Lors de la préparation de Zero Trust, la collaboration est essentielle

Par Jerry Hoff

Pour de nombreux professionnels de la sécurité, l'idée de Zero Trust peut être assez intimidante. Il suppose que tout – chaque actif, appareil, flux de données et utilisateur – pourrait être frauduleux, marquant potentiellement le début d'une attaque, jusqu'à ce que suffisamment de preuves du contraire soient fournies. Même dans ce cas, l'authentification ou les privilèges peuvent être automatiquement révoqués à mesure que de nouvelles données sont continuellement collectées. Cela commence par une position implacable sur l'authentification et le contrôle d'accès, ce que les professionnels de la sécurité prônent depuis longtemps.

D'un point de vue purement défensif, cette approche est correcte. Mais pour une entreprise multinationale, cette tactique peut être difficile à mettre en œuvre dans chaque unité commerciale et chaque système, d'autant plus que les actifs traversent les frontières géographiques et verticales. Cela nécessite que les RSSI adoptent un style de leadership pragmatique, qui permette des approches alternatives si nécessaire.

Comme nous le savons, insister pour qu'un dirigeant d'un secteur d'activité mette en œuvre quelque chose qu'il considère comme interférant avec les revenus de l'entreprise est souvent un argument perdant. Par conséquent, les RSSI doivent souvent faire des compromis. Et dans une initiative de sécurité d'entreprise, le compromis signifie parfois la mise en œuvre de contrôles compensatoires opposés aux contrôles de sécurité primaires initialement envisagés.

Pour que Zero Trust soit mis en œuvre en douceur, il doit être coordonné entre de nombreux groupes au sein de l'entreprise. Y compris, par exemple, des sociétés récemment acquises qui peuvent avoir des infrastructures et des paysages informatiques et de sécurité entièrement différents. Idéalement, la sécurité devrait être exécutée de manière identique dans toute l'entreprise, mais en réalité, le résultat final est le produit d'une évaluation et d'une négociation pour chaque situation non standard. C'est là que le côté « plus un art qu'une science » et axé sur les affaires de la sécurité est essentiel.

Compte tenu du grand nombre d'opérations de sécurité d'entreprise qui tenteront de lancer un programme Zero Trust en 2022, ce n'est pas une question académique. Pour de nombreuses organisations, la première étape de ce processus consiste à créer un groupe de travail formel Zero Trust.

Un groupe de travail Zero Trust

Un défi lié à la création d'un groupe de travail Zero Trust est la priorisation. D'une part, vous voulez être sûr d'inclure dès le saut tous ceux qui joueront n'importe quel rôle dans ce groupe ; ce qui peut être beaucoup de monde, même si certains sont là uniquement en mode observateur. D'autre part, trop de personnes dans ce groupe de travail pourraient tout simplement rendre trop difficile pour chacun d'avoir son mot à dire. La loi de Murphy est très en jeu ici : les représentants qui choisissent de ne pas dire grand-chose parce que le groupe est trop grand seront invariablement les personnes dont vous avez le plus besoin/voulez entendre.

Malheureusement, il n'y a pas de nombre idéal objectif de participants. car les entreprises sont variées et ont des besoins tellement différents. Pour commencer, cherchez à impliquer la planification d'entreprise, les services juridiques, la protection de la vie privée, les directeurs informatiques, les RSSI, les directeurs financiers mondiaux et peut-être les équipes des ressources humaines et de conformité. La partie délicate consiste à déterminer comment engager autant de cadres d'unités commerciales que nécessaire. De plus – et potentiellement de manière plus viable – désignez une personne sur l'appel pour prendre des notes détaillées et assurez-vous que ces notes parviennent à chaque responsable d'unité commerciale. Peut-être même demander à quelqu'un de suivre personnellement chacun de ces chefs d'unité commerciale pour s'assurer qu'ils ont lu et compris les décisions et les implications sur leurs départements et les processus existants. Les obstacles à la confiance sont identifiés le plus tôt possible dans le processus, plutôt que de découvrir ces problèmes uniquement au fur et à mesure du déploiement du programme. . Oui, cela améliorera la sécurité par ordre de grandeur, résoudra les problèmes de privilèges (en particulier en supprimant les privilèges restants mais plus nécessaires pour les personnes qui ont changé de rôle) et créera une bien meilleure plate-forme pour les changements futurs. Mais cela nécessitera de modifier de nombreux processus et éventuellement de revoir la façon dont l'accès est administré. Vos utilisateurs et leurs responsables doivent parfaitement comprendre les différences et les attentes au sein du nouvel environnement.

C'est à cette phase que les problèmes de blocage seront découverts. En cas de problème, plusieurs équipes doivent trouver un processus secondaire acceptable. Le processus et le contrôle compensatoire doivent satisfaire à la fois le bureau du CISO pour la sécurité et l'équipe du LOB pour les opérations.

Par exemple, des environnements spéciaux peuvent amener la sécurité à repenser un ensemble d'exigences globales. Un environnement de fabrication peut inclure de nombreuses machines spécialisées qui exécutent Windows, mais ne peuvent pas être corrigées ou ne permettent pas l'installation de logiciels tiers, y compris les agents de sécurité. Dans ce cas, les contrôles compensatoires peuvent être sélectionnés et approuvés par le biais de discussions et d'un accord entre la sécurité et l'entreprise.

Ce n'est que par la collaboration, la négociation et les contrôles compensatoires qu'une organisation peut réaliser sa vision ultime. La sécurité commence par une communication approfondie entre toutes les parties. Bien que les professionnels de la sécurité soient parfois étiquetés comme le « département du non », une attitude collaborative est inestimable pour atteindre l'objectif de Zero Trust. .