Par Jimmy Nilsson
Aujourd'hui, une conversation sur la cybersécurité se transforme souvent en une conversation sur la confiance zéro. Cette tendance est motivée par les nombreux défis à relever pour s'adapter à notre nouvelle normalité, qu'il s'agisse de la décentralisation croissante du personnel ou de la menace grandissante des atteintes à la protection des données.
Mais si la confiance zéro peut sembler n'être qu'une expression à la mode, lorsque cette stratégie est correctement mise en œuvre, elle peut doter votre entreprise d'une stratégie défensive de premier ordre, en fournissant une protection adaptative axée sur les risques dans l'ensemble de vos opérations. Également connue sous le nom de « refus par défaut » ou « ne jamais faire confiance, toujours vérifier » le confiance zèro Trust considère l'ensemble du trafic comme non fiable.
Au-delà des avantages évidents de cette approche, tels que la réduction du risque de cyberattaque, une meilleure protection des données, une conformité accrue, etc., la confiance zéro peut modifier et améliorer la manière dont votre entreprise aborde la sécurité dans son ensemble. Elle peut également conduire à de nouvelles opportunités d'affaires et de revenus.
À l'heure actuelle, des modèles de confiance zéro sont mis en œuvre à grande échelle, tant dans le secteur public que privé, et l'intention de les adopter est très répandue. L'acceptation générale de la confiance zéro en tant que nouvelle pratique de pointe découle de la compréhension que les atteintes sont inévitables, une question de « quand » et non de « si ».
Les raisons de cette adhésion généralisée à la confiance zéro ne sont pas un mystère. La confiance zéro est un modèle puissant pour aider à prévenir les pertes financières. Nous sommes tous conscients du coût d'une seule atteinte à la protection des données, qui s'élève en moyenne à 9,4 millions de dollars aux États-Unis et à 4,4 millions de dollars dans le monde, rien que pour l'année 2022.1
Kyndryl estime que, si elle est bien mise en œuvre, la confiance zéro peut aider les entreprises à améliorer la cybersécurité, l'expérience des utilisateurs et la productivité, tout en réduisant les risques de dommages et de pertes. Toute entreprise doit garder à l'esprit trois principes clés lorsqu'il s'agit de la confiance zéro.
1. Changer de perspective
Le mieux est de commencer par clarifier, pour tous les intervenants concernés, ce que la confiance zéro n'est pas. Par exemple, il ne s'agit pas d'une politique ou d'un produit fixe. Il ne s'agit pas non plus d'un outil dédié au positionnement d'une pile technologique. Les solutions technologiques ne sont en fait qu'une facette de la confiance zéro.
La confiance zéro est, en fait, un changement d'état d'esprit. Jusqu'à présent, les opérations de sécurité ont été fortement cloisonnées, un département étant chargé de la vérification de l'identité, un autre de la sécurité des points terminaux, un autre du pare-feu, et ainsi de suite. La confiance zéro est un modèle qui s'applique à l'ensemble de l'entreprise et qui repose sur cinq piliers :
- Identité
- Dispositif
- Réseau
- Application
- Données
Pour qu'une politique de confiance zéro fonctionne, les départements qui gèrent ces piliers doivent s'unir, afin de tisser une toile de défense cohérente et collaborative. Bien qu'au fil des ans nous ayons perfectionné l'approche des architectures de sécurité cloisonnées et de défense en profondeur, la confiance zéro exige désormais un changement de cap vers des architectures de sécurité interconnectées et de défense en profondeur.
Pour opérer ce changement, nous devons examiner de près les éléments suivants :
- Comment nous abordons la sécurité
- Comment nous investissons dans la sécurité
- Comment nous mettons en œuvre une approche collaborative à travers les cinq piliers de la confiance zéro
Un exemple d'accès à distance
Prenons l'accès à distance comme cas d'utilisation. C'est un lundi matin et un employé à distance se connecte au réseau de son employeur établi à Toronto, depuis sa table de cuisine à Vancouver. Une fois connecté, sa première tâche de la journée consiste à consulter les fichiers d'un dossier stocké sur le nuage de son organisation.
Dans un système de périmètre traditionnel, l'emplacement de l'employé ou une simple authentification à deux facteurs suffisent souvent pour entrer dans le réseau de l'entreprise et y avoir un accès étendu. Comme cet employé n'est pas dans les locaux de l'entreprise, il peut lui être demandé d'effectuer une simple authentification à deux facteurs, au lieu d'une vérification fondée sur la géolocalisation.
Le problème est que si une autre tentative de connexion est effectuée à l'aide des mêmes informations d'identification une heure plus tard, à Dublin, en Irlande, l'accès pourrait quand même être accordé, tant que les conditions de l'authentification à deux facteurs sont reproduites avec précision. Mais avec la confiance zéro, l'accès ne serait pas automatiquement accordé.
