Modèle de sécurité Zero Trust

Qu’est-ce que le cadre Zero Trust, et pourquoi les organisations l’adoptent-elles ?

Media
Image
Zero Trust Security
Text

Le cadre de sécurité Zero Trust : Un état d'esprit combiné à des solutions techniquesQu’il s’agisse d’un langage ou d’actions axées sur le Zero Trust, d’une architecture Zero Trust ou d’une « sécurité sans périmètre », le postulat de départ reste le même. Chacun de ces termes se rapporte à une stratégie de sécurité et à un cadre informatique qui exige l’authentification, l’autorisation et la validation continue des utilisateurs (internes ou externes au réseau de l’entreprise) afin que ceux-ci puissent continuer d’accéder à leurs applications et données. Le Zero Trust intègre la sécurité dans toute l’architecture afin d’empêcher des entités malveillantes d’accéder à vos plus précieuses ressources.

Selon une étude récente, 44 % des entreprises envisagent d’opter pour un accès réseau Zero Trust ou un périmètre défini par logiciel (software-defined) pour garantir leur sécurité. Cette transition vers un cadre Zero Trust est favorisée par le fait que la « périphérie » réseau traditionnelle (edge) est de plus en plus reconnue comme faisant partie du passé. Par conséquent, les entreprises doivent composer avec toujours plus de besoins et de menaces liés à une sécurité sans périmètre.

Text

Le cadre de sécurité Zero Trust : Un état d'esprit combiné à des solutions techniques

Imposer une mentalité de sécurité Zero Trust au sein d'une organisation nécessite une éducation continue et un renforcement proactif pour aider le modèle à être efficace. Les principes de la Zero Trust ne concernent pas le fait de ne pas faire confiance aux employés ; ils sont plutôt une façon d'aider les organisations à tirer parti de manière sécurisée de leur fonctionnement à n'importe quel endroit – sur site, via le cloud, ou dans une situation hybride. C'est un avantage mutuel pour les employés qui travaillent désormais dans le monde entier et pas seulement "au bureau"

Zero Trust : un état d’esprit combiné à des solutions techniques

L’adoption d’un état d’esprit Zero Trust au sein d’une entreprise exige une formation continue et une application proactive, ce qui renforce l’efficacité du modèle. Avec les principes Zero Trust, il ne s’agit pas de ne pas faire confiance aux employés, mais d’aider les organisations à fonctionner de manière optimale quel que soit le lieu (sur site, dans le cloud ou en hybride). Cette méthode est avantageuse pour les employés de plus en plus amenés à travailler où qu’ils se trouvent – et non plus simplement « au bureau ».

Le Zero Trust est un modèle de sécurité pouvant être résumé par l’expression « Never trust, always verify » (Ne jamais faire confiance, toujours vérifier) : tous les utilisateurs, appareils interconnectés, applications et autres systèmes mis en place ne doivent jamais être considérés comme sûrs par défaut. L’adoption de ce modèle présuppose un changement de philosophie et la mise en place de solutions « en couches » autour de chaque utilisateur, connexion et appareil jour après jour, transaction après transaction. 

Cet état d’esprit s’applique même aux connexions au réseau local d’entreprise ou à un VPN jusqu’alors considéré comme sûr. Lorsqu’une stratégie Zero Trust est mise en place, les organisations peuvent veiller à ce que les utilisateurs (ainsi que les appareils et processus qu’ils utilisent pour stocker, manipuler et envoyer des données) soient identifiés et authentifiés quel que soit leur emplacement ou le moment où ils ont été autorisés la première fois. Le Zero Trust reconnaît que des failles continueront probablement de se produire, mais que leurs dommages peuvent être confinés, et qu’une solution de résolution suite à de telles fuites peut être plus efficace et efficiente si le modèle de cybersécurité adéquat a été mis en place.

Contenu connexe : Comment et pourquoi mettre en œuvre une architecture de confiance zéro via la sécurité en couches 

EN SAVOIR PLUS

Comment fonctionne un modèle de sécurité Zero Trust ?

Text

La mise en place d’un cadre Zero Trust comme stratégie de cybersécurité suppose l’application de mesures de sécurité basées sur le contexte. Contrairement aux mesures de sécurité conventionnelles (comme les solutions réseau et les pare-feu conçus pour empêcher les utilisateurs non autorisés à pénétrer et à quitter le réseau), les stratégies de cybersécurité actuelles doivent également aborder le contexte des environnements hybrides et du cloud.

