Comment mettre en œuvre le Zero Trust ?

Qu’est-ce que Zero Trust ?

Zero Trust est un cadre de sécurité qui stipule qu’aucun utilisateur ou application ne doit être considéré comme fiable par défaut. Une architecture Zero Trust applique des contrôles d’accès sur la base du moindre privilège qui établissent la confiance sur la base du contexte (par exemple, l’identité et la localisation de l’utilisateur, la posture de sécurité du terminal, l’application ou le service demandé) avec des contrôles de politique à chaque étape. Les demandes d’accès, même celles provenant d’individus connus, ne sont jamais accordées avant d’avoir satisfait à une authentification stricte.

Quels sont les principes de base de Zero Trust ?

« Ne jamais faire confiance, toujours vérifier » est une maxime fondamentale du modèle de sécurité Zero Trust. Pour comprendre les raisons de ce principe, examinons le modèle classique de sécurité réseau basé sur le pare-feu.

Les approches traditionnelles de la cybersécurité basées sur le pare-feu supposent que les demandes d’accès provenant de l’extérieur du périmètre du réseau ne sont pas intrinsèquement dignes de confiance, mais que tout ce qui provient de l’intérieur l’est. Cela suppose en outre que les pare-feu peuvent efficacement bloquer les menaces externes et qu’aucune ne se trouve déjà à l’intérieur des défenses du réseau, ce qui n’est tout simplement pas le cas.

Les cybercriminels profitent de cette confiance présumée pour contourner les défenses et propager des ransomwares et autres malwares avancés, exfiltrer des données sensibles, etc. Le Zero Trust contrecarre le risque lié à cette confiance présumée en reconnaissant que tout utilisateur ou entité peut être compromis. Trois principes sont au cœur de ce modèle :

1. Interrompre toute connexion. Les pare-feu traditionnels utilisent une approche de type « passthrough », qui permet d’inspecter les fichiers au fur et à mesure qu’ils sont transmis. Une véritable solution Zero Trust met fin à chaque connexion afin qu’une architecture proxy inline puisse inspecter l’ensemble du trafic, y compris le trafic chiffré, avant qu’il n’atteigne sa destination.
2. Protéger les données grâce à des politiques granulaires basées sur le contexte. Les politiques de Zero Trust vérifient les demandes et les droits d’accès en fonction du contexte entier de la demande, notamment l’identité, l’appareil, l’emplacement, le contenu etc. Les politiques sont adaptatives, de sorte que les privilèges d’accès des utilisateurs sont continuellement réévalués à mesure que le contexte change.
3. Réduire les risques en supprimant la surface d’attaque. Avec une véritable approche Zero Trust, les utilisateurs et les entités se connectent directement aux applications et aux ressources, jamais aux réseaux (voir ZTNA), contrairement à un VPN. Cela élimine le risque de déplacement latéral, et dans la mesure où les utilisateurs et les applications sont invisibles sur Internet, ils ne peuvent pas être découverts ni attaqués.

Quelle est la différence entre l’architecture Zero Trust (ZTA) et l’accès réseau Zero Trust (ZTNA) ?

Avant d’approfondir le sujet de la mise en œuvre de Zero Trust, faisons la distinction entre deux termes :

• Une architecture Zero Trust (ZTA) désigne une conception qui prend en charge une gestion d’accès, une authentification et une segmentation rigoureuses. Elle se distingue d’une architecture cloisonnée, et est conçue à bien des égards pour la remplacer, cette dernière faisant confiance par défaut à tout ce qui se trouve à l’intérieur du périmètre.
• L’accès réseau Zero Trust (ZTNA) désigne un cas d’utilisation de Zero Trust qui garantit aux utilisateurs un accès sécurisé aux applications et aux données lorsque les utilisateurs, les charges de travail ou les données ne se trouvent pas à l’intérieur d’un périmètre de sécurité traditionnel, situation courante à l’ère du cloud et du travail hybride.

