire confiance, toujours vérifier ». Ce principe directeur est en vigueur depuis que John Kindervag, qui travaillait à cette époque chez Forrester Research, a inventé ce terme. Une architecture Zero Trust applique des politiques d’accès basées sur le contexte, notamment le rôle et l’emplacement de l’utilisateur, son appareil et les données qu’il demande, afin de bloquer tout accès inapproprié et tout déplacement latéral au sein d’un environnement.

La mise en place d’une architecture Zero Trust exige une bonne visibilité et un contrôle des utilisateurs de l’environnement et du trafic, y compris celui qui est chiffré, la surveillance et la vérification du trafic entre les différentes parties de l’environnement, ainsi que des méthodes d’authentification multifacteur (MFA) robustes, plus puissantes que les simples mots de passe, telles que la biométrie ou les codes à usage unique.

Dans une architecture Zero Trust, l’emplacement du réseau d’une ressource ne constitue plus le principal facteur de sécurité. Au lieu d’une segmentation rigide du réseau, vos données, flux de travail, services et autres sont protégés par une microsegmentation définie par logiciel, ce qui vous permet de les sécuriser en tout lieu, que ce soit dans votre data center ou dans des environnements hybrides et multicloud distribués.

Comment mettre en œuvre le Zero Trust

La mise en œuvre du Zero trust consiste à mettre en place une transformation sécurisée.De nombreuses entreprises savent désormais pourquoi elles doivent adopter une architecture Zero trust, mais beaucoup ne savent toujours pas par où commencer, et chaque fournisseur de sécurité semble avoir sa propre définition de la sécurité Zero trust.Un véritable modèle Zero trust ne se concrétise pas en un instant.Il s’agit d’un cheminement qui commence par la responsabilisation et la sécurisation de votre personnel.

Pour en savoir plus, consultez notre article dédié : Comment mettre en œuvre le Zero trust ?

Comment fonctionne la sécurité Zero Trust ?

En tant que concept de base, le Zero Trust suppose que chaque composant ou connexion est hostile par défaut, s’écartant des modèles antérieurs basés sur des périmètres de réseau sécurisés. Ce manque de confiance est défini d’un point technologique par les éléments suivants :

• Architecture sous-jacente : les modèles traditionnels utilisaient des adresses IP, des ports et des protocoles approuvés pour les contrôles d’accès, ainsi qu’un VPN d’accès à distance pour la validation de la confiance.
• Approche inline : tout le trafic est considéré comme potentiellement hostile, même à l’intérieur du périmètre du réseau. Le trafic est bloqué jusqu’à ce qu’il soit validé par des attributs spécifiques tels qu’une empreinte digitale ou une identité.
• Politiques contextuelles : cette approche de sécurité renforcée s’applique à la charge de travail, quel que soit l’endroit où elle communique : qu’il s’agisse d’un cloud public, d’un environnement hybride, d’un conteneur ou d’une architecture réseau sur site.
• Authentification multifacteur : la validation est basée sur l’utilisateur, l’identité, l’appareil et l’emplacement.
• Sécurité indépendante de l’environnement : la protection s’applique quel que soit l’environnement de communication, favorisant les communications inter-réseaux sécurisées sans nécessiter de modifications architecturales ou de mises à jour de politiques.
• Connectivité orientée entreprise : un modèle Zero Trust utilise des politiques d’entreprise pour connecter les utilisateurs, les appareils et les applications en toute sécurité sur n’importe quel réseau, facilitant ainsi une transformation digitale sécurisée.

