L’approche de la cybersécurité basée sur la confiance zéro consiste à ne faire confiance à rien et à tout vérifier. La confiance zéro gagne en popularité pour quelques raisons essentielles. Tout d’abord, les outils et appareils numériques ne cessent de se développer. De plus, une grande partie de la main-d’œuvre n’est plus attachée au bureau. Ils travaillent souvent à distance, que ce soit en partie ou en totalité.
Cela rend l’ancienne méthode de cybersécurité obsolète. Dans cette méthode, le périmètre est sécurisé par des outils comme les pare-feu. Tout ce qui se trouve à l’intérieur du réseau est considéré comme sûr et digne de confiance.
Puisqu’il n’existe plus de périmètre traditionnel, suivre cette méthode de sécurité laisse les organisations largement ouvertes aux menaces potentielles.
Avec Zero Trust, en revanche, rien à l’intérieur ou à l’extérieur du réseau n’est digne de confiance tant qu’il n’est pas passé par une vérification en couches. La confiance zéro facilite la transformation numérique par l’authentification, la segmentation du réseau et la prévention des mouvements latéraux. Elle utilise également des politiques d’accès minimal, afin que personne n’ait accès à autre chose que ce dont il a besoin pour faire son travail.
Si une organisation souhaite en savoir plus sur sa situation actuelle par rapport à ce qu’elle devrait être, elle peut utiliser un outil d’évaluation de la confiance zéro. Les outils d’évaluation de la confiance zéro peuvent aider à déterminer où vous vous trouvez sur la feuille de route, et vous pouvez être plus avancés que vous ne le pensez initialement.
Evaluer où vous en êtes
Comme nous l’avons mentionné, un outil d’évaluation permet de déterminer où vous en êtes par rapport à ce que vous devez faire en ce qui concerne la mise en œuvre des principes de confiance zéro.
Lors d’une évaluation, vous pouvez d’abord vous concentrer sur la gestion des identités et la sécurité. Vous pouvez passer en revue la solution d’annuaire que vous utilisez actuellement, par exemple sur site, dans le nuage ou dans un système RH. Dans le cadre de votre évaluation, vous détaillerez où vous avez précédemment concentré vos contrôles de sécurité, comme le périmètre et le réseau uniquement, ou où les identités sont gérées.
Ensuite, vous passerez à la gestion et à la sécurité des appareils. On pourra vous demander dans quelle mesure vous gérez activement les appareils et si vous gérez uniquement les appareils de l’entreprise ou ceux des employés.
Le troisième domaine d’évaluation est la gestion et la sécurité des accès. Par exemple, utilisez-vous déjà le principe du moindre privilège, en limitant les droits d’accès à ce dont les employés et les utilisateurs ont besoin pour faire leur travail ? A quelle fréquence révisez-vous les privilèges des administrateurs et des utilisateurs ?
Comment distribuez-vous les privilèges, et avez-vous mis en place l’authentification unique dans une certaine mesure ? Utilisez-vous la segmentation pour empêcher les mouvements latéraux ? Appliquez-vous des politiques d’accès conditionnel ?
Identité fragmentée
Une fois que vous avez évalué où vous en êtes sur le parcours de la confiance zéro, vous pouvez commencer à élaborer une stratégie. Souvent, nous voyons quatre étapes définies dans ce voyage. La première, également connue sous le nom d’étape 0, est celle de l’identité fragmentée.
Ce n’est pas parce que vous vous trouvez au stade 0 que vous ne prenez pas déjà la sécurité au sérieux. Cependant, cela signifie que vous devez faire plus que sécuriser vos ressources dans l’environnement numérique tel qu’il existe actuellement.
Beaucoup d’entreprises se trouvent à ce stade parce qu’elles utilisent encore Microsoft Active Directory pour la gestion des autorisations et des accès.
Gestion unifiée des identités et des accès
L’étape 1 est celle où vous avez besoin d’une solution unifiée de gestion des identités et des accès ou IAM. Votre solution IAM doit centraliser le stockage des identités et des accès. Cela donne à votre équipe informatique une meilleure visibilité sur ce qui se passe et constitue un élément fondamental de votre stratégie globale de confiance zéro.
À ce stade, vous unifiez la création et le stockage des utilisateurs, et vous déterminez comment les niveaux d’accès et les rôles seront provisionnés.
Lorsque vous avez des utilisateurs dans un annuaire central, vous limitez les possibilités offertes à un cybercriminel. Dans l’annuaire, vous pouvez ensuite mettre en œuvre le SSO et l’authentification multifactorielle pour vos identités internes et externes.
Accès contextuel
L’étape 2 est celle où vous commencerez à développer et à mettre en œuvre des politiques d’accès conditionnel, ainsi que le provisionnement et le dé-provisionnement automatisés. Les politiques d’accès contextuel sont similaires à l’idée d’accès conditionnel. Elles sont toutes deux importantes pour votre sécurité et ne se limitent pas à permettre aux utilisateurs connectés au réseau d’accéder à diverses ressources.
Au lieu de cela, les politiques sont développées pour repérer les comportements étranges ou les aberrations dans la façon dont les utilisateurs essaient d’accéder aux ressources. S’il y a une incohérence, une nouvelle autorisation est nécessaire avant que l’utilisateur n’obtienne l’accès.
De plus, l’étape 2 est celle de l’automatisation du provisionnement et du déprovisionnement de l’accès, ce que vous ferez par le biais de votre solution IAM. Cela vous donne un niveau d’efficacité car vous vous assurez que les nouveaux utilisateurs ont accès aux ressources nécessaires immédiatement. Ensuite, vous vous assurez également que l’accès est révoqué immédiatement lorsque quelqu’un quitte l’entreprise.
La façon dont vous déterminez cette automatisation dépend des besoins de votre organisation. Certains le font en fonction du type d’appareil, du département ou du rôle. Le principe du moindre privilège est pertinent, et vous devez vous assurer qu’il est intégré dans toute l’organisation à ce stade.
Vous avez franchi une étape importante lorsque vous avez dépassé la gestion manuelle des accès.
Authentification adaptative
Enfin, vous êtes à l’étape 3 de votre parcours, qui est continu plutôt que ponctuel. Vous avez besoin d’une base solide pour atteindre l’étape 3. Vous avez également besoin d’une infrastructure qui fournira le soutien permanent nécessaire pour suivre l’évolution inévitable de la technologie et des processus.
L’étape 3 comprend l’utilisation d’une authentification adaptative et de politiques d’accès basées sur les risques.
Les politiques d’authentification basées sur le risque examinent les événements et les étiquettent en fonction de leur risque. Vous pouvez alors bloquer entièrement l’accès à certains événements à haut risque ou à des événements à faible risque, vous pouvez peut-être exiger une nouvelle autorisation.
Vous pouvez continuer à surveiller le comportement et ensuite créer le contexte qui aidera les futures tentatives d’accès.
Lorsqu’elle est bien mise en œuvre, la vérification continue peut créer une barrière qui n’augmente pas la friction de l’utilisateur.
Encore une fois, si vous ne savez pas dans quelle phase vous êtes, ou si vous savez que vous êtes dans les toutes premières phases de la confiance zéro, prenez une évaluation comme point de départ. Vous pouvez commencer à comprendre les prochaines étapes parce que sinon, l’introduction de la confiance zéro peut sembler très écrasante.
Il n’a pas besoin d’être décomposé morceau par morceau dans un ordre logique.