En d’autres termes, une architecture Zero Trust fournit la base dont les entreprises ont besoin pour fournir un ZTNA et rendre leurs ressources accessibles de n’importe où, à tout moment et depuis n’importe quel appareil. ZTNA est une approche de sécurité plus agile et réactive, mieux adaptée aux configurations multicloud et au télétravail.

Défis liés à la mise en œuvre du Zero Trust

Face aux tendances du télétravail, à l’essor des appareils IoT et à l’adoption du cloud, la tâche qui consiste à élaborer une stratégie Zero Trust peut sembler insurmontable. Examinons quelques obstacles typiques et ce que vous pouvez faire pour les surmonter.

Ne pas savoir par où commencer

Pour commencer votre parcours Zero Trust, essayez d’identifier un point sensible spécifique au sein de votre écosystème. Il peut s’agir d’un risque de sécurité, comme une surface d’attaque exposée ou un accès trop privilégié. Il peut s’agir d’une mauvaise expérience utilisateur ou les coûts de la dette technique, de l’infrastructure ou de la connectivité. Commencer petit vous donne une base à partir de laquelle vous pouvez vous atteler à des problèmes plus difficiles.

Être lié à des investissements antérieurs

Il est difficile de faire table rase des investissements passés, même s’ils ne répondent plus à vos besoins. La période précédant les mises à jour et les renouvellements est le moment idéal pour jeter un regard critique sur vos outils et technologies existants afin de déterminer s’ils soutiennent toujours vos objectifs commerciaux actuels, s’ils répondent aux exigences en matière de dépenses d’investissement et d’exploitation et s’ils vous garantissent une sécurité optimale dans le contexte des tendances actuelles du cloud, de la mobilité et de l’IoT.

Obtenir l’adhésion des parties prenantes

Zero Trust peut toucher chaque secteur de votre entreprise, ce qui signifie que vous devez obtenir l’adhésion d’un grand nombre de parties prenantes. Partagez avec eux les avantages et les points de friction d’une transformation Zero Trust. Comprenez leurs motivations et leurs préoccupations, y compris celles dont ils ne sont peut-être pas conscients (par exemple, les risques juridiques ou de conformité). Déterminez les cas d’utilisation essentiels. La diffusion de vos petits cas d’utilisation de départ peut également contribuer à une adhésion précoce.

Comment mettre en œuvre le Zero Trust

La transformation Zero Trust prend du temps, mais pour que les entreprises modernes survivent et prospèrent, c’est une nécessité. Une transformation réussie repose sur trois éléments essentiels :

• Connaissance et conviction : comprendre les nouvelles et meilleures façons d’utiliser la technologie pour réduire les coûts, diminuer la complexité et faire avancer vos objectifs.
• Technologies révolutionnaires : renoncer aux solutions traditionnelles qui ne sont plus adaptées après toutes les transformations qu’ont connues Internet, les menaces et les effectifs au cours des trois dernières décennies.
• Changement de culture et d’état d’esprit : favoriser le succès en impliquant vos équipes. Lorsque les professionnels de l’informatique comprennent les avantages de Zero Trust, ils commencent également à y adhérer.

Il est normal que vous éprouviez des réticences à l’égard de changements, surtout si votre architecture et vos flux de travail sont profondément ancrés. Travailler par phases permet de surmonter ce problème ; c’est pourquoi Zscaler décompose le cheminement vers le Zero Trust en quatre étapes :

1. Responsabiliser et sécuriser votre personnel
2. Protéger vos données dans les charges de travail cloud
3. Moderniser votre sécurité IoT/OT
4. Impliquer vos clients et fournisseurs en toute sécurité

En atteignant chacun de ces objectifs un par un, en transformant votre réseau et votre sécurité tout au long de votre parcours, vous réaliserez une architecture Zero Trust qui connecte en toute sécurité les utilisateurs, les appareils et les applications sur n’importe quel réseau, où qu’ils se trouvent.

Bonnes pratiques du Zero Trust

Zero Trust ne se résume pas à la configuration de la microsegmentation, de l’authentification multifacteur (MFA) et des autorisations, ni à repenser votre sécurité sur site. Il s’agit de répondre aux réalités des réseaux, du personnel et des menaces modernes pour accroître la sécurité, l’agilité et la compétitivité de vos opérations.

