Comment mettre en œuvre une stratégie de sécurité "zero trust" ?
Fortinet
Zero Trust part du principe qu'il existe des menaces permanentes tant à l'extérieur qu'à l'intérieur du réseau. Zero Trust part également du principe que toute tentative d'accès au réseau ou à une application constitue une menace. Il s'agit d'une philosophie de sécurité réseau selon laquelle il ne faut faire confiance à personne à l'intérieur ou à l'extérieur du réseau tant que son identité n'a pas été vérifiée de manière approfondie. Ces hypothèses sont à la base de la stratégie des administrateurs de réseau et les obligent à développer des mesures de sécurité strictes et sans confiance.
Il existe une idée trop répandue selon laquelle la mise en œuvre d'une architecture "zero trust" nécessite une refonte complète du réseau. Il est certain que certains travaux lourds sont nécessaires, mais pour une mise en œuvre réussie, il est important d'avoir le bon cadre et les bons outils pour l'exécuter. Chaque environnement a besoin d'une architecture zéro-trust cohérente. Il s'agit d'un changement culturel qui représente souvent un changement plus important que le changement technologique. Il s'agit d'un état d'esprit et d'un engagement à changer la manière dont l'accès est accordé et dont la sécurité est assurée dans toute l'entreprise.
Une stratégie de sécurité "zéro confiance" détermine le bon accès et les bons besoins
La première étape du développement d'une architecture "zéro confiance" consiste à décider qui peut faire quoi - et c'est probablement la tâche la plus difficile. Il faut déterminer qui a le droit d'accéder à quelles ressources, en fonction des ressources, afin que chacun puisse accomplir sa tâche. Ensuite, il faut s'assurer que les appareils que les gens utilisent sont correctement sécurisés.
La mise en place de Zero Trust Access (ZTA) implique des contrôles d'accès de bout en bout pour les applications, des technologies puissantes pour le contrôle d'accès au réseau et des fonctions d'authentification fortes. L'un des aspects de Zero Trust Access qui se concentre sur le contrôle de l'accès aux applications est Zero Trust Network Access (ZTNA). ZTNA étend les principes de ZTA pour vérifier les utilisateurs et les appareils avant chaque session d'application afin de confirmer qu'ils respectent les politiques de l'entreprise en matière d'accès à cette application. ZTNA prend en charge l'authentification à facteurs multiples afin de garantir un niveau de vérification maximal.
L'utilisation du modèle Zero-Trust pour l'accès aux applications ou ZTNA permet aux entreprises de moins compter sur les tunnels VPN (Virtual Private Network) traditionnels pour sécuriser les installations auxquelles on accède à distance. Un VPN offre souvent un accès illimité au réseau, ce qui peut permettre à des utilisateurs compromis ou à des logiciels malveillants de se déplacer latéralement sur le réseau et d'exploiter les ressources. Cependant, ZTNA applique les politiques de la même manière, que les utilisateurs se trouvent à l'intérieur ou à l'extérieur du réseau. Une entreprise bénéficie donc de la même protection, quel que soit l'endroit d'où un utilisateur se connecte.
La mise en œuvre d'une politique de sécurité ZTA efficace doit inclure une authentification sécurisée. De nombreuses violations de la sécurité sont dues à des comptes d'utilisateur et des mots de passe compromis, c'est pourquoi il est essentiel d'utiliser une authentification à plusieurs niveaux. Lorsque les utilisateurs doivent fournir deux facteurs d'authentification ou plus pour accéder à une application ou à d'autres ressources du réseau, un niveau de sécurité supplémentaire est ajouté pour lutter contre les menaces de cybersécurité.
Il faut également s'assurer que les utilisateurs ne disposent pas de droits d'accès inappropriés ou excessifs. L'application de la pratique ZTA du "moindre droit d'accès" dans le cadre de la gestion des accès signifie qu'en cas de compromission d'un compte utilisateur, les cyber-attaquants n'ont accès qu'à un sous-ensemble limité des ressources de l'entreprise. Cela est comparable à la segmentation du réseau, mais sur une base personnelle. Les utilisateurs ne doivent être autorisés à accéder qu'aux ressources dont ils ont besoin pour leurs tâches respectives.
S'assurer que tous les appareils sont sécurisés avec Zero Trust
La sécurité des appareils joue également un rôle central dans la mise en œuvre d'une politique de sécurité efficace de type "zero trust". Il est essentiel de s'assurer que les appareils utilisés par les personnes sont correctement sécurisés. Cela est d'autant plus important que les appareils IoT se répandent et deviennent des cibles plus importantes pour les cyber-attaquants.
Étant donné que les appareils IdO ne sont pas en mesure d'installer des logiciels et ne disposent pas de fonctions de sécurité intégrées, ils sont essentiellement "sans tête". Avec les progrès technologiques, l'interconnexion des écosystèmes IdO avec le réseau de l'entreprise et l'ensemble de l'internet a également évolué.
