Les organisations modernes ont besoin d’un nouveau modèle de sécurité qui réponde efficacement à la complexité des menaces actuelles, facilite le travail hybride et protège les données, les applications, les appareils et le personnel, quel que soit leur emplacement. L’adoption de solutions de contrôle d’accès basées sur le cloud (ACaaS) marque le début de cette transformation.

L’essor du travail hybride et les progrès de l’ACaaS ont étendu la présence des applications et des utilisateurs, permettant d’accorder ou de révoquer des autorisations depuis n’importe quel endroit et sur n’importe quel appareil. Les stratégies de sécurité d’aujourd’hui doivent aller au-delà de la simple défense du périmètre du réseau pour mettre en œuvre des politiques qui sécurisent chaque connexion individuelle entre les utilisateurs, les appareils, les applications et les données. Cette approche est encapsulée dans le modèle de confiance zéro, qui fonctionne sur le principe « ne jamais faire confiance, toujours vérifier ».

La confiance zéro part du principe qu’une confiance implicite dans n’importe quel élément d’un système complexe et interconnecté peut exposer les organisations à d’importantes menaces de sécurité. Les initiatives de confiance zéro exigent que tous les utilisateurs soient authentifiés, que toutes les demandes d’accès soient rigoureusement vérifiées et que toutes les activités soient surveillées en permanence.

Ce modèle ne vise pas à restreindre l’accès de manière indiscriminée, mais fournit un cadre de sécurité cohérent qui fonctionne sur toutes les plateformes numériques. Dans ce cadre connecté, l’architecture Zero Trust sécurise les fichiers, les courriels et les communications réseau, et étend la protection à l’accès à distance, aux appareils personnels et aux applications tierces, simplifiant ainsi les intégrations de sécurité.

Les trois principes de la confiance zéro

L’architecture de confiance zéro repose sur des solutions complètes englobant l’identité, la sécurité, la conformité et la gestion des appareils sur de multiples plateformes et nuages. La mise en œuvre de cette architecture implique une planification complexe dans différents domaines fonctionnels, bien que la plupart des cadres adhèrent à ces trois principes fondamentaux :

1. Contrôle et validation continus: Chaque demande de connexion émanant d’utilisateurs, d’appareils ou de charges de travail nécessite une vérification immédiate et continue, y compris une réauthentification périodique pour maintenir l’accès. Ce principe garantit que seuls les dispositifs approuvés peuvent accéder au réseau et que ces dispositifs restent sécurisés et non compromis par des menaces telles que les logiciels malveillants.
2. Principe du moindre privilège: L’accès est strictement limité à ce qui est nécessaire pour que les utilisateurs puissent accomplir leurs tâches, ce qui minimise l’impact potentiel des failles de sécurité. Les autorisations d’accès expirent à la fin de chaque session et les données sensibles, telles que les documents liés à des projets confidentiels, ne sont accessibles qu’au personnel autorisé.
3. Hypothèse d’une faille: Les équipes de sécurité partent du principe que le réseau est déjà compromis. Cet état d’esprit conduit à l’adoption de stratégies robustes de détection des menaces et de réaction rapide. Idéalement, les systèmes de sécurité devraient intégrer des signaux de surveillance généralisés et exécuter des réponses automatisées, telles que la segmentation du réseau pour contenir les brèches, la surveillance complète de toutes les activités du réseau et la réaction immédiate à tout comportement anormal.