Principes fondamentaux du modèle Zero Trust

Zero Trust ne se résume pas à l’identité de l’utilisateur, la segmentation ou l’accès sécurisé. Il s’agit d’une stratégie sur laquelle est fondé un écosystème de cybersécurité. Elle repose sur trois principes fondamentaux :

1. Interrompre toute connexion : les technologies, telles que les pare-feu, utilisent une approche « passthrough » qui inspecte les fichiers au fur et à mesure qu’ils sont transmis. Si un fichier malveillant est détecté, les alertes arrivent souvent trop tard. Une solution Zero Trust efficace met fin à chaque connexion pour permettre à une architecture proxy inline d’inspecter tout le trafic, y compris le trafic chiffré, en temps réel et avant qu’il n’atteigne sa destination, afin de prévenir les ransomwares, les malwares, et autres.
2. Protéger les données à l’aide de politiques contextuelles granulaires : les politiques Zero Trust vérifient les demandes et les droits d’accès en fonction du contexte, notamment l’identité de l’utilisateur, l’appareil, l’emplacement, le type de contenu et l’application demandée. Les politiques sont adaptatives, de sorte que les privilèges d’accès des utilisateurs sont continuellement réévalués à mesure que le contexte change.
3. Réduire les risques en éliminant la surface d’attaque : avec une approche Zero Trust, les utilisateurs se connectent directement aux applications et aux ressources dont ils ont besoin, jamais aux réseaux (voir ZTNA). Les connexions directes d’utilisateur à application et d’application à application éliminent le risque de déplacement latéral et empêchent les appareils compromis d’infecter d’autres ressources. De plus, les utilisateurs et les applications sont invisibles sur Internet ; ils ne peuvent donc pas être découverts ni attaqués.

Avantages du choix d’une architecture Zero Trust

Les environnements cloud modernes constituent des cibles attrayantes pour les cybercriminels qui cherchent à dérober, détruire ou demander une rançon pour les données critiques et sensibles des entreprises, telles que les données à caractère personnel, la propriété intellectuelle (PI) et les données financières. 

Bien qu’aucune stratégie de sécurité ne soit parfaite, le Zero trust figure parmi les stratégies les plus efficaces à l’heure actuelle, car elle :

• Réduit la surface d’attaque et le risque de violation de données
• Fournit un contrôle d’accès granulaire sur les environnements cloud et de conteneurs
• Atténue l’impact et la gravité des attaques, en réduisant le temps et le coût de la remise en état
• Soutient les initiatives de conformité

Un modèle de sécurité Zero trust constitue le moyen le plus efficace au monde d’assurer la sécurité du cloud.Compte tenu de la prolifération des clouds, des terminaux et des données dans les environnements informatiques modernes, il est essentiel de ne faire confiance à aucune connexion sans procéder à une vérification appropriée.De plus, l’augmentation de la visibilité facilitera grandement la vie des services informatiques et de sécurité, de l’administrateur au RSSI.

Zones de défense Zero trust

Appliqué à l’ensemble de votre écosystème informatique, le Zero trust peut garantir une protection granulaire de vos :

• Applications
• Données
• Terminaux
• Identités
• Infrastructure
• Réseau

Cas d’utilisation de Zero Trust

1. Réduire les risques économiques et organisationnels

Les solutions Zero Trust empêchent toutes les applications et tous les services de communiquer jusqu’à ce qu’ils soient vérifiés en fonction de leurs attributs d’identité, des propriétés immuables qui répondent à des principes de confiance prédéfinis, tels que les exigences d’authentification et d’autorisation.

Le modèle Zero Trust réduit donc les risques car il permet de savoir ce qui se trouve sur le réseau et comment communiquent ces ressources. Une fois les bases établies, une stratégie Zero Trust réduit encore les risques en éliminant les logiciels et services surdimensionnés et en vérifiant en permanence les informations d’identification de chaque ressource qui communique.

2. Bénéficier d’un contrôle d’accès aux environnements cloud et de conteneurs

La gestion des accès et la perte de visibilité sont les plus grandes craintes des professionnels de la sécurité vis-à-vis du passage au cloud. Malgré les améliorations de la sécurité des fournisseurs de services cloud (FSC), la sécurité des charges de travail reste une responsabilité partagée entre votre entreprise et le FSC. Cela étant dit, vous ne pouvez pas tout vous permettre dans le cloud des FSC.

Avec une architecture de sécurité Zero Trust, les politiques de sécurité sont appliquées en fonction de l’identité des charges de travail communicantes et sont directement liées aux charges de travail elles-mêmes. Ainsi, la sécurité reste aussi proche que possible des ressources à protéger sans être affectée par les structures de réseau telles que les adresses IP, les ports et les protocoles. La protection se déplace avec la charge de travail et reste constante même si l’environnement change.

