Zero Trust est un cadre de sécurité qui stipule qu’aucun utilisateur ou application ne doit être considéré comme fiable par défaut. Une architecture Zero Trust applique des contrôles d’accès sur la base du moindre privilège qui établissent la confiance sur la base du contexte (par exemple, l’identité et la localisation de l’utilisateur, la posture de sécurité du terminal, l’application ou le service demandé) avec des contrôles de politique à chaque étape. Les demandes d’accès, même celles provenant d’individus connus, ne sont jamais accordées avant d’avoir satisfait à une authentification stricte.
« Ne jamais faire confiance, toujours vérifier » est une maxime fondamentale du modèle de sécurité Zero Trust. Pour comprendre les raisons de ce principe, examinons le modèle classique de sécurité réseau basé sur le pare-feu.
Les approches traditionnelles de la cybersécurité basées sur le pare-feu supposent que les demandes d’accès provenant de l’extérieur du périmètre du réseau ne sont pas intrinsèquement dignes de confiance, mais que tout ce qui provient de l’intérieur l’est. Cela suppose en outre que les pare-feu peuvent efficacement bloquer les menaces externes et qu’aucune ne se trouve déjà à l’intérieur des défenses du réseau, ce qui n’est tout simplement pas le cas.
Les cybercriminels profitent de cette confiance présumée pour contourner les défenses et propager des ransomwares et autres malwares avancés, exfiltrer des données sensibles, etc. Le Zero Trust contrecarre le risque lié à cette confiance présumée en reconnaissant que tout utilisateur ou entité peut être compromis. Trois principes sont au cœur de ce modèle :
Avant d’approfondir le sujet de la mise en œuvre de Zero Trust, faisons la distinction entre deux termes :
En d’autres termes, une architecture Zero Trust fournit la base dont les entreprises ont besoin pour fournir un ZTNA et rendre leurs ressources accessibles de n’importe où, à tout moment et depuis n’importe quel appareil. ZTNA est une approche de sécurité plus agile et réactive, mieux adaptée aux configurations multicloud et au télétravail.
Face aux tendances du télétravail, à l’essor des appareils IoT et à l’adoption du cloud, la tâche qui consiste à élaborer une stratégie Zero Trust peut sembler insurmontable. Examinons quelques obstacles typiques et ce que vous pouvez faire pour les surmonter.
Ne pas savoir par où commencer
Pour commencer votre parcours Zero Trust, essayez d’identifier un point sensible spécifique au sein de votre écosystème. Il peut s’agir d’un risque de sécurité, comme une surface d’attaque exposée ou un accès trop privilégié. Il peut s’agir d’une mauvaise expérience utilisateur ou les coûts de la dette technique, de l’infrastructure ou de la connectivité. Commencer petit vous donne une base à partir de laquelle vous pouvez vous atteler à des problèmes plus difficiles.
Être lié à des investissements antérieurs
Il est difficile de faire table rase des investissements passés, même s’ils ne répondent plus à vos besoins. La période précédant les mises à jour et les renouvellements est le moment idéal pour jeter un regard critique sur vos outils et technologies existants afin de déterminer s’ils soutiennent toujours vos objectifs commerciaux actuels, s’ils répondent aux exigences en matière de dépenses d’investissement et d’exploitation et s’ils vous garantissent une sécurité optimale dans le contexte des tendances actuelles du cloud, de la mobilité et de l’IoT.
Obtenir l’adhésion des parties prenantes
Zero Trust peut toucher chaque secteur de votre entreprise, ce qui signifie que vous devez obtenir l’adhésion d’un grand nombre de parties prenantes. Partagez avec eux les avantages et les points de friction d’une transformation Zero Trust. Comprenez leurs motivations et leurs préoccupations, y compris celles dont ils ne sont peut-être pas conscients (par exemple, les risques juridiques ou de conformité). Déterminez les cas d’utilisation essentiels. La diffusion de vos petits cas d’utilisation de départ peut également contribuer à une adhésion précoce.
La transformation Zero Trust prend du temps, mais pour que les entreprises modernes survivent et prospèrent, c’est une nécessité. Une transformation réussie repose sur trois éléments essentiels :
Il est normal que vous éprouviez des réticences à l’égard de changements, surtout si votre architecture et vos flux de travail sont profondément ancrés. Travailler par phases permet de surmonter ce problème ; c’est pourquoi Zscaler décompose le cheminement vers le Zero Trust en quatre étapes :
En atteignant chacun de ces objectifs un par un, en transformant votre réseau et votre sécurité tout au long de votre parcours, vous réaliserez une architecture Zero Trust qui connecte en toute sécurité les utilisateurs, les appareils et les applications sur n’importe quel réseau, où qu’ils se trouvent.