La confiance zéro, étape par étape

Voici un guide général, étape par étape, sur la manière de mettre en œuvre et d’utiliser un modèle de sécurité « zéro confiance » dans n’importe quelle entreprise :

1. Créer une vérification d’identité forte: Mettre en œuvre des mesures rigoureuses pour authentifier les identités des utilisateurs et contrôler l’accès aux ressources de l’entreprise. Cela implique d’identifier les données sensibles et les rôles des utilisateurs, et de déployer des outils qui permettent d’évaluer les risques en temps réel et de réagir aux failles de sécurité potentielles.
2. Gérer l’accès aux appareils et aux réseaux: Établir des politiques claires pour le contrôle d’accès basé sur l’identité, qui est un élément essentiel de la confiance zéro. Cette stratégie offre une protection renforcée dans les environnements hybrides et multicloud en autorisant uniquement les utilisateurs vérifiés à accéder aux ressources essentielles et en refusant les accès non autorisés. Maintenez un inventaire complet de tous les appareils autorisés – y compris les postes de travail, les téléphones mobiles, les serveurs, les ordinateurs portables, les appareils IoT et les imprimantes – et remplacez les VPN traditionnels par des solutions Zero Trust Network Access (ZTNA) qui vérifient les identités et limitent l’accès des utilisateurs aux ressources nécessaires.
3. Améliorer la visibilité des applications: Dans un cadre de confiance zéro, ni les applications ni les interfaces de programmation d’applications (API) ne font l’objet d’une confiance implicite. Mettre en œuvre des outils pour détecter les systèmes non autorisés (« shadow IT ») et identifier tout dispositif tentant d’accéder au réseau. Il est essentiel d’établir et de contrôler la conformité aux exigences de sécurité et de gérer les autorisations d’accès avec vigilance afin de se prémunir contre les vulnérabilités potentielles.
4. Définir les autorisations d’accès aux données: Il est essentiel de classer les données d’une organisation, qu’il s’agisse de documents ou de courriels, pour renforcer la sécurité. Mettre en œuvre l’authentification multifactorielle (AMF), qui exige plusieurs méthodes de vérification avant d’accorder l’accès. Les systèmes d’AMF doivent être évolutifs et augmenter de manière adaptative les exigences d’authentification en fonction du niveau de risque associé. Intégrés à la technologie ACaaS, ces systèmes facilitent la gestion rapide des identités, l’examen des journaux d’accès et la détection des activités inhabituelles.
5. Surveiller l’infrastructure: Une surveillance continue est essentielle dans une approche de confiance zéro pour identifier rapidement les nouvelles menaces et y répondre. Des évaluations, des mises à jour et des configurations régulières de tous les éléments de l’infrastructure, y compris les serveurs et les machines virtuelles, sont nécessaires. Les organisations doivent également surveiller les mesures de sécurité et les politiques de contrôle afin de minimiser les connexions réseau inutiles et d’améliorer la détection des comportements suspects grâce à une analyse active des mesures d’accès.
6. Sensibiliser les employés: La transition vers une architecture Zero Trust implique un changement organisationnel complet, soutenu par des programmes de formation proposés par les fournisseurs d’ACaaS. Ce changement affecte différents départements et nécessite une planification et une exécution approfondies dans tous les domaines fonctionnels, ce qui en fait une entreprise potentiellement coûteuse. La formation continue des employés et la promotion d’une culture d’entreprise favorable à la sécurité sont essentielles à la réussite de la mise en œuvre d’un modèle de confiance zéro.

Du privé au public

L’adoption de modèles de confiance zéro est en hausse parmi les organisations qui cherchent à améliorer leurs politiques de sécurité à mesure que les vulnérabilités augmentent. Selon un rapport de mars 2024 de l’Enterprise Strategy Group par TechTarget, plus de deux tiers des organisations interrogées mettent activement en œuvre des politiques de confiance zéro.

Cette tendance s’étend au-delà du secteur privé. Parallèlement aux nouvelles directives européennes NIS2 et CER, un récent décret de la Maison Blanche demande aux agences du gouvernement fédéral américain de renforcer la cybersécurité nationale des infrastructures et des services critiques. Le décret souligne la nécessité pour ces agences et leurs fournisseurs de moderniser leurs stratégies de cybersécurité, y compris une transition rapide vers des services en nuage sécurisés et l’adoption d’architectures de confiance zéro.