Les récentes cyberattaques (comme celles de Colonial Pipeline et de Kaseya), l’évolution rapide des environnements de travail et l’explosion du télétravail ont fait prendre conscience à de nombreuses entreprises de la nécessité de moderniser leur modèle de sécurité.
Historiquement, elles optaient pour une sécurité périmétrique qui protégeait contre les cybermenaces extérieures au réseau d’entreprise. Une fois cette barrière de sécurité passée (VPN, pare-feu et antivirus), la confiance était implicite et accordée à tous.
Avec l’adoption des applications cloud (Office 365, Slack, Dropbox,…) et des nouveaux environnements de travail (bureaux, domiciles, cafés…), ce modèle de sécurité est devenu obsolète. Un nouveau concept est alors apparu : le « Zero Trust ». Convaincus par cette approche, les entreprises recherchent de plus en plus des partenaires stratégiques pour la mettre en œuvre et les accompagner dans leur démarche. Selon une étude récente, au niveau mondial la région EMEA est aujourd’hui la plus mature pour l’adoption du Zero Trust : 90% des entreprises européennes ont mis en œuvre cette stratégie, ou prévoient de le faire dans les mois à venir. Pour rappel, le modèle Zero Trust était considéré comme une priorité par seulement 18% d’entre elles en 2019.
Le « Zero Trust », c’est quoi ?
Le modèle de sécurité Zero Trust n’accorde par défaut aucune confiance, que l’utilisateur soit à l’intérieur ou à l’extérieur du réseau de l’entreprise. Il s’agit de vérifier systématiquement la probité de chaque endpoint et de chaque utilisateur, de sécuriser toutes les ressources, de limiter et appliquer des contrôles stricts des accès mais aussi d’inspecter et d’enregistrer tout trafic sur le réseau. Une fois établi que les utilisateurs et leurs terminaux ne sont pas compromis, ils peuvent accéder aux ressources et aux services de l’entreprise selon leur profil, leur rôle et leur groupe d’appartenance.
Alors que les modèles traditionnels de sécurité périmétrique se concentrent sur la protection contre les menaces provenant de l’extérieur du réseau, le modèle Zero trust reconnaît que les menaces peuvent également exister à l’intérieur du réseau.
Grâce à ce modèle de sécurité, les entreprises sont en mesure de surveiller et de gérer en permanence l’état, les risques et le niveau de sécurité de de l’ensemble de leur parc informatique, qu’il s’agisse des terminaux, des workloads dans le cloud, de l’identité des utilisateurs ou des réseaux. Pour y parvenir, elles recherchent une plateforme de sécurité et d’analyse des données, capable d’ingérer des données à grande échelle, de les analyser et de centraliser la réponse aux incidents et la gestion des accès.
Construire un modèle de sécurité « Zero Trust »
Bien que la finalité de ce modèle de sécurité Zero Trust semble très prometteur, le défi auquel de nombreuses organisations sont confrontées aujourd’hui est de définir un plan directeur sur la façon dont elles peuvent migrer de leur modèle traditionnel de sécurité vers le Zero Trust.
Il est évident que cela prend du temps. En premier lieu, les entreprises doivent comprendre d’où elles partent et doivent définir leurs objectifs à long terme. Pour ce faire, elles peuvent évaluer leur maturité en matière de sécurité Zero Trust et suivre ces 5 étapes :
- Définir la surface de protection : il peut s’agir d’informations sur les utilisateurs, d’identifiants personnels, de dossiers financiers, d’informations commerciales, d’actifs,…
- Cartographier les flux de transactions : il s’agit de suivre la manière dont les données circulent dans un réseau
- Architecturer l’environnement : les conceptions Zero Trust sont uniques pour chaque entreprise car elles sont déterminées par les éléments à contrôler
- Définir les politiques Zero Trust, en répondant aux questions suivantes : qui, quoi, quand, où, pourquoi et comment accéder aux ressources et services de l’entreprise ?
- Surveiller et maintenir en permanence l’environnement : recueillir les données télémétriques, exploiter les solutions autonomes pour effectuer des analyses, détecter les anomalies et réagir automatiquement en fonction des politiques Zero Trust définies.
Dans un environnement Zero Trust, les entreprises doivent supposer que tous les utilisateurs, terminaux et applications ne sont pas dignes de confiance et peuvent être compromis. Cette stratégie n’empêchera pas les entreprises d’être attaquées, d’autant qu’avec la crise sanitaire, les attaquants ont accès à un terrain de jeu bien plus vaste et plus facile à compromettre. En revanche, associée aux meilleures solutions de cybersécurité, elle leur permettra d’identifier rapidement les attaques et d’y remédier, sans avoir à mettre à niveau tous leurs équipements et solutions de sécurité.