En ce qui concerne les bonnes pratiques de mise en œuvre de Zero Trust, il ne s’agit pas seulement de nécessités techniques. Vous devez, bien évidemment, sécuriser vos terminaux, appliquer le principe du moindre privilège, et exploiter l’IA, l’AA et l’automatisation. Mais avant de pouvoir réaliser vos objectifs efficacement, vous devez aborder les défis de la mise en œuvre de votre nouvelle politique de sécurité avec une stratégie :

• Savoir trouver un point de départ. Que vous commenciez par un risque, un problème d’expérience utilisateur, une préoccupation de coût ou autre, utilisez cela comme tremplin. Introduisez progressivement le concept de Zero Trust au lieu d’essayer de brûler les étapes.
• Réévaluer les investissements antérieurs. Recherchez les lacunes dans la sécurité de votre réseau et du cloud, l’expérience utilisateur et les relations avec les fournisseurs au sein de votre entreprise et identifiez les domaines où une stratégie Zero Trust pourrait apporter le plus grand changement.
• Obtenir l’adhésion des principales parties prenantes. Commencez par vous faire une idée précise des priorités et des besoins des équipes les plus importantes. Cela fera apparaître des cas d’utilisation qui peuvent à la fois vous aider à obtenir l’adhésion et vous guider vers ce point de départ crucial.
• Solliciter l’aide de professionnels. Votre équipe ne dispose peut-être pas de l’expertise nécessaire pour appliquer pleinement le concept de Zero Trust. Profitez de l’aide d’experts, tels que des services professionnels éprouvés et des fournisseurs de services de sécurité gérés.
• Envisager un plan de livraison mutuelle (PDM). Cet accord entre votre entreprise et votre fournisseur brossera un tableau clair et organisé de ce que vous devez accomplir et des différentes étapes à suivre.

Besoin d’une assistance professionnelle ? Zscaler peut vous aider

Zscaler propose une solution Zero Trust avec la plateforme cloud native Zscaler Zero Trust Exchange™. Conçue sur une architecture de proxy, la plateforme connecte en toute sécurité les utilisateurs, les appareils et les applications en appliquant des politiques d’entreprise sur n’importe quel réseau. La plateforme procède en quatre étapes :

1. Interrompre chaque connexion et effectuer une inspection approfondie et en temps réel des données et des menaces sur la totalité du trafic, y compris le trafic chiffré.
2. Déterminer l’identité et l’appareil, et vérifier les droits d’accès en utilisant des politiques d’entreprise basées sur le contexte, notamment l’utilisateur, l’appareil, l’application et le contenu.
3. Mettre en application des politiques permettant une segmentation utilisateur-application par le biais de tunnels chiffrés et individuels.
4. Connecter directement les utilisateurs aux applications via Zero Trust Exchange sur Internet sans passer par votre réseau.

Avantages de Zero Trust Exchange

• Empêche le déplacement latéral des menaces : les utilisateurs se connectent directement aux applications, sans accéder au réseau, ce qui garantit que les menaces ne pourront pas se déplacer latéralement pour infecter d’autres appareils ou applications.
• Élimine la surface d’attaque sur Internet : les applications se trouvent derrière l’échange, et sont ainsi invisibles sur Internet, ce qui élimine leur surface d’attaque et empêche les cyberattaques ciblées.
• Procure une excellente expérience utilisateur : les utilisateurs bénéficient de connexions directes optimisées et intelligemment gérées aux applications cloud, avec des politiques appliquées à la périphérie dans plus de 150 data centers répartis dans le monde.
• Réduit les coûts et la complexité : la gestion et le déploiement sont simples, et ne nécessitent pas de VPN, de pare-feu complexes ni de matériel supplémentaire.
• S’adapte à la croissance de votre entreprise : la conception multi-entité et cloud native de la plateforme est entièrement distribuée sur plus de 150 data centers dans le monde pour vous apporter la connectivité sécurisée dont vous avez besoin.