Par Jimmy Nilsson
De nos jours, une conversation sur la cybersécurité se transforme le plus souvent en une conversation sur le Zero Trust. Cette tendance est motivée par les nombreux défis liés à l'adaptation à notre nouvelle normalité, incluant notamment une main-d'œuvre de plus en plus décentralisée et une menace croissante des fuites de données.
Mais bien que le Zero Trust puisse paraître n'être qu'un mot à la mode, lorsque la stratégie est correctement mise en œuvre, elle peut doter votre entreprise d'une stratégie défensive exceptionnelle qui fournit à toutes vos opérations une protection adaptative basée sur les risques. Également connu sous le nom de « refuser par défaut » ou « ne jamais faire confiance, toujours vérifier » le Zero Trust considère tout le trafic comme non fiable.
Au-delà des avantages évidents d'une telle approche, tels qu'un risque de cyberattaque réduit, des données mieux protégées, une conformité améliorée etc., le Zero Trust pourrait bien changer et améliorer la façon dont votre entreprise aborde la sécurité dans son ensemble. Une telle approche peut également ouvrir la voie à de nouvelles collaborations commerciales et amener de nouvelles opportunités de revenus.
Actuellement, un grand nombre d'organismes gouvernementaux et de secteurs industriels implémentent des modèles Zero Trust, et cette tendance se généralise. L'acceptation générale du Zero Trust en tant que nouvelle pratique exemplaire découle de la compréhension que les fuites sont inévitables : la question n'est pas « si » mais « quand ».
Les raisons de l'adoption généralisée du Zero Trust ne sont pas un mystère. Le Zero Trust est un modèle puissant qui aide à éviter les pertes financières. Nous savons tous à quel point une seule fuite coûte cher, avec des coûts moyens totalisant 9,4 millions de dollars aux États-Unis et 4,4 millions de dollars dans le monde rien qu'en 2022.1
Kyndryl estime que, s'il est bien exécuté, le Zero Trust peut aider les entreprises à améliorer la cybersécurité, l'expérience utilisateur et la productivité, tout en réduisant les risques de détérioration et de perte. Il y a trois idées clés que toutes les entreprises doivent garder à l'esprit en matière de Zero Trust.
1. Changer de perspective
Le mieux est de commencer par expliquer clairement à toutes les parties prenantes impliquées ce que le Zero Trust n'est pas. Par exemple, il ne s'agit ni d'une politique fixe ni d'un produit. Et il ne s'agit pas non plus d'un outil dédié au positionnement d'une pile technologique. Les solutions technologiques, en effet, ne représentent qu'une partie du Zero Trust.
Le Zero Trust est un changement de l'état d'esprit. Historiquement, les opérations de sécurité ont été très cloisonnées : un département est en charge de la vérification des identités, un autre de la sécurité des nœuds finaux, un autre des firewalls, etc. Le Zero Trust est un modèle à l'échelle de l'entreprise, qui comprend cinq piliers :
- Identité
- Appareils
- Réseau
- Application
- Données
Pour qu'une politique Zero Trust fonctionne, les départements qui gèrent ces piliers doivent ne faire qu'un pour tisser une toile de défense cohérente et collaborative. Tandis qu'au fil des ans nous avons développé l'approche des architectures de sécurité cloisonnées et de protection en profondeur, le Zero Trust exige désormais de se tourner vers des architectures de sécurité interconnectées et de protection en profondeur.
Pour y parvenir, nous devons examiner de près :
- Notre approche de la sécurité
- Nos investissements dans la sécurité
- Notre manière d'exécuter une approche collaborative dans les cinq piliers du Zero Trust
L'exemple de l'accès à distance
Considérons l'accès à distance comme un cas d'utilisation. Un lundi matin, un télétravailleur travaille depuis sa cuisine, à Denver, et se connecte au réseau de son employeur basé à New York. Une fois connecté, la première tâche de sa journée journée de travail consiste à consulter des fichiers qui se trouvent dans un dossier enregistré sur le cloud de son organisation.
Dans un système au périmètre traditionnel, la localisation de l'employé ou une simple authentification à deux facteurs suffit souvent pour avoir un accès important au réseau de l'entreprise. Étant donné que cet employé n'est pas au bureau, une simple authentification à deux facteurs peut lui être demandée à la place d'une vérification en fonction de sa localisation.
Le problème est que si une autre tentative de connexion est effectuée avec ces mêmes informations d'identification une heure plus tard, à Dublin, en Irlande, l'accès pourra toujours être accordé, pourvu que les conditions de l'authentification à deux facteurs soient correctement répliquées. Mais avec le Zero Trust, l'accès ne sera pas automatiquement accordé.
En quoi le Zero Trust améliore le scénario ?
