Au-delà des cyber mots à la mode : ce que les dirigeants doivent savoir sur Zero Trust

Que signifie vraiment « confiance zéro » ?

Inventé en 2010 par Forrester Research, Zero Trust est un modèle de cybersécurité que les entreprises peuvent utiliser pour supprimer les interactions risquées et implicitement fiables entre les utilisateurs, les machines et les données. Le modèle Zero Trust fournit un processus permettant aux organisations de se protéger contre les menaces, quel que soit le vecteur d'où provient la menace, qu'elle vienne du monde entier ou de Sandy au bout du couloir. Les trois grands principes à suivre pour tirer parti des avantages de ce modèle étaient :

• S'assurer que toutes les ressources sont accessibles en toute sécurité, quel que soit leur emplacement.
• Adoptez une stratégie de moindre privilège et appliquez strictement le contrôle d'accès.
• Inspectez et enregistrez tout le trafic.

Après 11 ans, ces idées et principes ont mûri face à la transformation numérique croissante, au travail à distance et à la prolifération de l'apport de votre propre appareil. De nouveaux principes se sont développés à la lumière du gouvernement fédéral des États-Unis exigeant Zero Trust, codifié dans le NIST 800-207 avec plus de détails dans l'architecture Zero Trust du NCCoE. Ces principes sont : 

• Passer de la segmentation du réseau à la protection des ressources telles que les actifs, les services, les workflows et les comptes réseau.
• Faites en sorte que les fonctions d'authentification et d'autorisation (à la fois sujet/utilisateur et périphérique) soient exécutées à chaque session, à l'aide d'une authentification forte.
• Assurez une surveillance continue.

Pourquoi est-ce important en cybersécurité ?

Le passage à Zero Trust a été l'un des changements les plus importants dans la façon dont les entreprises abordent la sécurité. Avant d'adopter un état d'esprit Zero Trust, la plupart des entreprises ont essayé de gérer la sécurité comme une fonction fermée. Une fois qu'une transaction a été validée dans la zone fermée, elle était naturellement digne de confiance.

Cette approche pose problème car les vecteurs de menace ne proviennent pas toujours de l'extérieur de cette zone. De plus, le monde dans son ensemble continue d'adopter la transformation numérique et les effectifs hybrides, annulant le concept de ressources qui n'existent que derrière une porte. Les méthodes Zero Trust nécessitent la validation continue de chaque élément de chaque interaction, quel que soit l'endroit où elles se produisent, y compris tous les utilisateurs, machines, applications et données. Il n'y a pas de zone de confiance implicite.

Quelle est la rotation autour de ce mot à la mode ?

Aujourd'hui, de nombreux fournisseurs produisent Zero Trust, nommant leurs produits comme « solutions Zero Trust » en eux-mêmes, plutôt que de reconnaître que Zero Trust est un modèle et un cadre stratégique, pas une solution de produit. En examinant le marché de la cybersécurité, vous verrez des fournisseurs essayer de prétendre qu'un titre supposé est « LE joueur Zero Trust ».

À y regarder de plus près, cependant, ces fournisseurs n'abordent généralement qu'un seul principe de Zero Trust. Par exemple, créer des services de tunneling entre les utilisateurs et les applications. Cela rejoint le deuxième principe d'origine : adopter une stratégie de moindre privilège et appliquer strictement le contrôle d'accès. Cependant, ce même fournisseur peut échouer sur le premier principe : s'assurer que toutes les ressources sont accessibles en toute sécurité, quel que soit leur emplacement. Lorsqu'ils croient implicitement que l'utilisateur n'est pas un vecteur de menace, ils ne recherchent pas les logiciels malveillants ou les exploits à l'intérieur du tunnel.

D'autres peuvent ne couvrir que certains des aspects du premier principe original, comme essayer de prétendre que les contrôles d'identité et d'autorisation sont ce qui fait Zero Trust. Les fournisseurs peuvent également suggérer que seul le trafic Web doit être analysé. Cependant, lorsque seule une couverture partielle du modèle est mise en œuvre, les entreprises risquent de créer une confiance implicite qui les expose à des vulnérabilités qui seraient autrement couvertes par les principes restants.

Nos conseils : ce que les dirigeants devraient considérer lors de l'adoption de zéro Confiance?

La première étape consiste à recadrer votre réflexion sur la manière dont les entreprises doivent être sécurisées, en passant d'une approche fermée à une approche qui valide en permanence toutes les interactions. Pour vous aider à effectuer ce changement : 

•  Définissez les ressources que votre entreprise doit protéger, où elles existent et quelles interactions doivent circuler autour, dans et à travers elles.
• N'oubliez pas que les utilisateurs, les applications et l'infrastructure/les appareils doivent tous être couvert pour chaque interaction qu'ils créent.
• Comprenez que les interactions consistent en l'identité, l'accès, l'appareil/la charge de travail et les transactions.

Ensuite, appliquez des modifications avec un plan, en commençant par les utilisateurs, les actifs et les interactions les plus critiques de votre entreprise. Ce seront vos joyaux de la couronne et des choses qui peuvent être liées à la finance ou à la propriété intellectuelle. Ensuite, au fil du temps, élargissez votre champ d'action pour inclure toutes les interactions. Le plan doit couvrir la manière dont les utilisateurs, les applications et l'infrastructure traversent chacune des quatre parties d'une interaction lors de la demande d'une ressource.

L'étape finale de cette transformation est vraiment un événement récurrent : la maintenance et la surveillance.

• Tirez parti de la surveillance continue pour tenir compte de tout ce qui se passe par rapport aux contrôles intermittents.
• Recherchez des moyens d'améliorer le modèle actuel alors que les normes continuent d'évoluer tout en couvrant de plus en plus d'interactions.

Questions à poser à votre équipe pour adopter avec succès Zero Trust 

• Quels sont nos ensembles de données, applications et fonctionnalités critiques ?
• Comment pouvons-nous sécuriser chacune des quatre parties de chaque interaction avec ces ressources, peu importe qui ou quoi les demande ?
• Quel est notre plan pour surveiller en permanence les événements importants tels que les journaux afin de faciliter les références et de détecter les comportements anormaux ?
• Quelle est notre stratégie pour sélectionner des fournisseurs qui nous aideront à atteindre nos objectifs Zero Trust, et que devrons-nous faire de plus que les produits ne peuvent couvrir ?
• Quelle est la stratégie pour passer de la couverture d'une seule ressource à la couverture complète de toutes les ressources, et de quel type d'évolutivité des produits et des personnes aurons-nous besoin pour le faire ?

Pour en savoir plus sur la sécurité complète Zero Trust, cliquez ici.