3. Réduire le risque de violation des données

Selon le principe du moindre privilège, chaque entité est supposée être hostile. Chaque demande est inspectée, les utilisateurs et les appareils sont authentifiés et les autorisations sont évaluées avant que la « confiance » ne soit accordée. Cette « confiance » est ensuite continuellement réévaluée lorsque le contexte change, comme l’emplacement de l’utilisateur ou les données auxquelles il accède.

Même si un appareil compromis ou une quelconque autre vulnérabilité ouvre l’accès à un réseau ou à une instance cloud, un hacker non autorisé ne peut pas accéder à des données ni les voler.En outre, le modèle Zero trust crée un « segment sécurisé unique » sans aucun moyen de déplacement latéral, de sorte que les hackers ne peuvent aller nulle part.

4. Soutenir les initiatives de conformité

Zero Trust protège toutes les connexions des utilisateurs et des charges de travail d’Internet, de sorte qu’elles ne peuvent être ni exposées ni exploitées. Cette invisibilité simplifie la démonstration de la conformité aux normes de confidentialité et autres réglementations (par exemple, PCI DSS, NIST 800-207), et réduit le nombre de constats lors des audits.

La microsegmentation Zero Trust vous permet de créer des périmètres autour de certains types de données sensibles (par exemple, les données des cartes de paiement, les sauvegardes de données) en utilisant des contrôles précis pour séparer les données réglementées et non réglementées. Lors des audits ou en cas de violation des données, la microsegmentation confère une meilleure visibilité et un meilleur contrôle que les accès trop privilégiés de nombreuses architectures de réseau plat.

Comment démarrer avec Zero Trust

Lors de la conception d’une architecture Zero Trust, vos équipes chargées de la sécurité et de l’informatique doivent avant tout s’attacher à répondre à deux questions :

1. Qu’essayez-vous de protéger ?
2. De qui essayez-vous de le protéger ?

Cette stratégie guidera la manière dont vous concevrez votre architecture. Après quoi, l’approche la plus efficace consiste à superposer les technologies et les processus à votre stratégie, et non l’inverse.

Dans son cadre Zero Trust Network Access (ZTNA), Gartner recommande de s’appuyer sur Zero Trust fourni en tant que service. Vous pouvez également adopter une approche progressive, en commençant soit par vos ressources les plus critiques soit par un test sur des ressources non critiques, avant de mettre Zero Trust en œuvre à plus grande échelle. Quel que soit votre point de départ, une solution Zero Trust optimale vous apportera des avantages immédiats en termes de réduction des risques et de contrôle de la sécurité.

Pourquoi choisir Zscaler en tant que solution Zero Trust ?

Zscaler est le seul fournisseur de cybersécurité à proposer une plateforme Zero Trust née dans le cloud et conçue pour les entreprises cloud. Qui plus est, Zscaler est régulièrement désigné comme leader dans les rapports et classements des analystes les plus prestigieux du secteur, et le soutien de nos partenaires et clients innovants en est la preuve.

Tout ceci est possible grâce à notre plateforme phare : Zscaler Zero Trust Exchange.

Zscaler Zero Trust Exchange

Zscaler Zero Trust Exchange™ est une plateforme cloud native bâtie sur une politique Zero Trust. Basée sur le principe du moindre privilège, elle établit la confiance en fonction du contexte, comme l’emplacement d’un utilisateur, la posture de sécurité de son appareil, le contenu échangé et l’application demandée. Une fois la confiance établie, vos employés bénéficient de connexions rapides et fiables, où qu’ils soient, sans jamais être placés directement sur votre réseau.

Zero Trust Exchange fonctionne dans 150 data centers à travers le monde, garantissant à vos utilisateurs un service de proximité, au même endroit que les fournisseurs de cloud et les applications auxquelles ils accèdent. Il garantit le chemin le plus court entre vos utilisateurs et leurs destinations, offrant une sécurité complète et une expérience utilisateur exceptionnelle.