Comment la confiance zéro améliorerait la situation
Avec la confiance zéro, chaque tentative d'accès à distance est analysée bien au-delà de la simple localisation ou connexion. Le modèle de confiance zéro exige que diverses technologies de défense soient conçues et mises en œuvre en tandem au sein de ces piliers de sécurité, afin de prendre des décisions non pas en fonction d'une politique de sécurité statique, mais plutôt d'informations provenant du plus grand nombre de sources possible.
Dans l'exemple de l'accès à distance, lorsque l'employé clique sur son identifiant et navigue vers un dossier spécifique, l'architecture de confiance zéro peut lancer une analyse de l'identité de l'employé, ainsi que de la sécurité de son dispositif. L'architecture de confiance zéro interroge :
- S'agit-il d'un dispositif de l'entreprise?
- A-t-il été mis à jour?
- A-t-il les bons contrôles de sécurité, du point de vue de l'identité?
- Cette identité a-t-elle été utilisée ailleurs au même moment ou récemment?
- Comment l'architecture peut-elle tirer parti de l'analyse des données pour déterminer si le trafic de cet utilisateur est typique ou non?
Cet écosystème de confiance zéro examinera également la charge de travail elle-même :
- La ressource à laquelle l'utilisateur tente d'accéder présente-t-elle des vulnérabilités connues?
- Si une menace est bel et bien détectée, comment le système est-il programmé pour réagir?
- Le trafic de données doit-il être entièrement interrompu ou l'accès peut-il simplement être réduit, sans risquer que la menace ne se propage?
Même si aucune menace active n'est détectée, la confiance zéro exige une vigilance constante. Elle interroge : Existe-t-il des menaces de sécurité généralisées dont l'entreprise devrait être informée et qu'elle devrait surveiller? Et en plus : les processus sont-ils tous conformes aux dernières exigences et réglementations du secteur d'activité?
Ce n'est qu'une fois que toutes ces questions, couvrant tous les piliers de sécurité, auront été posées et validées par la technologie et les processus en place, que l'employé pourra accéder au dossier dont il a besoin. C'est ça, la confiance zéro en action.
2. Aborder la confiance zéro par étapes
Au risque de paraître catégorique, nous estimons que les entreprises qui se lancent tête première dans des stratégies de confiance zéro à l'échelle de l'entreprise sont vouées à l'échec. La mise en œuvre du modèle de confiance zéro devrait être un processus continu et abordé par étapes. C'est pourquoi le point de départ optimal de la mise en œuvre de la confiance zéro diffère d'une entreprise à l'autre.
En ce qui concerne le processus, la première étape reste cependant la même : déterminer vos priorités. Déterminez ce qui compte le plus pour votre entreprise, du point de vue des risques. Ce point de départ est essentiel et fondamental pour la réussite d'une stratégie de confiance zéro.
Par exemple, votre entreprise est-elle sur le point de subir une transformation technologique majeure? Disposez-vous d'un système informatique contenant des processus commerciaux essentiels et des données sensibles, qui pourrait être vulnérable à une atteinte? Ensuite, appliquez ces connaissances et profitez rapidement des avantages obtenus. À partir de là, vous pouvez prendre de l'élan et continuer à développer un plan de déploiement sur mesure, adapté à votre entreprise.
La confiance zéro est un processus sans point terminal réel. La mise en œuvre se compte en années, et non en mois. Il est donc important de se concentrer sur les avantages réels et tangibles de cette stratégie. C'est pourquoi nous encourageons également nos clients à tirer parti de nouvelles opportunités commerciales.
3. Saisir de nouvelles opportunités commerciales
Une fois que vous avez amené votre entreprise à comprendre ce qu'est la confiance zéro et que vous avez lancé une approche stratégique de mise en œuvre, l'étape la plus difficile est franchie. Il est maintenant temps de profiter de ce que cette stratégie a à offrir.
Tout d'abord, la confiance zéro ouvre de nouvelles opportunités. Elle permet à votre équipe de mener ses activités d'une manière nouvelle et plus sécurisée et d'assurer l'avenir des opérations afin de mieux se protéger contre des méthodes de piratage de plus en plus sophistiquées.
Voici un exemple : l'informatique de périphérie. De nombreuses entreprises ont adopté des solutions de périphérie pour créer de nouvelles sources de revenus dans l'ensemble de leurs activités. Toutefois, en raison de la nature de l'informatique de périphérie, les données sont plus décentralisées que jamais. C'est passionnant, car cela permet d'élaborer des solutions nouvelles et innovantes. Mais cela nécessite également une nouvelle approche de la sécurité. C'est là que la confiance zéro entre en jeu.
En appliquant des contrôles et des processus de vérification plus larges, la confiance zéro permet au personnel décentralisé et à leurs systèmes informatiques répartis de travailler avec des données sensibles où qu'ils se trouvent, de manière plus efficace et plus sécurisée.
Jimmy Nilsson est directeur en chef délégué et responsable mondial de Confiance zéro chez Kyndryl Consult.
