Zero Gravity: Chris Childerhose Talks Tech with the Ootbi VSA | Join us >>

Sécurité Zero-Trust : Ne supposez rien, vérifiez tout

Le Zero Trust est un modèle de sécurité de niveau militaire officiellement approuvé par le Département de la Défense des États-Unis. C'est un paradigme de sécurité hermétique qui ne fait confiance à personne, n'accorde aucune autorisation ultime et surveille constamment les menaces potentielles à chaque niveau organisationnel.

Les entreprises considèrent la sécurité Zero Trust comme essentielle à leur fonctionnement, car la connectivité sans entrave, le travail à distance et la collaboration transfrontalière ont brouillé les frontières entre des environnements commerciaux sûrs et non sûrs.

Dans cet article, vous découvrirez ce qu'est le Zero Trust, comment et pourquoi vous devriez l'appliquer, et ce que vous pouvez en tirer. Prenez exemple sur le Pentagone et utilisez le Zero Trust pour renforcer votre entreprise contre les hackers.

Qu'est-ce que le Zero Trust ?

Le Zero Trust est un modèle de sécurité qui s'éloigne des défenses traditionnelles basées sur le périmètre. Au lieu de cela, il impose une authentification à court terme et une autorisation de moindre privilège à chaque acteur à l'intérieur et à l'extérieur d'une organisation.

Le Zero Trust signifie que chaque personne au sein de l'organisation pourrait être un vecteur d'attaque potentiel, qu'il soit intentionnel ou non. Les logiciels malveillants, l'ingénierie sociale et d'autres techniques de piratage ne laissent personne à l'abri de devenir un outil entre les mains d'un criminel.

Tous les avantages du Zero Trust peuvent être résumés en une seule déclaration : une immunité maximale contre les menaces et des conséquences minimales si elles se produisent. Tous les principes et technologies du Zero Trust travaillent vers cet objectif unique.

Comment fonctionne le Zero Trust ?

En essence, l'architecture Zero Trust repose sur une politique de sécurité dynamique et une collecte d'intelligence de sécurité à l'échelle du système.

Une politique de sécurité dynamique exige que les organisations définissent des règles claires régissant l'accès et le contrôle de leurs actifs et ressources. Elles doivent être aussi granulaires que possible, ce qui réduit les zones de confiance et contient les menaces potentielles dans des zones gérables.

Une fois la politique dynamique en place, l'intelligence de sécurité doit fonctionner. Cela implique de collecter et d'analyser les journaux réseau, les identifiants d'utilisateur, les modèles comportementaux, les données de géolocalisation, les bases de données de menaces et d'autres informations qui aident à mettre en œuvre la politique.

Principes principaux de la sécurité Zero Trust

La sécurité Zero Trust est basée sur les principaux principes suivants :

  • Surveillance et validation continues. Toutes les ressources sont verrouillées par défaut. Les jetons d'accès expirent rapidement, obligeant les utilisateurs à ressaisir leurs identifiants à intervalles courts.
  • Accès de moindre privilège. Les utilisateurs ne sont autorisés que dans la mesure où cela leur permet d'effectuer leurs tâches sur une ressource.
  • Contrôle d'accès des appareils. Le filtrage de sécurité s'applique non seulement aux utilisateurs mais aussi aux machines tentant de se connecter au réseau.
  • Micro-segmentation. Toutes les ressources sont divisées en segments afin qu'une violation de sécurité n'affecte qu'une petite portion gérable des actifs de l'organisation.
  • Limitation des mouvements latéraux. Les hackers ne peuvent plus se déplacer librement dans le réseau une fois à l'intérieur, car tous les accès sont à court terme, de moindre privilège et segmentés.
  • Authentification multi-facteurs. Les utilisateurs doivent fournir plus d'une preuve de leur identité, par exemple des mots de passe et des codes SMS.

Cas d'utilisation du Zero Trust

Le Zero Trust améliorera la sécurité dans chaque entreprise, mais sa mise en œuvre nécessite un effort à l'échelle de l'organisation. Il est compréhensible que toutes les entreprises ne soient pas prêtes à faire cet engagement. Cependant, investir dans le Zero Trust vaut la peine d'être envisagé dans plusieurs circonstances spécifiques. Envisagez le Zero Trust si vous êtes :

  • Préoccupé par les ransomwares. Une attaque par ransomware réussie dépend de la capacité de l'attaquant à pénétrer le système cible et à obtenir un contrôle suffisant pour effectuer le chiffrement.
  • Employant des travailleurs à distance ou communiquant avec des sources de données non-entreprise. Tout trafic extérieur vers votre organisation, qu'il provienne de personnes ou de services externes tels que SaaS ou API, augmente le danger d'attaques malveillantes.
  • À la recherche d'une alternative plus sûre au VPN. Les VPN ne sont pas conformes aux principes du Zero Trust car ils permettent un accès généralisé à votre réseau.
  • Gérant un environnement cloud ou multi-cloud. Les infrastructures cloud, multi-cloud ou hybrides sont plus exposées aux attaques que les infrastructures sur site.
  • Obligé par la loi ou par une assurance de mettre en œuvre le Zero Trust. Certaines organisations, telles que les institutions gouvernementales aux États-Unis, sont contraintes par la loi de suivre les protocoles Zero Trust.
    De même, une vague croissante d'attaques par ransomware oblige les assureurs à inclure des exigences similaires dans leurs termes et conditions.