Ce cadre se révèle plus important que jamais, à l’heure où de plus en plus d’employés travaillent chez eux et, où l’environnement est vulnérable par définition. Que votre entreprise opère encore exclusivement sur site ou qu’elle transitionne vers le télétravail total ou partiel, un contrôle et une visibilité sur l’environnement doivent être mis en place pour assurer une sécurité Zero Trust. Ce n’est qu’à ce moment que vous pourrez surveiller et vérifier tous les mouvements des données dans et en dehors de l’entreprise.  

Au grand étonnement des organisations qui s’essaient pour la première fois à l’architecture Zero Trust, le réseau ne constitue pas le plus gros risque en matière de cybersécurité. Les organisations actuelles tendent de plus en plus à opérer sans périmètre ni périphérie réseau. Le Zero Trust s’intéresse davantage au risque en matière de cybersécurité que représentent les données elles-mêmes, qu’elles résident sur site, soient stockées dans un datacenter ou existent dans un environnement cloud ou multicloud.

Text

Contrôles d’accès : la clé de voûte du Zero Trust

L’un des principes fondamentaux du cadre Zero Trust consiste à appliquer les contrôles d’accès les moins privilégiés possibles afin de contribuer à éliminer les risques associés à la confiance prise pour acquise, par le biais d’une authentification stricte des utilisateurs. Lorsque des règles d’accès les moins privilégiées possibles sont appliquées, les utilisateurs bénéficient seulement du niveau d’accès minimal que nécessitent les responsabilités propres à leur emploi. De telles règles contribuent à réduire l’amplitude des mouvements et les accès non autorisés, tout en fixant les limites d’accès en fonction du rôle de l’utilisateur, des données nécessaires, de l’emplacement géographique et des appareils en cours d’utilisation. Tout accès inapproprié aux données ou tout mouvement de fichiers/données dans l’organisation peut alors être automatiquement bloqué.

Avec une sécurité Zero Trust, des zones de protection sont créées pour fournir la visibilité, tandis que des mécanismes informatiques sont conçus pour sécuriser, gérer et surveiller chaque utilisateur, appareil, réseau, application ou paquet de données à la fois au niveau du périmètre et dans un environnement réseau.

L’une des façons d’appuyer le Zero Trust consiste à partir du principe que tout élément entrant ou sortant de votre réseau, ou se trouvant déjà dans le périmètre, constitue une menace par défaut, puis, à partir de ce principe, à configurer les différentes couches de sécurité. Une étape cruciale consiste à s’assurer que toute communication est bloquée tant qu’elle n’a pas été validée par des attributs ou politiques établis. Authentification multi-factorielle, attributs basés sur les identités, codes à usage unique, etc. : ces méthodes (et bien d’autres) offrent un niveau de sécurité élevé, qui accompagne les données communiquées, même sur des environnements réseau variés.

Text

Extension de la confiance adaptative

 

Les contrôles d'accès sont un élément clé du cadre de Zero Trust. Cependant, les acteurs malveillants sont suffisamment sophistiqués pour se faire passer pour des utilisateurs authentifiés. C'est là que la confiance adaptative joue un rôle clé. La confiance adaptative est le principe selon lequel un utilisateur de confiance est surveillé pour des activités qui accroissent le risque pour l'organisation. Une ligne de base est créée pour chaque utilisateur, et toute activité anormale déclenche une action. L'action peut être une alerte, ou elle peut impliquer le passage à une politique plus restrictive. L'analyse comportementale est utilisée pour créer une ligne de base d'activité normale comprenant plusieurs points de données, tels que l'heure de connexion, les sites visités et les données manipulées. Toute déviation par rapport à cette activité déclenche l'action ou l'ensemble d'actions.

Text

Une approche Zero Trust progressive et simplifiée

Le processus de développement d’une architecture Zero Trust peut être intimidant. Aussi, une approche incrémentale du Zero Trust peut vous aider à faire évoluer votre posture en matière de cybersécurité au fil du temps. John Grancarich, vice-président exécutif de Fortra, décrit un processus de gestion permettant d’atteindre l’objectif Zero Trust :

1. Se préparer à la transition vers le Zero Trust

Familiarisez-vous avec le périmètre et les principes du Zero Trust, effectuez un travail de découverte au niveau organisationnel, constituez une petite équipe de base. C’est seulement après l’étape de découverte organisationnelle que vous pourrez définir les frontières vitales en matière d’autorisation et d’authentification.

2. Classifier les actifs

Vous devez créer trois catégories d’impact qui répondront à la question suivante : « Quelles seraient les conséquences pour l’entreprise si l’actif X était compromis ?». En définissant trois catégories d’impact (élevé, modéré, faible), vous pourrez plus facilement focaliser votre attention et vos ressources sur des tactiques Zero Trust.