Avec le Zero Trust, chaque tentative d'accès à distance est analysée bien au-delà de la simple localisation ou de l'ouverture de session. Le modèle Zero Trust exige que différentes technologies de défense soient conjointement conçues et mises en œuvre sur ces piliers de sécurité, afin de prendre des décisions non pas en se basant sur une politique de sécurité statique mais plutôt sur des informations provenant d'autant de sources que possible.
Dans l'exemple de l'accès à distance, lorsque l'employé ouvre une session et accède à un dossier spécifique, l'architecture Zero Trust peut se lancer en analysant l'identité de l'employé et la sécurité de l'appareil utilisé. L'architecture Zero Trust pose les questions suivantes :
- S'agit-il d'un appareil d'entreprise ?
- Des correctifs ont-ils été installés ?
- Dispose-t-il des contrôles de sécurité adéquats pour vérifier l'identité ?
- Cette identité a-t-elle été utilisée ailleurs au même moment ou récemment ?
- Comment exploiter l'analyse des données pour savoir si le trafic de cet utilisateur est typique ou non ?
Cet écosystème Zero Trust va également scruter la charge de travail elle-même :
- La ressource à laquelle l'utilisateur tente d'accéder présente-t-elle des vulnérabilités connues ?
- Si une menace est effectivement détectée, comment le système est-il programmé pour y répondre ?
- Faut-il arrêter complètement le trafic ou l'accès peut-il simplement être restreint sans risquer de voir la menace se propager ?
Même si aucune menace active n'est détectée, le Zero Trust exige une vigilance continue. Il pose la question suivante : Existe-t-il des menaces de sécurité majeures que l'organisation doit connaître et surveiller ? Et il demande également : tous ces processus sont-ils conformes aux dernières exigences et réglementations du secteur ?
Ce n'est qu'une fois que ces questions ont été posées et les réponses vérifiées grâce aux technologies et processus en place, sur tous les piliers de sécurité, que l'employé est autorisé à accéder au fichier dont il a besoin. C'est comme cela que le Zero Trust fonctionne.
2. Les étapes de l'approche Zero Trust
Au risque de paraître sévères, nous pensons que les entreprises qui foncent tête baissée dans des stratégies Zero Trust à l'échelle de l'entreprise sont vouées à l'échec. L'implémentation du modèle Zero Trust doit être un processus continu, abordé étape par étape. C'est pourquoi le point de départ idéal à l'implémentation du modèle Zero Trust est différent pour chaque entreprise.
Toutefois, à l'échelle du processus, la première étape reste la même : vous devez déterminer vos priorités. Établissez ce qui compte le plus pour votre société, du point de vue des risques. Il s'agit d'un point de départ clé et fondamental pour réussir une stratégie Zero Trust.
Par exemple, votre entreprise est-elle sur le point de connaître une transformation technologique majeure ? Disposez-vous d'un système informatique complet de processus métier critiques et de données sensibles, susceptibles d'être vulnérables à une fuite ? Ensuite, appliquez ces renseignements et profitez des gains rapides. À partir de là, vous pouvez créer une dynamique et continuer à développer un plan de déploiement sur mesure qui a du sens uniquement pour votre entreprise.
Le Zero Trust est un process sans vraie fin. Son implémentation est une question d'années, et non de mois. Il est donc important de rester focalisé sur les avantages réels et tangibles de cette stratégie. C'est pourquoi nous encourageons également nos clients à profiter de nouvelles opportunités commerciales.
3. Découvrir de nouvelles opportunités commerciales
Une fois que vous avez permis à votre entreprise de comprendre le Zero Trust et initié une approche d'implémentation stratégique, le plus dur est derrière vous. Le moment est venu de profiter de ce que cette stratégie a à offrir.
Tout d'abord, le Zero Trust offre de nouvelles opportunités. Il permet à votre équipe de faire des affaires en ayant recours à de nouvelles manières plus sécurisées et de mieux protéger les opérations à venir des méthodes de piratage de plus en plus sophistiquées.
Voici un exemple : l'edge computing. De nombreuses entreprises ont adopté des solutions edge pour développer de nouveaux flux de revenus dans leur entreprise. Cependant, en raison de la nature du edge, les données n'ont jamais été aussi décentralisées. Tout cela est passionnant, car il est ainsi possible de créer de nouvelles solutions innovantes. Mais cela nécessite également une nouvelle approche en matière de sécurité. C'est à ce moment-là que le Zero Trust entre en jeu.
En appliquant des contrôles et des processus de vérification plus larges, le Zero Trust permet une répartition de la main d'œuvre et du réseau informatique. Cela permet de travailler avec des données sensibles quel que soit l'endroit où elles sont stockées, de manière plus efficace et plus sécurisée.
Jimmy Nilsson est Managing Director and Global Domain Lead pour le Zero Trust, Kyndryl Consult.