Zero Trust ne se résume pas à la configuration de la microsegmentation, de l’authentification multifacteur (MFA) et des autorisations, ni à repenser votre sécurité sur site. Il s’agit de répondre aux réalités des réseaux, du personnel et des menaces modernes pour accroître la sécurité, l’agilité et la compétitivité de vos opérations.
En ce qui concerne les bonnes pratiques de mise en œuvre de Zero Trust, il ne s’agit pas seulement de nécessités techniques. Vous devez, bien évidemment, sécuriser vos terminaux, appliquer le principe du moindre privilège, et exploiter l’IA, l’AA et l’automatisation. Mais avant de pouvoir réaliser vos objectifs efficacement, vous devez aborder les défis de la mise en œuvre de votre nouvelle politique de sécurité avec une stratégie :
Zscaler propose une solution Zero Trust avec la plateforme cloud native Zscaler Zero Trust Exchange™. Conçue sur une architecture de proxy, la plateforme connecte en toute sécurité les utilisateurs, les appareils et les applications en appliquant des politiques d’entreprise sur n’importe quel réseau. La plateforme procède en quatre étapes :
Avantages de Zero Trust Exchange
Qu’est-ce que le Zero Trust ?
Lire l'articleSept éléments d’une architecture Zero Trust extrêmement performante
Voir l’infographie Obtenir l’e-bookZscaler Zero Trust Exchange
En savoir plusBonnes pratiques pour l’adoption de Zero Trust
Les modèles de sécurité traditionnels qui reposent sur une confiance implicite peuvent dangereusement exposer votre réseau et vos utilisateurs, car les cybermenaces continuent d’évoluer pour tirer parti des relations de confiance. Le modèle Zero Trust impose une authentification stricte pour toutes les demandes, quelle que soit leur provenance, assurant ainsi une protection plus complète.
Les modèles traditionnels de cybersécurité exposent les applications sur Internet. Aujourd’hui, avec des applications et des données de plus en plus hébergées dans le cloud, ces modèles élargissent plus que jamais les surfaces d’attaque du réseau. Un véritable modèle Zero Trust connecte les utilisateurs directement aux ressources, et non à votre réseau, votre trafic sensible demeurant ainsi invisible sur Internet.
Le paysage moderne des cybermenaces a mis en évidence la nécessité de remplacer les anciennes technologies VPN. Avec un VPN traditionnel, les utilisateurs sont authentifiés une seule fois et sont ensuite autorisés à accéder au réseau. Avec le modèle Zero Trust, les utilisateurs et les appareils sont validés en permanence et n’ont accès qu’à des applications spécifiques et autorisées.
Choisissez un fournisseur de solutions Zero Trust en fonction de vos besoins, de son expérience, de ses offres complètes et de son niveau d’assistance personnalisée. Le bon fournisseur Zero Trust comprendra votre environnement et sera en mesure de faire des recommandations ciblées pour sécuriser vos données et donner de l’autonomie à votre personnel.
La meilleure façon de commencer avec Zero Trust est de commencer petit. Par exemple, identifiez un problème lié au risque, au coût ou à l’expérience utilisateur et appliquez-lui une stratégie Zero Trust. Vous pourrez faire valoir ces réussites à petite échelle lorsque vous chercherez à obtenir l’adhésion des parties prenantes, un budget et des plans d’avenir. N’hésitez pas à solliciter l’aide de professionnels. Si votre équipe ne dispose pas de l’expertise nécessaire pour mettre en œuvre la stratégie Zero Trust, envisagez de faire appel à un fournisseur de services avec lequel vous pourrez travailler en toute confiance.
Une transformation Zero Trust réussie prend du temps, mais pour garantir un succès à long terme, il est essentiel de développer les compétences de votre équipe, de comprendre les façons dont vous pouvez exploiter la technologie pour réduire les coûts, diminuer la complexité et faire avancer vos objectifs, ainsi que de favoriser un changement de culture et d’état d’esprit orienté vers Zero Trust au sein de votre entreprise.
Quelques étapes pour créer un réseau Zero Trust :