3. Sélectionner un premier ensemble d’actifs à traiter

Commencez par vous focaliser sur les utilisateurs, actifs et applications qui présentent la valeur et le risque les plus élevés. Ces éléments constitueront votre « surface de protection » et le début de votre avancée stratégique et progressive vers le Zero Trust. Demandez à votre équipe de base d’identifier vos dix priorités absolues. Ensuite, concentrez vos efforts sur trois priorités afin d’affiner votre stratégie pour l’avenir. Cette étape bouleverse le fonctionnement habituel de l’entreprise, mais s’avère indispensable pour garantir l’atteinte de l’objectif Zero Trust.

4. Déployer des contrôles de sécurité initiaux

Une fois ces priorités absolues identifiées, vous pouvez sélectionner, tester et évaluer de nouveaux processus, procédures, solutions technologies ou services.

5. Évaluer les performances de vos contrôles

Cette évaluation doit (comme le Zero Trust) être continue. Chaque contrôle de sécurité doit être continuellement évalué au niveau du système et des processus qui le gèrent.

6. Autoriser les systèmes

Cette importante étape consiste à soumettre l’ensemble des plans de sécurité et de confidentialité des systèmes, des rapports d’évaluation, des plans d’action et des diverses échéances à la direction générale afin d’obtenir son aval. Bien évidemment, une communication constante entre l’équipe centrale et la direction générale permet d’éviter les écueils lors de cette étape, et de progresser vers un modèle Zero Trust.

7. Surveiller les résultats et ajuster si besoin

La surveillance continue étant au cœur du Zero Trust, l’évaluation et la surveillance en sont des facteurs de réussite déterminants. Le mode opératoire dépend des solutions technologiques mises en place. Des règles doivent toutefois être établies afin que des actions puissent être déclenchées en fonction des comportements observés lors de la phase de surveillance.

Principes du modèle Zero Trust

Text

En adhérant à trois principes clés, les organisations peuvent bâtir leur modèle Zero Trust avec la certitude de respecter les strictes normes énoncées en 2021 obligant les agences fédérales américaines à respecter la publication NIST 800-207, étape obligatoire dans l’optique d’une implémentation Zero Trust. Cette norme, qui a fait l’objet d’un vaste processus de validation et de correction, mené auprès d’un éventail d’agences, de fournisseurs et de partenaires commerciaux, sert de référence aux entreprises privées. Les trois principes sont les suivants :

Interrompre toutes les connexions

Des technologies de pare-feu conventionnelles inspectent les fichiers à leur entrée sur le réseau. Lorsqu’un fichier intrusif ou malveillant est détecté, il est souvent déjà trop tard. Lorsque des solutions Zero Trust sont appliquées, chaque connexion est interrompue et l’ensemble du trafic (même crypté) est inspecté en temps réel. Cette inspection de « pré-destination » peut vous aider à vous prémunir des ransomwares, programmes malveillants et autres menaces externes.

Pourquoi choisir un modèle Zero Trust ?

Text

Si vous voulez savoir si un modèle Zero Trust conviendrait aux besoins de cybersécurité de votre organisation, vous devez tenir compte de l’augmentation globale de la cybercriminalité, notamment à l’heure où de plus en plus d’entreprises opèrent dans le cloud. Pouvez-vous vraiment vous permettre de voir vos données volées, détruites, voire tenues en otages par un ransomware ? De même, saurez-vous affronter la tempête médiatique qui s’abattra sur votre entreprise en cas de vol ou d’exposition d’informations personnellement identifiables (PII) de vos clients ou d’autres données sensibles (informations financières ou de santé, par exemple) ?
 

Les risques en matière de fuite de données et de cybersécurité continueront d’exister à court et à long termes. Toutefois, l’adoption d’un modèle Zero Trust est une stratégie efficace pour atténuer ces risques. En réduisant la surface d’attaque, vous pourrez réduire l’impact global, mais aussi le coût et la perte de ressources en cas de piratage.

Text

Cas d’utilisation d’un modèle Zero Trust

Respect des exigences de conformité

Si votre organisation est tenue de respecter certaines normes de l’industrie, comme la NIST 800-207 (gouvernement américain), la PCI DSS (industrie des cartes de paiement) ou encore les lois HIPAA et HITECH (secteur de la santé), le concept de connexion fermée sur lequel repose le Zero Trust contribue à empêcher l’exposition ou l’exploitation de données sensibles ou privées. Avec un modèle Zero Trust, vous pouvez définir des contrôles afin de séparer les données réglementées des données non réglementées, ce qui améliorera la visibilité en cas d’audit tout en réduisant le risque de fuite de données.