Comment mettre en œuvre le Zero Trust ?

La mise en œuvre du Zero Trust comprend trois grandes étapes.

Étape 1 : Visualisation

Créer une carte détaillée de toutes les ressources de l'entreprise, ainsi que des identités de confiance, des points de terminaison, des charges de travail et des voies d'attaque possibles de l'intérieur et de l'extérieur de l'organisation.

Étape 2 : Atténuation

Concevoir et déployer des mesures de sécurité automatisées : surveillance et vérification en temps réel, analyses continues, accès de moindre privilège, segmentation du réseau et autres moyens qui réduisent la probabilité et l'impact des menaces.

Étape 3 : Optimisation

Améliorer l'expérience utilisateur sans compromettre la sécurité. Une bonne solution est l'accès conditionnel basé sur le risque, un mécanisme qui demande aux utilisateurs des identifiants s'il détecte une activité suspecte associée à eux.

Si vous souhaitez en savoir plus sur la mise en œuvre du Zero Trust, veuillez consulter notre guide.

Meilleures pratiques de sécurité Zero Trust d'Object First

Chez Object First, nous voulons que vous ne payiez plus jamais de rançon. Le Zero Trust vous aidera à atteindre cet objectif, d'autant plus si vous vous souvenez de quelques meilleures pratiques.

Découvrez nos Six Everything :

  • Tout scanner. Nous ne saurions trop insister sur ce point : ce que vous ne voyez pas, vous ne pouvez pas le contrôler. Efforcez-vous de surveiller 100 % de tout le trafic dans votre organisation.
  • Tout mettre à jour. Gardez votre firmware, vos logiciels et vos bases de données de menaces à jour. Il faut moins de temps pour exploiter une vulnérabilité ou injecter un logiciel malveillant que pour lire cet article.
  • Tout restreindre. Accordez uniquement une autorisation de moindre privilège. Ne donnez à personne les outils dont il n'a pas besoin, sinon vous pourriez être surpris de la façon dont ils les utilisent.
  • Tout segmenter. Fragmenter votre environnement pour contenir les violations si elles se produisent. Plus la division est fine, moins les dommages sont importants.
  • Tout authentifier par matériel. Un message texte peut être falsifié ou intercepté. Il est plus difficile de contrefaire un jeton basé sur du matériel.
  • Tout équilibrer. Ne lancez pas trop d'exigences de sécurité à l'utilisateur. Un humain vexé ne pense pas clairement et cède plus facilement à l'erreur.

FAQ

Qu'est-ce que le Zero Trust en termes simples ? 

En termes simples, le Zero Trust suppose que tout le trafic peut comporter une menace, il le surveille donc en permanence et n'accorde qu'un accès limité aux ressources.

Quels sont les cinq piliers du Zero Trust ? 

Les cinq piliers du Zero Trust font référence aux domaines fournissant des informations et des aperçus sur le système protégé par le Zero Trust. Ces domaines incluent : Identité, Appareils, Applications et Charges de travail, et Données.

Quel est un exemple de Zero Trust ?

La sécurité Zero Trust est utile chaque fois qu'une ressource appartenant à l'entreprise rencontre une ressource non-entreprise. Considérez ces quatre exemples :
1. Un entrepreneur tiers a besoin d'accéder à votre réseau.
2. Un travailleur à distance sur du matériel de l'entreprise doit se connecter à un service externe.
3. Votre entreprise utilise des appareils IoT qui externalisent leur charge de travail vers le cloud computing.
4. Votre entreprise utilise l'informatique distribuée.

Qu'est-ce que le ZTNA ?

ZTNA signifie Zero Trust Network Access. C'est une passerelle qui protège et gère l'accès aux ressources sous le paradigme Zero Trust.
Les caractéristiques clés du ZTNA incluent l'octroi d'accès par ressource et par utilisateur, la différenciation entre l'accès au réseau et l'accès aux applications, et la dissimulation des adresses IP des entités authentifiées.

Qu'est-ce que le NIST SP 800-207 ?

Le NIST SP 800-207 est un cadre Zero Trust développé par le National Institute of Standards and Technology. Il se compose de Control Plane, qui filtre les demandes d'accès via un Point de Décision de Politique (PDP) ; et de Data Plane, qui exécute les décisions via un Point d'Application de Politique (PEP).

Actualités produit

En soumettant ce formulaire, je confirme avoir lu et approuvé la Politique de confidentialité.