Cette nouvelle connectivité et l'expansion des appareils compatibles IP signifient que les appareils IoT sont devenus une cible principale pour les cybercriminels. La plupart des appareils IoT ne sont pas conçus pour la sécurité et beaucoup ne disposent pas de systèmes d'exploitation traditionnels, ni d'une puissance de traitement ou d'une mémoire suffisante pour intégrer des fonctions de sécurité.
L'un des avantages de la ZTA est qu'elle peut authentifier les terminaux et les dispositifs IoT afin de mettre en place et de maintenir un contrôle administratif complet et de garantir la visibilité de chaque composant connecté au réseau. Pour les appareils IoT sans casque, les solutions NAC (Network Access Control) peuvent prendre en charge la détection et le contrôle d'accès. Grâce aux politiques NAC, les entreprises peuvent appliquer les principes Zero-Trust d'accès minimal aux appareils IoT et n'accorder que l'accès réseau nécessaire à l'accomplissement de leurs tâches. Développer une politique de sécurité Zero Trust solide
Lorsqu'il s'agit de sécurité zéro confiance, vous devez développer et exécuter un plan qui garantit des protocoles et des politiques cohérents qui seront mis en œuvre sur l'ensemble du réseau. Indépendamment de qui, où ou à quoi ils veulent accéder, les règles doivent être cohérentes. Cela signifie que vous devez trouver des outils de sécurité zéro-trust qui ne sont pas uniquement adaptés au cloud, car si vous exploitez un réseau hybride, vous devez appliquer les mêmes règles zéro-trust à votre campus physique qu'à vos employés/actifs distants. En comparaison, rares sont les entreprises qui travaillent exclusivement dans le cloud ; la plupart ont adopté une approche hybride, et pourtant, de nombreux fournisseurs de solutions "zero-trust" développent des solutions exclusivement dans le cloud.
Au cours de l'année écoulée, les entreprises ont commencé à s'appuyer davantage sur des environnements hybrides et multi-cloud pour soutenir leurs besoins actuels en matière de transformation numérique. Selon un récent rapport de Fortinet, 76 % des entreprises interrogées ont déclaré utiliser au moins deux fournisseurs de cloud.
Un aspect important à prendre en compte est la différence entre les différentes plateformes de cloud. Chacune dispose d'outils et de fonctions de sécurité intégrés différents, avec des capacités, des structures de commande, une syntaxe et une logique différentes. Le centre de données est toujours un environnement différent. En outre, les entreprises peuvent migrer vers et hors des clouds. Chaque nuage offre des avantages uniques et il est important que l'organisation soit en mesure d'utiliser les nuages qui répondent à ses besoins commerciaux ; la cybersécurité ne doit pas l'entraver. Cependant, étant donné que chaque fournisseur de cloud offre des services de sécurité différents avec des outils et des approches différents, chacun de vos clouds devient un silo indépendant dans une infrastructure de sécurité réseau fragmentée, ce qui n'est pas une configuration idéale.
Cependant, si vous disposez d'une superposition de sécurité commune pour tous ces centres de données et clouds, vous fournissez une couche d'abstraction au-dessus des outils individuels, ce qui vous donne une visibilité à travers les clouds, un contrôle sur ceux-ci et la possibilité d'établir une attitude de sécurité commune, quel que soit l'endroit où se trouve une application ou son déplacement.
Par conséquent, les applications peuvent se trouver n'importe où - sur le campus, dans une succursale, dans le centre de données ou dans le cloud. C'est pourquoi il est si important de s'assurer que votre approche "zero trust" peut fournir les mêmes protocoles, quel que soit l'endroit où les employés se trouvent physiquement et comment ils accèdent aux ressources de l'entreprise.
Mise en œuvre d'une architecture "zero trust" pour une sécurité renforcée
Alors que les frontières du réseau s'estompent de plus en plus, en partie à cause des technologies d'edge computing et de la délocalisation globale du travail sur des sites distants, les entreprises doivent exploiter chaque avantage de sécurité disponible. Cela implique de savoir comment mettre en œuvre une stratégie de sécurité "zero trust". Étant donné qu'il existe tant de menaces externes et internes, il convient de traiter comme une menace toute personne ou chose qui tente d'accéder au réseau et à ses applications. Les mesures de sécurité non basées sur la confiance ne nécessitent pas une révision complète du réseau, mais conduisent à une protection plus forte du réseau. Si vous prenez la peine de mettre en place Zero Trust Access et son dérivé, Zero Trust Network Access, vous libérez votre équipe de sécurité informatique d'un travail supplémentaire et augmentez considérablement votre quotient de sécurité.