Contenu connexe : Principaux enseignements du décret de Biden sur la cybersécurité

Réduction globale du risque

Le précepte « Never trust, always verify » (Ne jamais faire confiance, toujours vérifier) du Zero Trust empêche les applications et les services de communiquer jusqu’à ce qu’ils aient été vérifiés par des principes de confiance prédéfinis, comme des spécifications d’authentification et d’autorisation. En fournissant des renseignements sur ce qui se trouve sur le réseau et sur la façon dont les actifs communiquent, le Zero Trust contribue à réduire le risque. En outre, cette stratégie peut continuellement confirmer le caractère acceptable de tous les actifs communicants, ce qui réduit le risque de surprovisionnement des logiciels et des services.

Meilleur contrôle d’accès à l’environnement cloud

Vous avez migré vos charges de travail dans le cloud ou opérez dans un environnement hybride ? Alors vos craintes de perdre le contrôle et la visibilité ne sont pas sans fondement. Toutefois, avec un modèle Zero Trust en place, vous pouvez appliquer des politiques de sécurité afin de valider les identités des charges de travail communicantes.

Ces politiques contribuent à sécuriser vos actifs qui ont le plus besoin d’être protégés, sans dépendre d’éléments de sécurité du réseau (comme les adresses IP, les protocoles ou les ports). Des solutions Zero Trust permettent aux charges de travail de bénéficier d’une couche de protection qui reste en place même si l’environnement évolue.

Réduction du risque de fuite de données

Les professionnels en cybersécurité l’affirment : une fuite de données n’est pas une hypothèse, mais une question de temps. Le Zero Trust et son principe du moindre privilège partent du principe que toutes les entités sont hostiles. Les organisations gagnent en sérénité lorsqu’elles savent que l’ensemble des transactions, utilisateurs et appareils sont inspectés et authentifiés avant d’obtenir la « confiance ». De plus, cette validation est continuellement évaluée afin de détecter les éventuels changements chez les utilisateurs, les appareils, les emplacements ou les demandes de données.

Et si, malgré tout, un pirate réussit à pénétrer dans votre réseau ou environnement cloud, les principes et tactiques Zero Trust appliquées l’empêcheront de subtiliser ou d’accéder à vos données sensibles : la segmentation des données par le modèle aura en effet rendu tout mouvement latéral impossibl

Comment Fortra facilite le déploiement d’un modèle de sécurité Zero Trust

Pour faciliter l’instauration d’un environnement Zero Trust, Fortra fournit des solutions de pointe et éprouvées qui contribuent à renforcer la sécurité de votre actif le plus précieux : vos données métier critiques.

Gestion des droits SFT

Un environnement Zero Trust garantit la sécurité des documents, lors d’un transfert at “rest”. Les solutions de transfert de fichiers sécurisé (SFT) comme GoAnywhere MFT peuvent prendre en charge la tâche complexe du déplacement sécurisé des fichiers. Lorsqu'elles sont associées à la passerelle Clearswift Secure ICAP Gateway et à la Digital Guardian Secure Collaboration, la protection des données est renforcée. L’application d’une DRM aux Secure Collaboration appliquée à MFT renforce le contrôle et la protection : les contrôles d’accès des fichiers cryptés suivent ces derniers au gré de leurs déplacements et sont révocables à tout moment – un élément clé du modèle Zero Trust.

Image
SFT Rights Management
Text

Autres solutions Fortra

CLASSIFICATION DES DONNÉES
PRÉVENTION DE LA PERTE DE DONNÉES (DLP)
GESTION DES DROITS NUMÉRIQUES (GDN)
TRANSFERT DE FICHIERS SÉCURISÉ
SURVEILLANCE DE L’INTÉGRITÉ

Zero Trust, c'est bien plus que la segmentation du réseau. Fortra peut vous aider à crypter et à partager en toute sécurité des données avec des personnes autorisées, tout en les protégeant contre les virus et les logiciels malveillants.

Offre groupée de transfert de fichiers Zero Trust de Fortra

Comment Fortra soutient la démarche Zero Trust

Zero Trust travaille avec des clients de tous les secteurs d'activité pour les accompagner dans leur démarche de Zero Trust. Plutôt que de résoudre chaque pièce du puzzle de la Zero Trust, nous servons d'allié et de partenaire dans le processus. Nous identifions les problèmes que vous devez résoudre et déterminons les contrôles qui conviennent à votre ensemble de problèmes. Consultez la fiche technique pour plus d'informations.

EN SAVIOR PLUS